Linux(二十二)——服务器初始化指南
文章目录
- 前言
- 一、配置国内 Yum 源(加速软件安装)
- 二、更新系统与安装必备工具
- 三、网络连接验证
- 四、配置主机名
- 五、同步时间
- 六、配置防火墙
- 6.1 使用 iptables
- 6.1.1 整体思路
- 6.1.2 详细步骤
- 6.1.3 完整配置脚本示例
- 6.1.4 常用管理命令
- 6.2 使用 firewalld
- 总结
前言
服务器初始化是系统管理中的基础且关键的一步。合理的初始化配置不仅能提升服务器的安全性、稳定性和可维护性,还能为后续的服务部署与应用运行打下良好基础。
本文以 CentOS 7 为例,详细介绍从系统源配置、基础工具安装到网络、主机名、时间同步及防火墙设置的全流程,帮助您快速完成一台新服务器的基本环境搭建。
一、配置国内 Yum 源(加速软件安装)
将默认的国外 Yum 源替换为国内镜像源(如阿里云、清华源),可显著提升软件包的下载速度。
# 1. 备份原有的源文件,防止意外发生
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
# 2. 下载阿里云的 CentOS 7 源文件(推荐,速度快且稳定)
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo# 3. 下载并配置阿里云的 EPEL 源(提供大量额外软件包)
sudo yum install -y epel-release
sudo sed -e 's|^metalink=|#metalink=|g' \-e 's|^#baseurl=|baseurl=|g' \-e 's|^//download.fedoraproject.org/pub|//mirrors.aliyun.com|g' \-e 's|http://download.example|https://mirrors.aliyun.com|g' \-i /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel-testing.repo
# 4. 清理旧缓存并生成新缓存
yum clean all && yum makecache
可选:如需使用清华源,可将第 2 步命令替换为:
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo
二、更新系统与安装必备工具
系统更新能获取最新的安全补丁和软件版本,同时安装常用工具可为后续维护和开发提供便利。
# 1. 更新整个系统(内核更新需重启生效)
sudo yum update -y# 2. 安装一批常用工具
sudo yum install -y \vim-enhanced \ # 加强版的 vi 编辑器wget \ # 命令行下载工具curl \ # 网络数据传输工具telnet \ # 网络诊断工具net-tools \ # 包含 ifconfig 等网络工具bash-completion \ # 命令自动补全增强lsof \ # 列出打开的文件sysstat \ # 系统性能监控工具(含 iostat、sar 等)htop \ # 交互式进程查看器(比 top 更好用)tree \ # 以树状图列出目录内容git \ # 版本控制工具unzip \ # 解压 zip 文件lrzsz # 提供 sz(下载)、rz(上传)命令,方便终端传输文件# 若需开发环境,可安装:
# sudo yum groupinstall -y "Development Tools"yum install -y vim-enhanced wget curl telnet net-tools bash-completio lsof sysstat htop tree git unzip lrzsz
三、网络连接验证
确保服务器能正常访问外网,是后续所有操作的基础。
# 1. 查看当前 IP 地址,确认网络接口已启动
ip addr show
# 或使用:
ifconfig
# 2. 测试域名解析(检查 DNS 是否正常)
ping -c 4 www.baidu.com
# 3. 测试外网连通性
ping -c 4 114.114.114.114# 若无法上网,需检查网络配置,例如:
# cat /etc/sysconfig/network-scripts/ifcfg-eth0(网卡名可能为 ens33 等)
四、配置主机名
设置易于识别的主机名,方便服务器管理。
# 1. 查看当前主机名
hostname
# 2. 设置新主机名(例如:centos7-master)
sudo hostnamectl set-hostname centos7-master
# 3. 修改 hosts 文件,将本机主机名解析到本地
# 在文件末尾添加一行:127.0.0.1 <你的主机名>
sudo vim /etc/hosts
# 例如添加:127.0.0.1 centos7-master# 4. 重新登录 Shell 生效,或执行以下命令立即生效
bash
五、同步时间
保证服务器时间准确,对日志分析、证书验证等操作至关重要。
# 1. 安装 chrony 时间同步服务(CentOS 7 首选)
sudo yum install -y chrony# 2. 启动 chronyd 服务并设置开机自启
sudo systemctl start chronyd
sudo systemctl enable chronyd
# 3. 强制立即与时间服务器同步,同步时间 1分钟~5分钟
sudo chronyc -a makestep
# 4. 查看时间同步状态
sudo chronyc sources -v
# 或查看当前系统时间:
date
六、配置防火墙
CentOS 7 支持 iptables 和 firewalld 两种防火墙管理方式,可根据实际需求选择。
6.1 使用 iptables
尽管系统默认采用 firewalld,许多管理员仍倾向于使用 iptables,因其操作更直观且控制更灵活。iptables 能实现更精细化的规则配置,尤其适合需要精准控制网络流量的场景。
6.1.1 整体思路
- 停止并禁用
firewalld; - 安装
iptables-services; - 设置默认策略;
- 编写放行规则;
- 保存规则并设置开机自启。
6.1.2 详细步骤
第 1 步:停止并禁用 Firewalld
# 第 1 步:停止并禁用 firewalld
sudo systemctl stop firewalld
sudo systemctl disable firewalld
第 2 步:安装并启动 Iptables Services
# 安装 iptables-services 包,它提供了保存规则和作为服务管理的功能
sudo yum install -y iptables-services# 启动iptables服务并设置开机自启
sudo systemctl start iptables
sudo systemctl enable iptables
第 3 步:设置默认策略(安全基础)
在添加任何允许规则之前,先设置最严格的默认策略:拒绝所有传入连接,允许所有传出连接,允许转发。
警告:在执行以下命令前,请确保你已经放行了 SSH 端口(通常是22),否则会立即断开远程连接! 最好在本地控制台操作。
# 1. 设置默认策略(非常重要!先做这一步)
sudo iptables -P INPUT DROP # 默认拒绝所有进来的流量
sudo iptables -P FORWARD DROP # 默认拒绝所有转发的流量
sudo iptables -P OUTPUT ACCEPT # 默认允许所有出去的流量# 2. 允许所有本地回环(lo)接口的通信,这是系统内部通信所必需的
sudo iptables -A INPUT -i lo -j ACCEPT# 3. 允许已建立的和相关联的连接通过
# 这条规则至关重要!它允许对外请求的返回数据包进入,否则无法正常上网和使用大多数服务。
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
第 4 步:添加具体的放行规则(按需开放)
现在,在严格的基础上,按需开放端口。
# 1. 允许SSH连接 (端口22) - 这是远程管理的生命线,必须开放!
# 可以使用 --dport 22 或 -m tcp -p tcp --dport 22,后者更精确
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT# 2. 允许PING (ICMP协议),便于网络诊断
sudo iptables -A INPUT -p icmp -j ACCEPT# 3. 允许HTTP (80) 和 HTTPS (443)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT# 4. 如果需要放行其他端口,例如MySQL (3306)、自定义端口(8080)
# sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
第 5 步:保存规则并重启服务
iptables 的命令规则默认只在内存中生效,重启后会丢失。必须使用以下命令保存到配置文件中。
# 保存当前内存中的规则到 /etc/sysconfig/iptables 文件
sudo service iptables save
# 或者使用
sudo /usr/libexec/iptables/iptables.init save# 重启iptables服务,确保配置加载无误
sudo systemctl restart iptables
第 6 步:验证配置
# 查看当前生效的所有iptables规则,检查配置是否正确
sudo iptables -L -v -n --line-numbers# 检查iptables服务状态
sudo systemctl status iptables
6.1.3 完整配置脚本示例
可将以下内容保存为 setup_iptables.sh 并执行(请在安全环境中测试):
#!/bin/bash# 停止firewalld
echo "Stopping firewalld..."
systemctl stop firewalld
systemctl disable firewalld# 安装iptables-services
echo "Installing iptables-services..."
yum install -y iptables-services# 设置默认策略和基础规则
echo "Setting up iptables rules..."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 添加放行规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p icmp -j ACCEPT # ICMP (Ping)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
# 在此添加你需要的其他规则...# 保存并启用
echo "Saving rules and enabling service..."
service iptables save
systemctl start iptables
systemctl enable iptablesecho "Configuration complete! Current rules:"
iptables -L -v -n
授权并执行:
chmod 744 setup_iptables.sh
sudo ./setup_iptables.sh
6.1.4 常用管理命令
| 命令 | 说明 |
|---|---|
sudo iptables -L -v -n | 查看当前规则(详细模式) |
sudo iptables -L -v -n --line-numbers | 查看规则并显示行号(用于删除规则) |
sudo iptables -D INPUT <行号> | 删除指定行号的规则 |
sudo service iptables save | 保存当前规则(必须执行) |
sudo systemctl restart iptables | 重启 iptables 服务 |
sudo systemctl status iptables | 查看服务状态 |
注意:服务部署完成后,需根据实际需求继续添加相应端口或协议的放行规则。
6.2 使用 firewalld
CentOS 7 默认使用 firewalld 作为防火墙前端管理工具。配置原则是:默认拒绝所有传入连接,只开放必要的端口。
# 1. 查看防火墙状态
sudo systemctl status firewalld
# 如果未启动,则启动并设置开机自启
sudo systemctl start firewalld
sudo systemctl enable firewalld# 2. 查看当前开放的端口和服务
sudo firewall-cmd --list-all# 3. 放行常用的服务端口(根据需求选择)
# 放行 SSH 端口(默认22,极其重要,确保自己能连上)
sudo firewall-cmd --permanent --add-service=ssh
# 放行 HTTP (80) 和 HTTPS (443) 端口,用于Web服务
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# 如果需要放行自定义端口,例如 8080
# sudo firewall-cmd --permanent --add-port=8080/tcp# 4. 重新加载防火墙配置使其生效
sudo firewall-cmd --reload# 5. 再次确认规则已生效
sudo firewall-cmd --list-all
重要安全提示:如果修改了 SSH 端口(例如改为 5922),一定要先放行新端口再关闭旧端口,否则可能导致自己无法远程连接!
sudo firewall-cmd --permanent --add-port=5922/tcp
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --reload
总结
服务器初始化分为以下几个步骤:
- 配置国内Yum源
- 安装运维的必备工具
- 网络验证
- 配置主机名
- 同步时间并且设置主机映射 为了加快主机之间访问速度
- 配置防火墙
- 设置 ssh 端口 以及用户的密码(设置密码复杂性 数字+大小写 符号+并且设置18位以上)或者公钥和私钥登录
完成以上所有步骤后,您的 CentOS 7 服务器就已完成了基本的安全与功能初始化。建议最后执行一次重启(sudo reboot),以确保所有配置(特别是内核更新和主机名设置)完全生效。此时服务器已处于安全、稳定、高效的状态,为后续应用部署和服务搭建奠定了坚实基础。