介绍
为新服务器设置裸机最低配置后,在大多数情况下强烈建议执行一些其他步骤。在本指南中,我们将通过处理一些建议的但可选的过程来继续配置我们的服务器。
先决条件和目标
开始之前本指南,您应该通过运行
CentOS 7初始服务器设置指南。 这是必要的,以便设置您的用户帐户,以配置权限提升
sudo和锁定SSH安全。 完成上述指南后,您可以继续阅读本文。在本指南中,我们将专注于配置一些可选但推荐的组件。这将涉及使用防火墙和交换文件设置系统,并配置网络时间协议同步。
配置基本防火墙
防火墙为您的服务器提供基本的安全级别。这些应用程序负责拒绝服务器上每个端口的流量,但已批准的端口/服务除外。 CentOS的附带了一个名为防火墙
firewalld 。 所谓的工具
firewall-cmd可以用来配置防火墙策略。我们的基本策略是锁定我们没有充分理由保持开放的一切。 该
firewalld服务必须进行修改,而无需丢弃当前连接的能力,所以我们可以创造我们的例外之前打开它的:
sudo systemctl start firewalld
目前该服务已经启动并运行,我们可以使用
firewall-cmd工具来获取和设置防火墙策略的信息。 该
firewalld应用程序使用“区域”的概念来标记其他主机的可信网络上。这个标签使我们能够根据我们信任网络多少来分配不同的规则。 在本指南中,我们将仅调整默认区域的策略。当我们重新加载防火墙时,这将是应用于我们的接口的区域。我们应该首先向我们的防火墙添加已批准服务的例外。其中最重要的是SSH,因为我们需要保留对服务器的远程管理访问。 如果你还
没有修改ssh守护在其上运行的端口,您可以启用通过名称服务通过键入:
sudo firewall-cmd --permanent --add-service=ssh
如果
更改 SSH端口为您的服务器,你必须明确指定的新端口。您还需要包括服务使用的协议。如果您的SSH服务器已重新启动以使用新端口,请键入以下内容:
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=4444/tcp
这是保留对服务器的管理访问所需的最低限度。如果您计划运行其他服务,则还需要为这些服务打开防火墙。 如果你打算上运行的传统HTTP Web服务器,您将需要启用
http服务:
sudo firewall-cmd --permanent --add-service=http
如果您打算运行使用SSL的Web服务器/启用TLS,您应该允许交通
https ,以及:
sudo firewall-cmd --permanent --add-service=https
如果您需要启用SMTP电子邮件,则可以键入:
sudo firewall-cmd --permanent --add-service=smtp
要查看您可以按名称启用的任何其他服务,请键入:
sudo firewall-cmd --get-services
完成后,您可以通过键入以下内容查看要实现的异常列表:
sudo firewall-cmd --permanent --list-all
当您准备好实施更改时,重新加载防火墙:
sudo firewall-cmd --reload
如果在测试后,一切都按预期工作,您应该确保防火墙将在启动时启动:
sudo systemctl enable firewalld
请记住,您必须明确打开防火墙(使用服务或端口)以便您以后配置任何其他服务。
配置时区和网络时间协议同步
下一步是调整服务器的本地化设置并配置网络时间协议(NTP)同步。 第一步将确保您的服务器在正确的时区下运行。第二步将配置您的系统以将其系统时钟与由NTP服务器的全球网络维护的标准时间同步。这将有助于防止由于不同步时钟引起的某些不一致的行为。
配置时区
我们的第一步是设置我们服务器的时区。这是一个非常简单的程序,可以使用实现
timedatectl命令: 首先,请键入以下内容查看可用的时区:
sudo timedatectl list-timezones
这将为您提供可用于您的服务器的时区列表。当您找到适合您的服务器的区域/时区设置时,请通过键入以下内容进行设置:
sudo timedatectl set-timezone region/timezone
例如,要将其设置为美国东部时间,您可以键入:
sudo timedatectl set-timezone America/New_York
系统将更新为使用所选时区。您可以通过键入以下内容进行确认:
sudo timedatectl
配置NTP同步
现在你有你的时区设置,我们应该配置NTP。这将允许您的计算机与其他服务器保持同步,从而在依赖于正确时间的操作中实现更高的可预测性。 对于NTP同步,我们将使用一个称为服务
ntp ,我们可以从CentOS的默认仓库安装:
sudo yum install ntp
接下来,您需要启动此会话的服务。我们还将启用该服务,以便每次服务器引导时自动启动:
sudo systemctl start ntpd
sudo systemctl enable ntpd
您的服务器现在将自动更正其系统时钟以与全局服务器对齐。
创建交换文件
将“交换”添加到Linux服务器允许系统将正在运行的程序的较不频繁访问的信息从RAM移动到磁盘上的位置。访问存储在磁盘上的数据比访问RAM慢得多,但是交换可用通常是您的应用程序保持活动和崩溃之间的区别。如果您计划在系统上托管任何数据库,这将尤其有用。 关于交换空间的最佳大小的建议根据所咨询的来源而显着不同。一般来说,等于或者是系统上的RAM的两倍的数量是一个很好的起点。 分配要使用使用您的交换文件空间
fallocate工具。 例如,如果我们需要一个4技嘉的文件中,我们可以创建位于一个交换文件
/swapfile通过键入:
sudo fallocate -l 4G /swapfile
创建文件后,我们需要限制对该文件的访问,以便其他用户或进程看不到该文件:
sudo chmod 600 /swapfile
我们现在有一个具有正确权限的文件。要告诉我们的系统格式化文件进行交换,我们可以键入:
sudo mkswap /swapfile
现在,告诉系统它可以使用交换文件通过键入:
sudo swapon /swapfile
我们的系统正在为此会话使用交换文件,但我们需要修改系统文件,以便我们的服务器将在启动时自动执行此操作。您可以输入以下命令:
sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'
此外,您的系统应在每次启动时自动使用您的交换文件。
从哪里去?
你现在有一个非常不错的开始设置您的Linux服务器。从这里,有很多地方你可以去。首先,您可能希望在其当前配置中快照您的服务器。
拍摄当前配置的快照
如果您对配置感到满意,并希望将其用作将来安装的基础,则可以通过DigitalOcean控制面板拍摄服务器快照。从2016年10月开始,快照每月每GB费用为0.05美元,基于文件系统中的使用空间量。 为此,请从命令行关闭服务器。虽然可以对正在运行的系统进行快照,但断电确保磁盘上的文件都处于一致状态:
sudo poweroff
现在,在DigitalOcean控制面板中,您可以通过访问服务器的“快照”选项卡来拍摄快照:
拍摄快照后,您将能够使用该映像作为将来安装的基础,方法是在创建过程中从映像的“我的快照”选项卡中选择快照:
其他资源和后续步骤
从这里,你的路径完全取决于你想要对你的服务器做什么。下面的指南列表并不详尽,但代表了一些更常见的配置,用户转向下一步:
结论
到这一点,您应该知道如何为您的新服务器配置坚实的基础。希望你也有一个好主意,你的下一步。随时浏览网站,寻找更多可在服务器上实施的提示。
