面对刚入手的云主机,许多新手会感到手足无措,别担心,跟着我一步步配置基础环境,十分钟就能搭建出安全稳定的服务器地基,以下是经过八年运维验证的核心配置流程:
1. 立即更新系统漏洞补丁 sudo apt update && sudo apt upgrade -y # Ubuntu/Debian 或 sudo yum update -y # CentOS 2. 创建特权用户替代root登录 adduser deployer usermod -aG sudo deployer # Ubuntu 或 usermod -aG wheel deployer # CentOS 3. 强制密钥登录(彻底关闭密码验证) nano /etc/ssh/sshd_config
关键修改项: PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes
systemctl restart sshd
启用UFW防火墙(Ubuntu示例)
sudo ufw allow OpenSSH
sudo ufw allow 80,443/tcp # 开放Web端口
sudo ufw enable
CentOS建议使用firewalld:
firewall-cmd --permanent --add-service={ssh,http,https}
firewall-cmd --reload1. 必备工具包 sudo apt install -y git htop tree unzip # Ubuntu sudo yum install -y epel-release && yum install -y git htop # CentOS 2. 安装Nginx(以Ubuntu为例) sudo apt install -y nginx systemctl enable --now nginx 3. 配置Swap分区(内存<2G必做) sudo fallocate -l 2G /swapfile sudo chmod 600 /swapfile sudo mkswap /swapfile sudo swapon /swapfile echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab
使用Let's Encrypt免费证书 sudo apt install certbot python3-certbot-nginx -y sudo certbot --nginx -d yourdomain.com 自动续期验证 sudo certbot renew --dry-run
Fail2ban防爆破:自动封禁异常登录IP
sudo apt install fail2ban -y systemctl enable fail2ban
每日安全巡检:设置日志审计脚本
示例:检查异常登录
grep 'Failed password' /var/log/auth.log | awk '{print $11}' | sort | uniq -c>关键原则:最小权限原则,每个服务使用独立系统用户运行,数据库禁止外网访问,关键目录设置700权限,曾见过因MySQL默认开放3306端口导致的数据泄露事件,这些教训值得铭记。
云主机的初始配置如同建筑地基,看似枯燥却决定全局稳定性,我始终建议在部署业务前完成这些基础动作——安全不是功能,而是产品生命线,当你的服务器在深夜遭遇暴力破解时,完善的防护机制将成为最后一道防线。(基于Linux基金会2023服务器安全报告,规范配置可阻断99%自动化攻击)
文章摘自:https://idc.huochengrm.cn/zj/12379.html
评论