刚接手一台新的服务器,第一件事就是把基础环境搭好。很多人觉得装个Linux系统很简单,点点鼠标就完事了,但真正用在生产环境里,光是系统配置就得抠不少细节。
选择合适的发行版
常见的有 CentOS、Ubuntu 和 Debian。如果你习惯稳定更新,CentOS 7 或 Rocky Linux 8 都挺合适;要是喜欢新版本软件包,Ubuntu Server LTS 版本更友好。比如公司内部部署监控系统,选 Ubuntu 能省去很多依赖安装的麻烦。
最小化安装减少风险
安装系统时建议选“最小化安装”(Minimal Install),只装最基础的组件。多余的图形界面、开发工具全都不装,这样不仅启动快,还能降低被攻击的风险。装完后连上网络,第一件事就是升级系统:
yum update -y如果是 Ubuntu,则用:
apt update && apt upgrade -y配置网络和主机名
静态IP通常更方便管理。编辑网络配置文件,比如在 CentOS 上修改 /etc/sysconfig/network-scripts/ifcfg-eth0,把 BOOTPROTO 改成 static,然后填上 IPADDR、NETMASK、GATEWAY 这些参数。
主机名也别用默认的 localhost.localdomain,改成有意义的名字,比如 web01、db-backup-02,运维时一眼就知道是干啥的。
创建普通用户并启用sudo
root 账号直接登录太危险,应该建个普通用户用来日常操作。比如加个用户 deploy:
useradd deploy
passwd deploy然后给它 sudo 权限:
visudo在文件里加上:
deploy ALL=(ALL) NOPASSWD: ALLSSH安全加固
改掉默认的22端口,禁止root远程登录,这两条能挡住大部分暴力扫描。编辑 /etc/ssh/sshd_config:
Port 2222
PermitRootLogin no
PasswordAuthentication no保存后重启服务:
systemctl restart sshd记得提前配好密钥登录,不然可能把自己锁在外面。
安装常用工具包
刚装好的系统往往缺一些基本工具。装几个顺手的,比如 wget、vim、htop、net-tools:
yum install -y wget vim htop net-toolsUbuntu 上则是:
apt install -y wget vim htop net-tools时间同步不能少
服务器时间不准,日志对不上,排查问题会头疼。启用 NTP 同步:
timedatectl set-ntp true查看当前时间状态:
timedatectl status确保时区正确,比如设置为上海:
timedatectl set-timezone Asia/Shanghai防火墙简单配置
CentOS 默认用 firewalld,开几个必要端口就行。比如只对外开放 80 和 443:
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reloadUbuntu 上可以用 ufw,更简洁:
ufw allow 80
ufw allow 443
ufw enable最后做个快照或备份
环境调好了别急着往上堆应用,先做个系统快照或者备份镜像。哪天配置改乱了,或者软件冲突,能快速回退。云服务器一般都有快照功能,本地虚拟机也可以用 tar 打个基础包存着。
一套干净的 Linux 系统环境,就像装修好的毛坯房,水电都通了,接下来才能安心添家具。