新入行的运维在接手服务器第三天最容易踩的坑是：用Windows桌面管理的习惯，直接SSH登录后就开始敲命令，而完全忽略了当前环境的基础配置是否安全。

第一件事：关闭root远程登录并禁用密码认证

假设你刚申请了一台CentOS 7.9云服务器，默认情况下root用户可以通过22端口用密码登录。这时候一台扫描器在公网上跑24小时，就能枚举出超过200次尝试。正确做法是：立刻创建一个普通用户并赋予sudo权限，然后编辑/etc/ssh/sshd_config，把PermitRootLogin设为no，PasswordAuthentication设为no，最后用ssh-copy-id把本地公钥传上去。完成这一步，你的服务器已经规避掉90%的暴力破解风险。

第二件事：用“最小权限+最小服务”替换“全开策略”

很多新手运维会顺手把防火墙关掉，觉得“内网不需要”。实际场景是：你在阿里云上搭了一个MySQL数据库，默认端口3306暴露在所有网卡上，而安全组只限制了来源IP。但如果你在服务器本地用iptables或者firewalld只允许特定IP段的3306访问，同时卸载掉不需要的postfix、telnet、ftp等软件包，攻击面会急剧缩减。一个真实的案例是，某创业公司运维默认安装了所有包，结果被自带的sendmail服务日志泄露了数据库地址。

第三件事：日志和备份不是“出了事再查”，而是“一上线就配好”

新手最容易犯的错是：系统跑了一个月才想起来没配日志轮转，结果/var/log撑爆了磁盘。一个具体操作是：用logrotate配置每天轮转，保留7天，并压缩旧日志。同时，用rsync或者cron+tar每天凌晨3点把关键目录（/etc、/var/www、数据库数据目录）增量备份到另一台机器或对象存储。这里有个典型对比：没做备份的人遇到rm -rf /，只能重装系统；做了备份的人花10分钟恢复数据，业务零损失。

最后三条具体建议与常见误区：

• 别用默认端口：SSH的22、MySQL的3306、Redis的6379，改掉它们能屏蔽大量自动化扫描攻击，但改完一定要在防火墙和安全组同时放开新端口。
• 别只依赖图形面板：宝塔、AMH这类面板虽然方便，但它们会创建特权用户和开放额外端口，新手容易忽略其自身安全更新。至少学会用命令行查看进程、磁盘和网络连接状态。
• 别跳过系统更新：很多人怕更新后软件不兼容，但更危险的是已知漏洞被利用。正确的做法是在测试环境先跑一次yum update或apt upgrade，确认无冲突后再上生产，并且只更新安全补丁级别。