选完虚拟机供应商、机器规格、操作系统啥的，机器启动后的第一件事是保护它的安全，尽可能减少被攻击面。我在这里只提供一些最基本建议，主要是在防火墙的设置方面。这里提供的一些指令假定你是用Debian 7或8。你如果用Ubuntu，这些指令基本上可以直接拿过来用。CentOS/Red Hat/Fedora方面的指令类似，请自行查询。如有需要，等我有空专门写CentOS/Red Hat/Fedora的设置。 以下指令都是root级别。我假定你已经通过命令行连到服务器上。请根据需要在命令行前自行添加sudo或变成root。 给服务器做软件更新，打补丁： apt-get update apt-get upgrade (yum update) 调整ssh接口端，防范ssh攻击： Linux服务器默认ssh接口端是22。很多网络攻击就从这个接口强攻，用程序频繁自动发起无数次的连接申请，所谓的dictionary attack和brute-force attack。把默认的接口改成其它如50683，是防止这种攻击的有效手段。 用你熟悉的编辑器，打开/etc/ssh/sshd_config，然后查找”Port 22″，把22改成50683后保存文件。 接下来请重新启动ssh服务： service ssh restart 注意以后的远程连接你要记得加-p 50683 建防火墙 apt-get install iptables apt-get install iptables-persistent （运行这个指令，系统会问你要不要把现在的设置存下来，说要） 基本的防火墙设定，IPv4 用你熟悉的编辑器，打开/etc/iptables/rules.v4，删除里面所有的内容，然后加下面的设置： [code language=”text”] *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn’t use lo0 -A INPUT […]

想自建vpn，就必须有vpn的服务器。这种服务器一般是利用云服务公司提供的虚拟机服务VPS（Virtual Private Server）。 要有可以国外支付的办法，如信用卡、PayPal啥的； 业界比较知名的供应商有Amazon EC2，Microsoft Azure，Linode，DigitalOcean等等。这几个应当都可以； 如果是单纯做vpn翻墙供自己或小团队使用，供应商的最小配置就可以。我现在用的就是单CPU、128MB内存、10G硬盘小虚机，够我们多台设备一起用； 挑选数据中心时，不建议用英语国家的数据中心，特别是美国的。一是有安全和隐私方面的担心，相信大家都读过相关新闻；二是至少我尝试过的美国数据中心访问中国的一些网站都慢的要死，如优酷。但我发现西欧的数据中心如德国、荷兰、瑞典就没有这方面的问题。我不知道为什么。 操作系统当然要用Linux。我建议Debian。接下来的how to我会假定你的操作系统是Debian 7或8。如果你用其它操作系统，接下来的how to仍然会有帮助。 先写到这儿。亲爱的读者，你先去研究下哪个服务更适合你。之后再回来看我的指南。接下来的博客会提供些建议，讲如何提高你的虚拟机的安全。然后我们再说建vpn的事儿。 PS. 本系列其它文章 自建vpn之二：保护你的机器 自建vpn之三：搭建openvpn service和生成客户端Profile 自建vpn之四：安装启动客户端