3X-UI 面板安装教程：VPS 安装 Xray 多协议管理面板

3X-UI 是一个用于管理 Xray-core 的 Web 面板，可以在 VPS 上创建和管理 VLESS、VMess、Trojan、Shadowsocks、Hysteria2、WireGuard 等多种协议。对于想用 VPS 安装 Xray 多协议管理面板的用户来说，3X-UI 可以把入站协议、客户端、订阅链接、流量统计等操作放到网页后台完成，不需要每次手动修改 Xray 配置文件。

这篇 3X-UI 面板安装教程基于 Debian 12 x86_64 VPS 操作，流程包括系统检查、基础组件安装、3X-UI 安装、SQLite 数据库选择、面板端口设置、SSL 证书配置、后台登录、订阅路径修改和常用管理命令。文章只处理面板安装和基础设置，不展开 VLESS Reality、Hysteria2 等具体节点配置。

如果不想使用 Web 面板，只想通过脚本直接部署 Xray 和 VLESS Reality，也可以参考 Xray 一键脚本安装教程。两种方式的区别在于，3X-UI 更偏向后台管理和多协议维护，一键脚本更适合只部署单一协议节点。

SSH 登录 VPS 后确认系统为 Debian 12 x86_64

一、3X-UI 面板作用和安装目标

3X-UI 面板的作用是管理 Xray-core 服务。安装完成后，用户可以通过浏览器进入后台，在图形界面中查看系统状态、管理入站协议、创建客户端、生成订阅链接、查看流量使用情况。相比手动安装 Xray-core 并编辑配置文件，3X-UI 更适合新手完成 VPS 搭建 Xray 多协议管理面板这类操作。

需要分清楚的是，3X-UI 不是单独的代理协议，它是 Xray-core 的管理面板。真正处理连接的是 Xray-core，3X-UI 负责把配置、用户和订阅管理做成后台页面。面板安装完成后，服务器就具备了通过 3X-UI 管理 Xray 多协议节点的基础环境。

创建 VLESS Reality、Hysteria2 或其他协议节点时，只需要在已经安装好的 3X-UI 后台继续配置，不需要重新执行面板安装脚本。

如果不想使用 Web 面板管理节点，而是希望通过脚本直接部署 VMess、VLESS、TLS、Nginx 等组合方案，也可以参考 最新 V2Ray 多合一脚本。一键脚本更适合固定协议部署，3X-UI 则更适合在后台里管理多个入站协议和客户端配置。

二、安装 3X-UI 前的准备工作

这次安装使用的是一台干净的 Debian 12 VPS。大家照着操作时，建议使用新安装的系统，不要使用已经安装过宝塔、Nginx、Docker 反代、旧版 X-UI 或其他代理脚本的服务器，避免端口冲突和旧配置影响安装结果。

本教程使用 Debian 12 VPS 进行演示。3X-UI 也可以安装在 Ubuntu、Debian、CentOS、Rocky Linux、AlmaLinux 等常见 Linux 系统上，只是不同系统在基础组件、防火墙和系统服务管理上可能会有一些差异。

如果使用 Ubuntu VPS，并且不准备通过 3X-UI 面板管理节点，而是想直接用脚本部署 V2Ray 和伪装站点，可以参考 Ubuntu 系统带伪装 V2Ray 一键脚本安装教程。这类一键脚本路线更适合固定协议部署，3X-UI 则更适合在网页后台里继续管理多种 Xray 协议。

为了保证配图和命令输出一致，下面的操作以 Debian 12 为准。

如果只是安装 3X-UI 面板并测试后台功能，1 核 CPU、1GB 内存的 VPS 就可以运行。长期创建节点时，服务器线路、带宽、月流量和端口开放情况会直接影响使用体验。

以 搬瓦工 KVM 常规套餐 为例，49.99 美元/年方案提供 2 核 CPU、1GB 内存、20GB 硬盘、1TB 月流量和 1Gbps 带宽，用来安装 3X-UI 面板并做基础节点测试，配置层面是够用的。

服务器安装完成后，如果后续要长期运行节点，还可以根据线路和系统情况考虑开启 TCP 优化。使用搬瓦工 VPS 的用户，可以参考 搬瓦工 VPS 安装魔改版 Google BBR 加速教程，先了解 BBR 加速的安装方式和适用场景。

这次把 3X-UI 面板端口设置为 54321。实际使用时可以换成其他未被占用的端口，但不建议使用过于常见的端口。

安装前也要确认 VPS 商家后台是否有安全组或防火墙规则，如果有，需要放行面板端口。

三、Debian 12 VPS 环境检查与系统更新

SSH 登录 VPS 后，先确认系统版本和服务器架构：

cat /etc/os-release && uname -m

输出中可以看到：

PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
VERSION_ID="12"
VERSION_CODENAME=bookworm
x86_64

这说明当前 VPS 使用的是 Debian 12，架构为 x86_64，可以继续进行 3X-UI 安装。

接着更新系统并安装基础组件：

apt update -y && apt upgrade -y && apt install curl wget sudo socat -y

其中，curl 用来拉取 3X-UI 安装脚本，wget 和 sudo 是常用基础工具，socat 在后续申请证书时会用到。

如果系统更新时安装了新的 Linux 内核，建议先重启 VPS，再继续安装面板：

reboot

重启后重新 SSH 登录，检查当前内核版本：

uname -r

如果能正常返回内核版本，就可以继续下一步安装 3X-UI 面板。

四、执行 3X-UI 安装脚本并配置面板参数

系统环境准备好以后，执行 3X-UI 安装命令：

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

执行 3X-UI 官方安装脚本并识别 Debian amd64 环境

脚本开始运行后，会识别当前系统和架构，当前环境识别结果为：

The OS release is: debian
Arch: amd64

随后脚本会拉取 3X-UI 最新版本。这里安装的版本为：

v3.3.0

安装过程中会出现数据库选择界面：

1) SQLite     (default — recommended for < 500 clients)
2) PostgreSQL (recommended for high client counts / many nodes)

单台 VPS 安装 3X-UI 面板，选择 SQLite 即可。SQLite 不需要额外部署数据库服务，也便于后期备份。

这里输入：

1

接着脚本会询问是否自定义面板端口：

Would you like to customize the Panel Port settings? (If not, a random port will be applied) [y/n]:

这里选择自定义端口，并设置为 54321：

y
54321

安装 3X-UI 时选择 SQLite，并将面板端口设置为 54321

随后进入 SSL 证书设置。新版 3X-UI 安装脚本提供 4 种证书方式，分别是域名证书、IP 证书、自定义证书和跳过 SSL。

这里不要直接回车，先根据自己的访问方式选择。

3X-UI 安装时可以选择域名证书、IP 证书、自定义证书或跳过 SSL

这 4 个选项可以这样理解：

• 1. Let's Encrypt for Domain：已经准备好域名，并且域名 A 记录已经解析到当前 VPS，就选择这个选项，后续按提示输入域名。
• 2. Let's Encrypt for IP Address：暂时不使用域名，想直接通过服务器 IP 访问 3X-UI 面板，可以选择这个选项。
• 3. Custom SSL Certificate：已经有现成的 SSL 证书和私钥文件时使用，需要手动填写证书路径。
• 4. Skip SSL：跳过 SSL，面板会通过普通 HTTP 访问；除非已经在外层配置了 Nginx、Caddy 反向代理或 SSH 隧道，否则不建议新手选择。

有域名并且已经解析到 VPS 时，优先选择 1. Let's Encrypt for Domain；暂时不使用域名时，可以选择 2. Let's Encrypt for IP Address。

本文这里选择 IP 证书方式：

Choose an option (default 2 for IP): 2

选择 IP 证书后，脚本会询问是否加入 IPv6 地址。如果当前 VPS 没有使用 IPv6，直接回车跳过即可：

Do you have an IPv6 address to include? (leave empty to skip):

接着会要求设置 ACME HTTP-01 验证监听端口。这里保持默认 80，不要改成其他端口。

申请证书时，服务器 80 端口需要能从公网访问；如果 VPS 商家后台有安全组，也要确认 80 端口没有被拦截。

Port to use for ACME HTTP-01 listener (default 80):

选择 IP 证书后跳过 IPv6，并使用 80 端口进行验证

脚本成功为服务器 IPv4 地址申请 Let’s Encrypt IP 证书，并自动写入 3X-UI 面板证书路径。

IP 证书有效期较短，脚本会通过 acme.sh 定时续期；长期使用 3X-UI 后台时，域名证书在访问地址、证书有效期和后期管理上更适合常规使用。

3X-UI 安装脚本成功申请并配置 Let’s Encrypt IP 证书

安装完成后，终端会输出 3X-UI 面板登录信息，包括用户名、密码、端口、WebBasePath、数据库位置、访问地址和 API Token。

3X-UI 安装完成后会生成用户名、密码、端口、后台路径和访问地址

安装完成后，面板访问地址格式为：

https://服务器IP:54321/随机路径

如果安装时选择的是域名证书，访问地址则是：

https://你的域名:54321/随机路径

这里要注意，3X-UI 新版安装完成后会生成随机 WebBasePath。后面登录后台时，不能只输入 https://服务器IP:54321 或 https://你的域名:54321，必须带上完整随机路径。

五、保存 3X-UI 登录信息并检查服务状态

安装完成后，先把终端输出的面板访问地址、端口、随机路径、用户名、密码和 API Token 保存下来。

随机路径也就是 WebBasePath，后面登录后台时必须带上；如果只输入 IP 和端口，就无法打开登录页面。

保存信息后，可以通过下面的命令检查 3X-UI 服务是否运行，以及面板端口是否已经监听：

systemctl is-active x-ui && ss -tulnp | grep 54321

如果输出中出现：

active
*:54321 LISTEN

说明 3X-UI 服务正在运行，面板端口也已经监听。当前 54321 端口由 x-ui 进程监听。

检查 x-ui 服务为 active，并确认 54321 面板端口正在监听

这里使用 systemctl is-active x-ui 检查服务状态，再用 ss -tulnp 检查面板端口监听情况。只要服务返回 active，并且能看到 54321 端口处于 LISTEN 状态，就说明 3X-UI 面板已经正常运行。

六、登录 3X-UI 后台并修改订阅路径

在浏览器中打开安装完成时输出的 3X-UI 登录地址：

https://服务器IP:54321/随机路径

注意三点：

• 使用 https，不是 http；
• 端口是安装时设置的面板端口，这里为 54321；
• 地址末尾必须带随机 WebBasePath。

通过 HTTPS 地址打开 3X-UI 面板登录页面

输入安装完成时生成的用户名和密码后，即可进入 3X-UI 后台。系统状态页面可以看到 CPU、内存、磁盘、Xray 状态、面板版本、总流量、连接数量等信息。

成功登录 3X-UI 后台后查看系统状态和 Xray 运行状态

登录后台后，建议先进入面板设置检查基础安全项。当前页面顶部提示默认订阅路径 /sub/ 存在安全风险，需要修改。

3X-UI 提示默认订阅路径 /sub/ 需要修改

进入左侧菜单：

面板设置 → 订阅设置

找到订阅设置中的 URI 路径，将默认的：

/sub/

修改为不容易被猜到的路径，例如：

/sub-bwgss/

订阅路径需要以 / 开头，并以 / 结尾。不要继续使用 /sub/、/subscribe/、/api/ 这类常见路径。

在订阅设置中将默认 /sub/ 路径修改为随机路径

修改完成后，点击保存，再点击重启面板。重启后重新进入后台，如果顶部不再显示默认订阅路径的安全提示，说明新的订阅 URI 路径已经生效。

到这一步，3X-UI 面板安装、后台登录和基础安全设置已经完成。创建 VLESS Reality、Hysteria2 等协议节点时，就可以直接在这个后台继续操作。

七、3X-UI 后台常用入口和管理命令

安装完成后，先了解几个常用入口。这里介绍后台入口的作用，具体协议参数不在这里展开。

如果只打算单独部署 Trojan 节点，而不是使用 3X-UI 维护多种协议，也可以参考 搬瓦工 VPS 搭建 Trojan 详细教程。Trojan 单独部署更偏向固定协议方案，3X-UI 则适合在同一个后台里继续管理 VLESS、VMess、Trojan、Hysteria2 等入口。

创建节点时，主要会用到“入站”和“客户端”两个入口。“入站”负责添加具体协议入口，“客户端”负责生成用户配置。通常需要先创建入站，再添加客户端，最后导出订阅链接或节点链接。

除了网页后台，3X-UI 也提供命令行管理方式。SSH 登录 VPS 后，可以直接执行：

x-ui

常用子命令如下：

x-ui start
x-ui stop
x-ui restart
x-ui status
x-ui settings
x-ui update
x-ui uninstall

这些命令分别用于启动、停止、重启、查看状态、查看设置、更新和卸载 3X-UI。

如果只是检查面板服务是否运行，可以使用：

systemctl is-active x-ui

如果要同时检查面板端口监听状态，可以使用：

systemctl is-active x-ui && ss -tulnp | grep 54321

八、3X-UI 安装常见问题

下面整理的是安装 3X-UI 面板过程中容易遇到的问题，主要集中在登录地址、面板端口、证书方式、订阅路径和登录信息找回等方面。如果前面的步骤已经完成，但浏览器打不开后台或不知道下一步怎么检查，可以按下面的问题逐项排查。

1. 3X-UI 面板打不开怎么办？

先检查访问地址是否完整。3X-UI 新版安装完成后，登录地址一般是：

https://服务器IP:面板端口/随机路径

如果只输入 IP 和端口，没有带上随机路径，可能无法进入登录页面。其次检查面板端口是否监听：

ss -tulnp | grep 54321

如果端口没有监听，检查 3X-UI 服务状态：

systemctl is-active x-ui

如果 VPS 商家有安全组或防火墙，还需要放行面板端口。

2. 3X-UI 安装时选择 SQLite 还是 PostgreSQL？

单台 VPS 安装 3X-UI 面板，SQLite 就够用，不需要额外维护 PostgreSQL 服务。PostgreSQL 更适合大量客户端、多节点或更复杂的数据库管理场景。这篇是单机 VPS 安装教程，所以选择 SQLite。

3. 3X-UI 使用 IP 证书需要注意什么？

IP 证书申请时需要 80 端口能从公网访问，VPS 商家安全组也不能拦截 80 端口。IP 证书有效期较短，适合临时测试；长期使用后台时，建议改用已经解析到 VPS 的域名申请证书。

4. 默认订阅路径 /sub/ 为什么要修改？

/sub/ 是默认路径，容易被猜到。安装完成后进入“面板设置 → 订阅设置”，把 URI 路径改成随机路径，并保存、重启面板。

5. 忘记 3X-UI 登录地址、用户名或密码怎么办？

可以 SSH 登录 VPS，执行：

x-ui

通过管理菜单查看或修改面板设置。如果只是查看当前设置，也可以使用：

x-ui settings

安装完成时输出的用户名、密码、访问路径和 API Token 建议单独保存，避免后续找回麻烦。

6. 配置 VLESS Reality 或 Hysteria2 是否需要重新安装 3X-UI？

不需要。3X-UI 面板安装完成并可以正常登录后，配置 VLESS Reality、Hysteria2 等协议时，直接在后台的“入站”和“客户端”页面继续操作即可，不需要再次执行面板安装脚本。

九、总结

到这里，Debian 12 VPS 上的 3X-UI 面板已经安装完成，SQLite 数据库、面板端口、SSL 证书、后台登录地址和订阅 URI 路径也已经处理好。只要服务状态返回 active，并且面板端口处于 LISTEN 状态，就说明 3X-UI 后台可以正常使用。

3X-UI 的作用是把 Xray-core 的配置和管理放到 Web 后台里。创建 VLESS Reality、Hysteria2 等协议节点时，可以直接进入后台的“入站”和“客户端”页面继续配置，不需要重新安装面板。