CentOS 7 服务器初始化:从 0 到 1 的安全高效配置指南
前言
对于运维或开发人员而言,新到手的 CentOS 7 服务器绝非 “开箱即用”—— 默认的国外软件源下载缓慢、系统缺乏基础工具、防火墙未做安全配置,这些问题都会影响后续使用效率与服务器安全性。本文整理了 CentOS 7 服务器初始化的全套实操方案,涵盖源配置、系统更新、网络验证、时间同步、防火墙等核心环节,每一步均提供可直接复用的命令与安全提示,帮你快速搭建稳定、安全的服务器基础环境。
一、服务器初始化核心步骤
1. 配置国内 Yum 源:加速软件安装
CentOS 默认的国外 Yum 源下载速度慢,甚至可能因网络问题失败,替换为国内源(阿里云、清华源)是初始化的第一步。
操作步骤
# 1. 备份原Yum源(防止配置出错后无法恢复)
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup# 2. 下载国内源(二选一,推荐阿里云,稳定性更强)
# 阿里云CentOS 7基础源
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
# 清华源(备选):sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo# 3. 配置EPEL源(提供官方源外的额外软件,如htop、tree)
sudo yum install -y epel-release
sudo sed -e 's|^metalink=|#metalink=|g' \-e 's|^#baseurl=|baseurl=|g' \-e 's|^//download.fedoraproject.org/pub|//mirrors.aliyun.com|g' \-e 's|http://download.example|https://mirrors.aliyun.com|g' \-i /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel-testing.repo# 4. 清理旧缓存+生成新缓存(让新源生效)
sudo yum clean all
sudo yum makecache
可选:如果想用清华源,将第2步命令替换为: sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo
[root@localhost yum.repos.d]# rz -E
rz waiting to receive.
[root@localhost yum.repos.d]# curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo% Total % Received % Xferd Average Speed Time Time Time CurrentDload Upload Total Spent Left Speed
100 2523 100 2523 0 0 4584 0 --:--:-- --:--:-- --:--:-- 4595
[root@localhost yum.repos.d]# yum clean all
已加载插件:fastestmirror, langpacks
正在清理软件源: base extras updates
Cleaning up list of fastest mirrors
[root@localhost yum.repos.d]# yum makecache
已加载插件:fastestmirror, langpacks
Determining fastest mirrors* base: mirrors.aliyun.com* extras: mirrors.aliyun.com* updates: mirrors.aliyun.com
base | 3.6 kB 00:00:00
extras | 2.9 kB 00:00:00
updates | 2.9 kB 00:00:00
(1/10): base/7/x86_64/group_gz | 153 kB 00:00:00
(2/10): extras/7/x86_64/filelists_db | 305 kB 00:00:00
(3/10): extras/7/x86_64/other_db | 154 kB 00:00:00
(4/10): base/7/x86_64/other_db | 2.6 MB 00:00:00
(5/10): updates/7/x86_64/filelists_db | 15 MB 00:00:01
(6/10): updates/7/x86_64/other_db | 1.6 MB 00:00:00
(7/10): updates/7/x86_64/primary_db | 27 MB 00:00:02
base/7/x86_64/filelists_db FAILED
http://mirrors.aliyuncs.com/centos/7/os/x86_64/repodata/d6d94c7d406fe7ad4902a97104b39a0d8299451832a97f31d71653ba982c955b-filelists.sqlite.bz2: [Errno 14] curl#7 - "Failed connect to mirrors.aliyuncs.com:80; Connection refused"
正在尝试其它镜像。
base/7/x86_64/primary_db FAILED
http://mirrors.cloud.aliyuncs.com/centos/7/os/x86_64/repodata/6d0c3a488c282fe537794b5946b01e28c7f44db79097bb06826e1c0c88bad5ef-primary.sqlite.bz2: [Errno 14] curl#7 - "Failed connect to mirrors.cloud.aliyuncs.com:80; Connection refused"
正在尝试其它镜像。
extras/7/x86_64/primary_db FAILED
http://mirrors.aliyuncs.com/centos/7/extras/x86_64/repodata/e12dbf10e94bc2b33b1f45e026559bc8685728b139dddae0654d96bc624c5602-primary.sqlite.bz2: [Errno 14] curl#7 - "Failed connect to mirrors.aliyuncs.com:80; Connection refused"
正在尝试其它镜像。
(8/10): base/7/x86_64/filelists_db | 7.2 MB 00:00:00
(9/10): base/7/x86_64/primary_db | 6.1 MB 00:00:00
(10/10): extras/7/x86_64/primary_db | 253 kB 00:00:00
元数据缓存已建立
[root@localhost yum.repos.d]# yum install -y epel-release
已加载插件:fastestmirror, langpacks
Loading mirror speeds from cached hostfile* base: mirrors.aliyun.com* extras: mirrors.aliyun.com* updates: mirrors.aliyun.com
正在解决依赖关系
--> 正在检查事务
---> 软件包 epel-release.noarch.0.7-11 将被 安装
--> 解决依赖关系完成依赖关系解决=================================================================================================================================Package 架构 版本 源 大小
=================================================================================================================================
正在安装:epel-release noarch 7-11 extras 15 k事务概要
=================================================================================================================================
安装 1 软件包总下载量:15 k
安装大小:24 k
Downloading packages:
警告:/var/cache/yum/x86_64/7/extras/packages/epel-release-7-11.noarch.rpm: 头V3 RSA/SHA256 Signature, 密钥 ID f4a80eb5: NOKEY
epel-release-7-11.noarch.rpm 的公钥尚未安装
epel-release-7-11.noarch.rpm | 15 kB 00:00:00
从 http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7 检索密钥
导入 GPG key 0xF4A80EB5:用户ID : "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>"指纹 : 6341 ab27 53d7 8a78 a7c2 7bb1 24c6 a8a7 f4a8 0eb5来自 : http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction正在安装 : epel-release-7-11.noarch 1/1 验证中 : epel-release-7-11.noarch 1/1 已安装:epel-release.noarch 0:7-11 完毕!2. 系统更新 + 必备工具安装
更新系统可修复安全漏洞,安装基础工具能提升后续运维效率,这一步是服务器 “可用性” 的基础。
操作命令
# 1. 全量更新系统(内核更新需重启生效)
sudo yum update -y# 2. 安装高频运维工具(一键部署)
sudo yum install -y \vim-enhanced \ # 增强版编辑器(支持语法高亮)wget curl \ # 网络下载/请求工具telnet net-tools \ # 网络诊断(含ifconfig)bash-completion \ # 命令自动补全(输一半按Tab)lsof \ # 查看进程占用文件/端口sysstat \ # 系统性能监控(含iostat/sar)htop \ # 进程管理(比top更直观)tree \ # 树状展示目录结构git \ # 版本控制工具unzip \ # 解压ZIP文件lrzsz # 终端文件传输(sz下载/rz上传)# 3. 开发环境可选(需编译软件时安装)
# sudo yum groupinstall -y "Development Tools"
3. 网络连接验证:确保基础通信正常
服务器无法联网会导致后续所有操作失败,需优先验证网络连通性与 DNS 解析能力。
验证步骤
# 1. 查看IP地址(确认网卡已启动)
ip addr show # 或 ifconfig# 2. 测试DNS解析(能解析百度说明DNS正常)
ping -c 4 www.baidu.com # -c 4:只发4个包,避免一直ping# 3. 测试外网连通性(直连IP,排除DNS问题)
ping -c 4 114.114.114.114# 4. 网络异常排查(查看网卡配置文件)
# 注意:网卡名可能是eth0/ens33,需根据实际情况修改
cat /etc/sysconfig/network-scripts/ifcfg-eth0
4. 配置主机名:便于服务器管理
默认主机名(如localhost)不便于识别,尤其是多服务器场景,需自定义有辨识度的主机名。
配置步骤
# 1. 查看当前主机名
hostname# 2. 设置新主机名(示例:centos7-master,可自定义)
sudo hostnamectl set-hostname centos7-master# 3. 修改hosts文件(避免软件因主机名解析失败报错)
sudo vim /etc/hosts
# 在文件末尾添加:127.0.0.1 centos7-master# 4. 立即生效(无需重启,重新登录终端也可)
bash
5. 时间同步:保证服务器时间准确
服务器时间偏差会导致日志时序混乱、证书验证失败等问题,需通过 chrony 服务同步标准时间。
配置步骤
# 1. 安装chrony(CentOS 7推荐时间同步工具,轻量稳定)
sudo yum install -y chrony# 2. 启动服务+设置开机自启
sudo systemctl start chronyd
sudo systemctl enable chronyd# 3. 强制立即同步时间
sudo chronyc -a makestep# 4. 验证同步状态
sudo chronyc sources -v # 查看时间服务器连接情况
date # 查看当前系统时间是否正确
6. 防火墙配置:筑牢服务器安全第一道防线
CentOS 7 提供iptables和firewalld两种防火墙工具,核心原则是 “默认拒绝入站,只开放必要端口”,按需选择一种配置即可。
6.1 经典方案:iptables 配置
适合习惯直接控制规则的场景,需先关闭默认的 firewalld。
操作步骤
# 1. 停止并禁用firewalld(为iptables让路)
sudo systemctl stop firewalld
sudo systemctl disable firewalld# 2. 安装iptables服务(提供规则保存/开机自启功能)
sudo yum install -y iptables-services
sudo systemctl start iptables
sudo systemctl enable iptables# 3. 设置默认安全策略(先做!拒绝所有入站,允许出站)
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT# 4. 基础必要规则(确保系统正常运行)
sudo iptables -A INPUT -i lo -j ACCEPT # 允许本地回环(系统内部通信)
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许已建立连接的返回流量# 5. 开放常用端口(按需调整)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH(远程管理必备,不可少)
sudo iptables -A INPUT -p icmp -j ACCEPT # 允许PING(便于网络诊断)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP(Web服务)
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS(加密Web服务)
# 自定义端口示例:sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT# 6. 保存规则(否则重启后失效)+ 重启服务
sudo service iptables save
sudo systemctl restart iptables# 7. 验证规则(查看是否生效)
sudo iptables -L -v -n --line-numbers
6.2 默认方案:firewalld 配置
CentOS 7 原生工具,操作更简洁,适合快速配置。
操作步骤
# 1. 启动服务+设置开机自启(若未启动)
sudo systemctl start firewalld
sudo systemctl enable firewalld# 2. 查看当前开放的端口/服务
sudo firewall-cmd --list-all# 3. 开放常用服务/端口(--permanent表示永久生效)
sudo firewall-cmd --permanent --add-service=ssh # SSH(必开)
sudo firewall-cmd --permanent --add-service=http # HTTP
sudo firewall-cmd --permanent --add-service=https # HTTPS
# 自定义端口示例:sudo firewall-cmd --permanent --add-port=8080/tcp# 4. 重新加载配置(让规则生效)
sudo firewall-cmd --reload# 5. 验证生效
sudo firewall-cmd --list-all
安全提示
若修改 SSH 端口(如从 22 改为 5922),需先开放新端口,再删除旧端口规则,避免远程连接断开:
sudo firewall-cmd --permanent --add-port=5922/tcp
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --reload
二、初始化收尾:确保所有配置生效
完成上述步骤后,建议执行一次服务器重启,让内核更新、主机名等配置完全生效:
sudo reboot
重启后可通过以下命令验证核心配置:
-
查看 Yum 源:
yum repolist(国内源会显示 “aliyun” 或 “tsinghua”) -
查看主机名:
hostname -
查看时间:
date -
查看防火墙规则:
iptables -L -n(或firewall-cmd --list-all)
结尾
① 安装yum 网络源(国内源)(下载/用资源) 有外网
做本地yum源 配置路径并且设置挂载 内网
[local]
name=local
baseurl=file:///mnt
enabled=1
gpgcheck=0
yum clean all && yum makecache
镜像挂载 最好设置永久性挂载 /etc/fstab
注意:用之前删除 国外源 或者备份!!
② 安装运维的必备工具
vim-enhanced \ # 加强版的vi编辑器
wget \ # 命令行下载工具
curl \ # 网络数据传输工具
telnet \ # 网络诊断工具
net-tools \ # 包含ifconfig等网络工具
bash-completion \ # 命令自动补全增强
lsof \ # 列出打开的文件
sysstat \ # 系统性能监控工具(包含iostat, sar等)
htop \ # 交互式进程查看器(比top更好用)
tree \ # 以树状图列出目录内容
git \ # 版本控制工具 前期我不用 等我们后期学完正在学CICD的时候会用
unzip \ # 解压zip文件 tar.gz
lrzsz # 提供sz(下载)、rz(上传)命令,方便Xshell等终端传输文件
③ 网络验证
首先查看当前网卡有没有启动 和配置IP
ping 域名 www.baidu.com 如果有问题 查看DNS配置 网卡有没有启动等
④ 配置主机名 并且 设置主机映射 为了加快主机之间访问速度
⑤ 时间同步 chronyd(主(时间同步1分钟~5分钟会同步一次)) ntp
⑥ 防火墙 设置 安装并且设置 开放端口
⑦ 设置 ssh 端口 以及 用户的密码 (设置密码复杂性 数字 大小写 符号 并且设置18位以上)
公钥和私钥登录
服务器初始化是运维工作的 “地基”—— 国内 Yum 源提升软件安装效率,系统更新与防火墙保障安全性,时间同步与主机名配置则为后续运维埋下便利伏笔。本文的每一步操作均经过实战验证,可直接应用于生产环境(建议先在测试机验证)。后续部署业务时,只需根据服务需求(如 MySQL 需开放 3306 端口、Redis 需开放 6379 端口)补充防火墙规则,即可快速上线服务。
如果在操作中遇到问题,可优先检查命令拼写、网络连通性或防火墙规则,也欢迎在评论区交流讨论!