为什么需要从零开始 DD 重装纯净系统

在实际使用服务器时，许多云厂商提供的系统镜像存在预装组件杂乱、环境差异明显、配置不统一等问题。这类镜像不仅影响后续部署效率，还容易造成服务异常、性能下降，甚至在长期运维中出现难以定位的问题。为了确保系统环境标准化、干净且稳定，从零开始为服务器执行 DD 重装纯净系统，是当前最可靠、最彻底的方式。

本教程将涵盖的内容

本教程将从获取服务器开始，完整实践以下内容：

• DD 重装任意纯净 Linux 系统
• 将系统源替换为官方源或国内稳定源
• 从云厂商的定制内核切换为标准主线内核
• 启用 BBR + FQ 网络加速
• 安装 1Panel 面板（也可选择其他面板）

整体流程遵循“干净、可复现、长期可用”的原则，避免厂商镜像带来的各种环境差异。

示例方案：以 1Panel 为主要安装示范

本教程以安装 1Panel 作为基础示范，涵盖从系统重装到业务上线的完整流程。同时也保留使用其他面板的可能性，适用于不同的业务需求。无论用于网站部署、应用运行还是长期运维，本教程所构建的环境均具备一致性、稳定性和可维护性。

第一章：服务器购买后如何开始

在开始 DD 重装纯净系统之前，需要先完成服务器的选购、控制面板访问以及 SSH 登录准备。本章将以魔方财务面板常见的服务器为示例，并在后续章节以 DD 安装 Debian 13 纯净系统作为演示流程。你可以根据自己的业务需求选择其他发行版，但操作原理一致。

1. 选择合适的服务器配置

根据业务规模与用途选择适配的服务器配置。本教程示例采用某厂商提供的香港 4 核 CPU + 4GB 内存的基础配置，适用于轻量应用、面板管理、网站托管等日常场景。

选购时重点关注以下信息：

• 机房位置与网络质量（本例为香港机房）
• CPU、内存、硬盘等硬件配置
• 带宽与线路类型
• 是否支持自定义系统或 DD 重装
• 是否提供 VNC、救援模式等功能

后续章节将以 DD 安装 Debian 13 为例，因此确保厂商允许自定义镜像或脚本执行尤为重要。

2. 进入服务器管理控制面板

购买完成后，进入厂商后台（如魔方财务面板），找到对应的服务器并进入控制界面。

控制面板通常包含以下常用功能：

• 开关机、重启
• 重装系统
• 查看 IP 和登录信息
• VNC 远程控制
• 救援模式
• 流量及带宽使用情况

这些功能在 DD 重装及系统救援过程中非常关键。

3. 查看 SSH 登录信息

在控制台内找到服务器的 SSH 登录信息，包括：

• 公网 IP 地址
• SSH 端口（默认 22）
• 用户名 root
• 登录密码（如厂商提供）

这些信息将用于稍后通过 SSH 工具连接服务器并执行 DD 操作。

4. 安装并使用 SSH 工具登录服务器（以 Xshell 为例）

为了方便进行命令操作，这里以 Xshell 作为示例工具进行说明。你也可以使用 FinalShell、Termius 或系统自带终端。

连接步骤如下：

1. 打开 Xshell，新建会话
2. 输入服务器 IP
3. 端口保持 22 或厂商提供的端口
4. 用户名填写 root
5. 保存并连接

首次连接会提示确认主机指纹，正常接受即可。随后输入密码，成功进入命令终端后，即可开始执行 DD 重装准备工作。（有些服务商提供的镜像远程SSH没有启用就需要在VNC里面输入root 再点击粘贴密码 前提是你没有改过默认密码，进入后输入 systemctl start sshd 回车就打开了SSH远程连接）

第二章：获取 DD 脚本与使用方法

完成服务器的初步准备后，就可以开始获取 DD 脚本并执行系统重装。本教程使用 GitHub 上开源的 bin456789/reinstall 脚本，它长期维护、兼容性良好、可选择的系统版本丰富，是目前较为稳定且常用的 DD 工具。

脚本地址：
https://github.com/bin456789/reinstall

1. 进入脚本仓库并选择系统版本

打开项目页面后，你会看到支持多种操作系统的重装脚本。你可以根据图片提示选择你想安装的系统版本，例如 Debian 系列或 Ubuntu 系列。

在服务器环境中，推荐以下系统：

• Debian：稳定、更新适中、兼容性优秀
• Ubuntu：包源丰富、维护活跃、适合新手
• CentOS 不建议再作为首选：由于上游长期不再提供稳定维护，软件套件老旧、兼容性逐年下降

因此，本教程后续示例使用 Debian 13 作为主要演示版本。

2. 选择脚本版本并获取 DD 命令

在执行 DD 重装前，需要根据服务器当前运行的系统类型以及机房位置选择适合的脚本。选择不正确会导致脚本无法运行或镜像下载极慢，因此务必提前确认。

在执行 DD 之前请确认：

• 系统版本选择正确（教程以 Debian 13 为例）
• 区域版本正确（国内/海外）
• 当前系统类型与脚本匹配
• DD 会清空硬盘，数据已备份
• 服务器当前状态正常

如何正确选择脚本

• 当前系统为 Linux（Debian/Ubuntu/CentOS） → 使用 Linux 脚本
• 当前系统为 Windows → 使用 Windows 脚本
• 服务器机房在 中国大陆 → 使用国内源（CN）
• 服务器机房在 海外 → 使用国际源（GLOBAL/INT）

确认好脚本版本后，从仓库中找到你要安装的系统（例如 Debian 或 Ubuntu），复制对应的 DD 重装命令

Linux 系统下载脚本

海外服务器：

curl -O https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh || wget -O ${_##*/} $_

中国大陆服务器：

curl -O https://cnb.cool/bin456789/reinstall/-/git/raw/main/reinstall.sh || wget -O ${_##*/} $_

Windows 系统下载脚本

（注意：先关闭 Windows Defender 实时保护，否则 certutil 无法正常下载）

海外服务器：

certutil -urlcache -f -split https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.bat

中国大陆服务器：

certutil -urlcache -f -split https://cnb.cool/bin456789/reinstall/-/git/raw/main/reinstall.bat

第三章：在 Xshell 中执行 DD 命令并开始安装系统

当脚本与系统版本确认无误后，即可在 Xshell 中执行 DD 命令，开始重装你选择的纯净系统。本章以 Debian 系列为示例。

1. 执行 DD 脚本下载命令

将上一章获取的脚本下载命令复制到 Xshell 中，例如：

curl -O https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh || wget -O ${_##*/} $_

或国内源：

curl -O https://cnb.cool/bin456789/reinstall/-/git/raw/main/reinstall.sh || wget -O ${_##*/} $_

为脚本添加执行权限：

chmod +x reinstall.sh

2. 运行脚本并选择要安装的系统

如何选择你需要的系统并正确输入命令，例如debian 13 ，ubuntu 24.04

• bash reinstall.sh debian 13
• bash reinstall.sh ubuntu 24.04

如果你想安装其他的系统可以直接输入 bash reinstall.sh 查看脚本支持的系统

在Xshell输入执行debian 13脚本：

bash reinstall.sh debian 13

脚本执行时的密码提示

在确认安装时，脚本会提示为新系统设置一个 root 密码：

• 你可以手动输入一个密码（建议自定义，便于记忆）
• 如果留空直接回车，脚本将自动生成随机密码

脚本结束后会在屏幕中显示随机密码，请务必保存好。

3. 等待系统写入后手动重启

确认选择后，脚本将自动开始重装流程，包括：

• 下载镜像
• 写入系统
• 配置启动项

脚本执行完毕后会出现你最后配置的服务器信息，显示 root 和密码，请务必保存好（如果脚本执行中出现错误，请重复执行一遍脚本）

确认脚本无错误后直接输入 reboot 重启服务器 或者在你的服务器厂商控制面板选择重启

4. 等待系统重做完成，观察重做进度过程

重启过程很漫长如果你需要查看进度请在你服务商的管理面板中点击VNC观察重装进度

第四章：系统初始化：基本软件包安装、替换官方/国内源

在 DD 重装完成并自动重启后，先通过服务器控制面板的 VNC 功能观察系统是否已成功进入新的登录界面。

如果你在 VNC 中看到类似的系统登录提示画面，说明新系统已经成功安装并正常启动。此时改为使用 Xshell 进行 SSH 登录。

在 Xshell 中输入服务器 IP、用户名 root，并使用你在执行 DD 脚本时设置的密码进行登录。登录成功后，即可开始对新系统进行初始化配置。

1. 安装基础工具包

在成功通过 Xshell 登录进入新系统后，首先需要安装基础工具包，确保系统具备最基本的网络与管理能力。执行以下命令：（可直接全部完整复制粘贴回车执行）

apt install sudo -y && \
sudo apt --fix-broken install -y && \
sudo apt update -y && \
sudo apt install -y \
    curl wget ca-certificates gnupg lsb-release \
    tasksel socat apt-listchanges && \
sudo tasksel install standard ssh-server && \
sudo apt clean && \
echo "===== 基础工具验证 =====" && \
curl --version && wget --version && \
echo "===== 网络工具验证 =====" && \
socat -V && \
echo "===== SSH服务状态 =====" && \
sudo systemctl status ssh --no-pager

以上命令将执行以下操作：

• 安装 sudo
• 修复潜在依赖问题
• 更新系统软件源
• 安装 curl、wget、证书组件、gnupg、lsb-release
• 安装 tasksel 和 socat
• 安装标准系统组件与 SSH 服务
• 清理缓存
• 验证基础工具是否正常可用
• 查看 SSH 服务是否已启动

执行完成后，系统的基础环境即已准备就绪。（如有错误请重新执行一遍）

2. 配置软件源（官方源 / 清华源，支持传统 sources.list 与 deb822 两种格式）

完成系统重装后，应立即配置软件源以提升更新速度与稳定性。本节提供两种常用方式：

• 传统 sources.list 格式（最常见）
• Debian 13 推荐的 deb822 格式

同时提供 官方源 和 清华源（最新版） 两套配置。

2.1 传统 sources.list（非 deb822 格式）

适合大多数用户，结构简单、通用广泛。

1. 备份原源文件

sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak

2. 编辑当前源：

sudo nano /etc/apt/sources.list

• Ctrl + K 删除当前行
• Ctrl + O 保存文件
• 回车键确认保存
• Ctrl + X 退出

3. 官方源（Debian 13 trixie）

deb https://deb.debian.org/debian/ trixie main contrib non-free non-free-firmware
deb https://deb.debian.org/debian/ trixie-updates main contrib non-free non-free-firmware
deb https://deb.debian.org/debian/ trixie-backports main contrib non-free non-free-firmware
deb https://security.debian.org/debian-security trixie-security main contrib non-free non-free-firmware

4. 清华源（Debian 13 trixie 最新版）

这是你提供的最新版，需要完整保留：

# 默认注释了源码镜像以提高 apt update 速度，如有需要可取消注释
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie main contrib non-free non-free-firmware
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie main contrib non-free non-free-firmware

deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie-updates main contrib non-free non-free-firmware
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie-updates main contrib non-free non-free-firmware

deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie-backports main contrib non-free non-free-firmware
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie-backports main contrib non-free non-free-firmware

# 以下安全更新软件源可根据需要注释切换
deb https://mirrors.tuna.tsinghua.edu.cn/debian-security trixie-security main contrib non-free non-free-firmware
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security trixie-security main contrib non-free non-free-firmware

3. Debian 13 推荐的 deb822 格式

Debian 12/13 推荐使用 deb822 格式，并要求：

使用 deb822 时必须清空原 sources.list

1. 清空 sources.list

sudo nano /etc/apt/sources.list

• Ctrl + K 删除当前行
• Ctrl + O 保存当前文件
• 回车键确认保存
• Ctrl + X 退出

2. 编辑当前deb822源：

sudo nano /etc/apt/sources.list.d/debian.sources

3. 官方源 deb822（Debian 13 trixie）

Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

4. 清华源 deb822（最新版）

Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

# 默认注释了源码镜像，如需可取消注释
Types: deb-src
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb-src
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

• Ctrl + O 保存当前文件
• 回车键确认保存
• Ctrl + X 退出

4. 更新软件源

在Xshell里面输入，更新软件源

sudo apt update -y

至此，软件源配置完成。

4. 切换标准内核并清理 Cloud 内核

DD系统后很大概率会默认启用 Cloud 内核（如 linux-image-cloud-amd64）。
Cloud 内核虽然轻量，但在兼容性、驱动支持、性能、长期稳定性方面不如官方标准内核。
因此在纯净系统安装完成后，建议立即切换为 官方标准内核（linux-image-amd64） 并移除 Cloud 内核。

1. 安装标准内核与必要固件

首先更新软件源并安装标准内核、头文件及必要固件包：

sudo apt update
sudo apt install -y --install-recommends \
    linux-image-amd64 linux-headers-amd64 \
    firmware-linux firmware-linux-free
sudo update-grub

此步骤将完成以下关键操作：

• 安装 Debian 官方标准内核 linux-image-amd64
• 安装内核头文件（必需，用于 DKMS、驱动编译等）
• 安装基础固件包，提高硬件兼容性
• 更新 GRUB 引导信息

这里有两种方法切换到标准内核

方法一：通过厂商面板的 VNC 在启动菜单中选择标准内核（二选一）

1. 进入服务器管理面板，打开 VNC 控制台。
2. 重启服务器，在开机启动菜单出现时立即按 ↑ 或 ↓ 方向键。
3. 选择：

Advanced options for Debian GNU/Linux

4. 回车后选择你刚安装的标准内核，例如：

Debian GNU/Linux, with Linux 6.12.57+deb13-amd64

5. 回车启动系统。

当系统成功进入后，即表示当前已运行标准内核。

也可输入 uname -r 验证是否是标准内核

方法二：通过修改 GRUB 配置文件自动选择标准内核（二选一）

如果你更习惯命令行，也可以通过编辑 GRUB 默认条目来让系统自动启动标准内核。

1. 编辑 GRUB 配置文件：

sudo nano /etc/default/grub

2. 找到这一行：

GRUB_DEFAULT=0

替换为你当前标准内核的完整路径，例如：

GRUB_DEFAULT="Advanced options for Debian GNU/Linux>Debian GNU/Linux, with Linux 6.12.57+deb13-amd64"

可用方向键定位位置，再通过 鼠标复制 → 右键粘贴 将条目粘贴进去。

3. 保存并退出：

• Ctrl + O 保存
• Ctrl + X 退出

4. 更新 GRUB：

sudo update-grub

5. 重启服务器：

sudo reboot

重启后系统将自动从标准内核启动，无需进入 VNC 手动选择。 也可输入 uname -r 验证是否是标准内核

2. 清理标准内核

重启后先验证验证是否启用了标准内核在Xshell终端输入uname -r来验证 没有带cloud的就是标准内核，如何还是带了cloud你就需要检查内核版本
GRUB_DEFAULT="Advanced options for Debian GNU/Linux>Debian GNU/Linux, with Linux 6.12.57+deb13-amd64" 这一条是否是系统里面拥有的通常以后内核版本相对会高一点，也可以输入
dpkg -l | grep linux-image
来检查当前系统的内核版本，你需要修改后面的版本小数点的参数，然后必须要执行 sudo update-grub （非常重要）

以下命令来清理cloud内核，清理完成后建议重启一遍

sudo apt purge -y $(dpkg -l | awk '/linux-.*cloud-amd64/{print $2}')
sudo rm -rf /etc/apt/sources.list.d/*cloud* /etc/apt/preferences.d/*cloud*
sudo deborphan | grep -iE 'cloud|orphan' | xargs sudo apt purge -y
sudo apt autoremove --purge -y
sudo update-grub
echo "Cloud内核及残留清理完成！磁盘释放空间：" && df -h /boot /

建议清理完毕后把 /etc/default/grub 文件里面修改的 GRUB_DEFAULT="Advanced options for Debian GNU/Linux>Debian GNU/Linux, with Linux 6.12.57+deb13-amd64" 改成0 这样以后升级系统的时候会自动更新了如果不修改 以后更新内核后还是启动这个内核，更改为0后 Xshell输入 sudo update-grub （非常重要）

以上命令将完成以下任务：

• 移除所有 Cloud 系列内核
• 删除 Cloud 相关源配置文件
• 移除孤立包与残留依赖
• 自动清理未使用的软件包
• 更新 initramfs 以适配新内核
• 重新生成 GRUB 引导菜单
• 显示 /boot 与根分区的磁盘占用情况

至此，系统已彻底摆脱 Cloud 内核，只保留官方标准内核，更适合长期稳定运行。

第五章：切换标准内核与启用 BBR+FQ TCP加速 （可选）

在完成纯净系统和标准内核的配置后，可以进一步考虑是否启用 BBR+FQ TCP 加速。但这里要先说明一点：BBR+FQ 不是“必选项”，而是“视线路质量和场景决定的优化项”。

为什么要开启 BBR+FQ？

• BBR 解决的是：丢包严重、延迟波动大、跨境链路拥塞 时，传统拥塞算法（如 CUBIC、Reno）会疯狂降速、跑不满带宽的问题。
• FQ（Fair Queuing）配合 BBR，可以让连接更公平、延迟更稳定，减少“一个大流量拉跨全场”的情况。
• 简单讲：线路垃圾但带宽不小、延迟不算低时，BBR 才有机会帮你把“本来就有的带宽”真正跑出来。

为什么说是“可选”而不是“必须开启”？

• 如果你的服务器在 中国大陆机房，访问目标也基本在大陆，很多时候使用的都是三网直连、本地高质量线路，延迟低、丢包少、链路本身就很干净。这类场景下：
  • 默认内核自带的拥塞算法已经够用
  • BBR 带来的提升有限，甚至在极个别情况下会“感觉变化不明显”
  • 所以：大陆内网/本地业务，开启与不开启差距不一定明显

为什么“香港及海外服务器推荐开启”？

• 只要跨境，就绕不开：高延迟 + 易拥塞 + 不稳定链路。
  • 大陆访问香港、日本、新加坡、欧美服务器时，经常出现：带宽够、但速度上不去、网页打开慢、游戏抖、SSH 卡顿。
• 这就是 BBR 的用武之地：
  • 它不再以“是否丢包”粗暴判断拥塞，而是通过带宽与 RTT（往返时间）估算“现实可用带宽”，从而让数据在高延迟、高抖动环境中依然尽量多跑一点。
  • 对于 香港、海外机房，尤其是用来跑网站、API、面板、下载等对跨境访问敏感的业务，开启 BBR+FQ 往往是“成本最低、收益最肉眼可见”的优化之一。

1. 创建并启用 BBR+FQ 配置（/etc/sysctl.d/99-bbr.conf）

要启用 BBR+FQ，需要创建独立的系统网络优化配置文件：

sudo nano /etc/sysctl.d/99-bbr.conf

写入以下内容：

net.core.default_qdisc = fq
net.ipv4.tcp_congestion_control = bbr

• Ctrl + O 保存
• Ctrl + X 退出

为什么要创建 99-bbr.conf？有什么好处？

Debian 默认的系统内核参数来自多个配置文件，而 /etc/sysctl.d/*.conf 目录下的文件会按照 数字排序顺序加载。
创建 99-bbr.conf 的好处有：

1. 优先级最高，不会被其他文件覆盖
   文件名越大，加载顺序越靠后，最终生效的参数越稳定。
   因此使用 99-xxx.conf 可确保 BBR/FQ 设置在所有默认配置之后加载并最终生效。
2. 与系统原配置分离，便于管理与维护
   不修改 /etc/sysctl.conf
   不修改系统自带的配置
   安全、规范、可控。
3. 避免更新系统时被覆盖
   官方更新不会动 /etc/sysctl.d/ 下的自定义文件，
   99-bbr.conf 可以在系统升级、内核升级后继续保持有效。
4. 清晰可读，便于一眼看出“这是用来启用 BBR 的文件”
   文件名语义明确，比编辑默认文件更规范。

一句话总结：
使用 99-bbr.conf，是最安全、最不容易冲突、最不容易失效的生产级配置方式。

2. 重新加载 sysctl 参数

sudo sysctl --system

3. 验证 BBR+FQ 是否已经生效

sysctl net.ipv4.tcp_congestion_control
sysctl net.core.default_qdisc
lsmod | grep bbr

如果输出显示：

• tcp_congestion_control = bbr
• default_qdisc = fq
• tcp_bbr 模块已加载

说明 BBR+FQ 已成功启用。建议开启后重启一次服务器，现在优化就彻底完成了

现在你可以安装你想要的任何环境或者面板了

第六章：安装 1Panel 运维面板（推荐）

在完成系统、内核、网络加速等底层环境的打磨之后，就需要一个「顺手、靠谱、不添乱」的运维面板来管理网站、容器、数据库和服务。
本教程推荐使用 1Panel，不是因为“新鲜”，而是因为它更符合当前服务器运维的主流方向：容器化、开源化、极简化。

和传统面板相比，1Panel 的核心优势可以一句话概括：
它是为今天的 Linux 服务器生态重新设计的一套面板，而不是在老思路上不断补丁。

为什么推荐 1Panel，而不是传统面板？

基于实际对比，可以从几个关键维度来看 1Panel 和传统面板的差异：

结合本教程前面所有步骤可以看到：

• 我们花了大量精力保证系统 纯净、统一、可控
• 1Panel 的「应用容器化」方式，刚好可以避免传统面板那种到处写配置、污染系统环境的问题
• 对于长期运维、可迁移、可回滚、可扩展的场景，1Panel 更匹配这种「从 0 开始打造、可以长期维护」的思路

所以，在这样一台 DD 纯净系统 + 标准内核 + BBR 优化 的服务器上，
1Panel 是非常适合作为首选面板的。

1.进入1Panel官网安装最新的面板

在安装 1Panel 之前，请务必通过正确的官方网站获取安装脚本，避免进入假冒站点。
建议通过浏览器或任意搜索引擎输入：

1Panel 服务器面板

认准官网域名：

1panel.cn

1.进入首页后点击 “免费安装”，网站会跳转至最新安装命令的页面。复制页面提供的安装脚本。

2. 在 Xshell 中执行安装脚本

将官网复制的命令粘贴到 Xshell 终端中。
提示：请检查 粘贴内容是否与官网一致且完整，确认无误后按回车执行。

3. 选择语言

脚本启动后会询问语言选项，例如：

Please select language:
1. English
2. Chinese  中文(简体)
3. Persian
4. Português (Brasil)
5. Русский

根据需要选择语言。
我选择的是：

2

即可使用简体中文。

4. 设置安装目录（可直接使用默认路径），是否安装 Docker（首次安装必需）

脚本会提示：

设置 1Panel 安装目录 (默认为 /opt):

这里直接按回车即可使用默认目录 /opt。

检测到未安装 Docker，是否安装 [y/n]:

请选择：

y

并按回车，脚本将自动完成 Docker 的安装（1Panel 必备组件）。

5. 设置管理员用户名与密码，完成安装并保存登录信息

安装过程中脚本会提示输入面板用户名和密码。
你可以自定义，也可以直接按回车使用默认设置（安装成功后可在面板里修改）。

脚本运行完成后，会输出：

• 面板访问地址（一般为 IP:端口）
• 登录用户名
• 登录密码

请务必妥善保存这三项信息，否则将无法进入面板。

第七章：进入 1Panel 后台：开启 HTTPS、安全加固入口、修改账号密码并完成基础优化

在成功安装 1Panel 后，第一件事不是管理服务器，而是加固面板本身的安全性。
面板是服务器的“中控室”，一旦被入侵，所有网站、数据库、容器、文件都可能被完全控制，因此必须强化以下四点：

1. 开启 HTTPS（防窃听、防篡改）
   未加密的 HTTP 登录信息在网络中是明文传输，容易被监听或截获。启用 HTTPS 后，所有操作都会被加密处理，大幅提升面板访问安全性。
2. 修改更复杂的用户名与密码（防爆破）
   默认账号弱、过于简单或被猜中，会让暴力破解的成功率大幅提升。
   复杂账号 + 强密码可以有效降低被扫描、爆破的风险。
3. 修改入口路径（隐藏入口）
   默认面板路径常被攻击者扫描，例如： http://ip:port/login http://ip:port/panel 修改入口路径可减少被自动化脚本探测到的概率，让攻击难度直接上升一个台阶。
4. 修改访问端口（减少被扫描次数）
   常见端口（如 80/443/8888/8080）是扫描器最喜欢的目标。
   更换到不常见的高位端口，可显著降低自动化攻击数量。

一句话总结：
这些操作不是“可选优化”，而是保护你整台服务器的第一道安全防火墙。
只花几分钟设置，却能避免 90% 的暴力破解与扫描攻击。

2. 进入 1Panel 后台进行安全加固（修改用户、密码、端口、入口、HTTPS）

进入 1Panel 后，首先在左侧导航栏找到 「面板设置」。这里分为两个关键部分：面板 与 安全。

1.【面板】修改面板用户与密码

在「面板」栏目中，你可以直接修改：

• 面板用户
• 面板密码

建议此处设置更复杂的用户名与密码，以降低被暴力破解的风险。

2.【安全】修改面板端口、监听地址、面板 SSL（HTTPS）

切换到「安全」栏目，可进行以下设置：

• 面板端口：建议更换为不常见的高位端口，减少扫描攻击
• 监听地址：通常保持默认
• 面板 SSL（HTTPS）：开启后所有访问自动加密

若你没有自己的证书，可以直接选择：

「自签证书」 → 确定

虽然浏览器可能会显示红色“不安全”提示，但这是因为证书未被信任，与是否加密无关，不影响正常访问。

3. 启用 HTTPS 后的访问方式

启用 SSL 后，你需要将原访问地址从：

http://服务器IP:端口/安全入口

改为：

https://服务器IP:端口/安全入口

例如你的原地址：

http://149.88.XX.XX:35419/x59xxxx

开启 HTTPS 后应访问：

https://149.88.XX.XX:35419/x59xxxx

4. 启用服务器防火墙（iptables / UFW / Firewalld）

若你需要更灵活、更现代化的防火墙（如 UFW 或 Firewalld），可以通过两种方式安装：

• 方式一（推荐）：1Panel → 计划任务 → 脚本库 → 一键安装
• 方式二：SSH 手动输入命令安装

脚本库安装方式更简单、自动处理依赖、兼容性更好，因此强烈推荐使用。

1. iptables（默认防火墙）

DD 后系统默认启用 iptables。

在 1Panel 左侧导航进入 系统 → 防火墙，点击 初始化脚本：

• 自动放行
  • 22（SSH）
  • 80（HTTP）
  • 443（HTTPS）
  • 面板端口（你自定义的端口）

适用于不需要复杂防火墙规则的用户。

2. 安装 Firewalld / UFW（推荐从脚本库一键安装）

如果你计划使用 Firewalld 或 UFW：

• 可在 1Panel → 计划任务 → 脚本库 中找到对应脚本，一键安装并自动处理依赖
• 也可以选择手动 SSH 安装（见下方步骤）

使用 Firewalld / UFW 时，请务必在启用前 先放行 SSH 与面板端口，避免锁死服务器。

UFW（Ubuntu / Debian 推荐）

① 更新软件

sudo apt update

② 安装 UFW（如果未从脚本库安装）

sudo apt install ufw

③ 先放行 SSH（必须，否则会断连）

sudo ufw allow 22/tcp

若你修改过 SSH 端口，请替换为你的端口号。

④ 放行 1Panel 面板端口

sudo ufw allow 8090/tcp

（将 8090 替换为你的面板端口）

⑤ 启用 UFW 防火墙

sudo ufw enable

后续可根据自己的需求加入tcp/udp的端口放行或禁止

至此，1Panel 的基础安全已配置完成。请务必妥善保存你的 面板入口、端口、用户名与密码，不要在公开场景中泄露这些信息。如果怀疑入口或账号已被他人获知，应立即修改相关内容，确保服务器长期安全稳定运行。

5. 开启 SWAP 虚拟内存（可选）

SWAP 虚拟内存是 Linux 在物理内存不足时，将部分内存数据临时写入磁盘的机制。是否需要开启、开启多少，都取决于你的服务器配置和业务特点。

为什么要开启 SWAP？

• 当物理内存不足时，系统会直接杀死进程（OOM），导致网站、数据库、面板等服务异常退出。
• 有了 SWAP，即使内存吃满，也能避免服务瞬间崩溃，为系统留出“缓冲区”。
• 对于低内存服务器，SWAP 能显著提升稳定性，尤其是运行容器、数据库、建站、编译等任务时。

什么配置需要开启 SWAP？

• 2H2G / 2H4G / 4H4G 等低内存配置：
  建议开启，且 SWAP 大小 = 物理内存大小
  示例：2G 内存 → 开 2G SWAP
  4G 内存 → 开 4G SWAP

低内存机器是最容易因为“内存打满”导致服务挂掉的配置，因此 SWAP 基本属于刚需。

什么配置可以不开启 SWAP？

• 8G 以上内存的服务器
  系统已经足够稳定，可以根据业务需求决定是否开启：

推荐范围：

• 8GB 内存 → 开 8G SWAP
• 16GB 内存 → 开 8–12G SWAP（根据业务可调）

大内存服务器不开 SWAP 问题不大，但适量开启能增强“抗突发负载能力”。

开启 SWAP 的注意事项

• SWAP 会占用磁盘空间（与分配值一致）
• SWAP 的读写速度远慢于内存，会略微降低磁盘 I/O 性能
• 不建议为 SSD 频繁使用高负载 SWAP（但正常使用影响很小）

一句话总结：
SWAP 是稳定性的“保险”，不是性能工具。
低内存建议开启，高内存按需开启，具体大小根据业务自行调整。

在左侧侧边栏，第一栏快速设置，设置SWAP，设置 KB/MB/GB 然后填写大小 保存即可

6. 修改 DNS（可选）

DNS 的选择会影响域名解析速度、系统更新速度以及访问国内外服务时的稳定性。
是否需要修改 DNS、使用哪套 DNS，可根据服务器所在地区自行判断。

国内服务器推荐 DNS

若服务器在 中国大陆机房，可使用：

• 运营商/服务器商默认内网 DNS（速度最快、最稳定）
• 阿里 DNS： 223.5.5.5 223.6.6.6
• 114DNS： 114.114.114.114

这些 DNS 在国内访问速度快、稳定性高，适合本地业务场景。

海外服务器推荐 DNS

若服务器在 香港、美国、日本、新加坡等海外机房，推荐使用全球公共 DNS：

• Cloudflare 1.1.1.1
• Google DNS 8.8.8.8

这些 DNS 解析速度快、延迟低，适合跨区域访问以及海外业务。

侧边栏，第一栏快速设置，DNS里面修改，然后测试连接性，通过后保存即可

第八章：安装 OpenResty 并进行进阶优化

1. 安装 OpenResty 与必要模块

本章内容主要是安装 OpenResty，并对其进行基础优化。
在 1Panel 左侧导航栏点击 「应用商店」，在列表中找到 OpenResty（通常是第一个），也可以通过搜索框输入 OpenResty。
点击进入后选择 安装，参数保持默认即可。

安装完成后，在侧边栏点击 网站 → OpenResty 设置，找到模块 ngx_brotli。

将 ngx_brotli 开启后点击 重载配置，再执行一次 重启，即可让 Brotli 模块生效。

为什么要开启 Brotli？

Brotli 是一种新一代网页压缩算法，比传统 Gzip 拥有更高的压缩率，能够显著减小学页面资源体积，从而：

• 减少带宽消耗
• 加快网站加载速度
• 提升移动端访问体验
• 对静态资源优化效果尤为明显

开启 ngx_brotli 后，可以在不改变业务逻辑的前提下直接提升网站性能，是非常推荐的优化项。

2. 安装 PHP 环境容器并为 WordPress 进行必要调优

在安装 OpenResty 后，下一步是创建 PHP 运行环境。本节以 WordPress 为示例，通过容器方式快速搭建并完成基础优化。

进入 网站 → 运行环境 → PHP，点击 创建运行环境。
右侧可选择所需的 PHP 版本、扩展，也可以直接使用官方提供的模板。

如果用于 WordPress，建议选择 WordPress 模板或手动勾选扩展，例如：

• mysqli / pdo_mysql
• json
• mbstring
• curl

扩展可根据你的业务需求自行调整。

等待编译创建完成后，可在 更多 → 配置 → 配置修改 中进行 PHP 性能参数调优。
以下是适用于 4H4G 服务器的参考值，你可以根据自己服务器的配置自行修改，也可以询问 AI 获取更适合的方案：

post_max_size = 128M
upload_max_filesize = 512M
memory_limit = 256M

这些参数的含义如下：

• post_max_size：POST 数据最大值
• upload_max_filesize：允许上传的单个文件最大值
• memory_limit：PHP 脚本可用的最大内存

修改完成后点击 保存，随后进入 更多 → 重启容器，使配置立即生效。

第九章：创建一个 WordPress 网站并开启 HTTPS

1. 安装数据库（MySQL / MariaDB）

在创建 WordPress 站点前，需要先安装数据库。在 1Panel 左侧导航进入 应用商店，搜索或找到：

• MySQL
• MariaDB

二者任选其一即可（WordPress 兼容度完全一致）。

点击应用 → 安装。
根据你的服务器配置填写参数（一般保持默认即可），无需开启外部访问端口，除非你需要远程数据库连接。

安装完成后，数据库服务即准备就绪。

2. 创建 WordPress 网站，并设置伪静态

在 网站 → 创建网站 中，选择刚搭建的 PHP 运行环境，填写你的域名，并设置好对应的 MySQL/MariaDB 用户名与密码，点击 确定 完成网站创建。

创建完成后，进入 网站列表 → 配置，对 WordPress 进行必要优化：

• 伪静态：选择 WordPress 模板（必须），然后点击 保存并重载
• 启用 HTTPS（可选）：
  • 若已有证书，可在「SSL」中上传你申请的证书
  • 若暂时没有，也可以不启用 HTTPS，稍后再配置

伪静态是 WordPress 正常运行所必需的，而 HTTPS 可按你的业务需求灵活开启。

3. 部署 WordPress 程序解压并修复目录权限

网站创建完成后，直接访问你的域名通常会看到 当前 PHP 版本与扩展信息。
接下来需要将 WordPress 程序放入网站目录，并引导进入安装流程。

下面提供两种方式，其中 推荐远程下载方式，更方便快捷。

方法一（推荐）：远程下载 WordPress 安装包

获取wordpress包的链接 进入 cn.wordpress.org 右上角获取 然后鼠标放到下载这里 右键复制链接后，进入网站列表，找到你的网站目录

清理默认页面文件

网站目录中原有的默认文件：

• index.php
• 404.html

可以直接删除，以免干扰 WordPress 的展示。

上传 / 下载 → 远程下载

将 WordPress 中文版安装包链接粘贴进去：

点击 确定，等待下载完成。

下载完成后：

1. 点击 更多 → 解压
2. 选择 解压到当前目录
3. 解压后会得到一个 wordpress 目录

进入该目录，将其中所有文件 移动到网站根目录（index 目录）。

移动完成后，删除空的 wordpress 文件夹。

方法二：手动下载并上传压缩包

也可进入官网 https://cn.wordpress.org 下载最新版 WordPress 安装包到本地，然后在文件管理页面通过 上传文件 功能上传到网站目录，再进行解压。

调整目录权限

解压与移动完成后，进入 1Panel 左侧：

网站 → 你的网站 → 设置 → 网站目录

在 “运行用户/组” 中点击 保存（无需修改），作用是让系统自动修复目录权限。

4. 引导 WordPress 安装程序并完成初始化配置

完成 WordPress 程序上传与目录调整后，直接在浏览器访问你的域名，即会自动跳转到 WordPress 的安装引导界面。

点击 “现在就开始”，随后进入数据库信息填写页面。

填写数据库信息并运行安装程序

在数据库配置页面，你需要填写：

• 数据库名称
• 数据库用户名
• 数据库密码
• 数据库主机（重点）
• 表前缀

所有数据库相关信息都可以在 1Panel 侧边栏 数据库 → MySQL/MariaDB 中查看。

注意：数据库主机不是 localhost

因为 WordPress 运行在容器内，必须使用 MySQL 容器提供的连接地址。

获取方式：

1. 左侧点击 数据库 → MySQL/MariaDB
2. 选择对应的数据库
3. 点击 连接信息
4. 复制类似以下形式的主机名：

1Panel-mysql-XXXX

（示例：1Panel-mysql-SrBl，已隐藏敏感段落）

将该主机名填入 WordPress 的 数据库主机 中。

所有信息填写完成后，点击 提交，若验证通过，会自动进入下一步，继续点击 “运行安装程序”。

设置网站信息与管理员账号

在接下来的页面填写：

• 网站标题
• 管理员用户名
• 密码
• 邮箱

点击 安装 WordPress 后系统会自动完成安装，并跳转到后台登录页面。

登录后台即可管理网站，直接访问域名即可查看前台页面。

总结

通过本教程，你从零开始完成了一台真正“纯净、标准、可长期维护”的服务器环境构建，整个流程涵盖了：

• DD 重装系统：完全避开厂商镜像的杂乱与不可控，获得真正干净的基础环境
• 安装必要软件包：确保系统具备基础命令、通信能力、SSH 服务等核心功能
• 切换标准内核：替换 Cloud 内核、安装官方内核，让系统更稳定、兼容性更强
• 启用 BBR+FQ：为跨境、高延迟服务器显著提升网络性能（尤其是香港和海外机房）
• 服务器安全加固：启用 HTTPS、修改端口/入口/用户密码，最大化减少暴力破解风险
• 1Panel 面板安装与配置：现代化的容器化运维工具，让环境管理更清晰、可控
• OpenResty 优化：开启 Brotli 等模块，加速网页加载，提升整体性能
• PHP 容器优化：根据服务器配置调整上传大小、内存限制等参数，更适合 WordPress
• 搭建 WordPress 网站：部署程序、设置数据库、配置伪静态与 HTTPS，实现网站可用上线

通过以上步骤，你的服务器已经拥有：

• 稳定、干净、可复现的系统环境
• 完整的运维面板体系
• 高效的 Web 服务架构
• 适合长期运行的网站环境
• 清晰、安全、可维护的配置体系

这样构建出来的服务器不但能稳定承载 WordPress，也能长期运行网站、应用、API、容器等各种业务，是一套真正可扩展、可维护、专业级的生产环境。