初始化服务器是服务器部署后至关重要的基础环节,它直接关系到服务器的安全性、稳定性及后续运维效率,无论是新购入的云服务器还是物理机,规范的初始化操作能确保系统处于最佳运行状态,避免因配置疏漏导致的安全风险或性能问题,以下从准备工作、系统更新、安全加固、用户管理、网络配置、服务优化、监控备份等方面详细说明初始化服务器的完整流程及注意事项。
初始化前的准备工作
在开始操作前,需明确服务器的基本信息,包括操作系统版本(如CentOS 7+/Ubuntu 20.04+)、硬件配置(CPU、内存、磁盘容量)、网络环境(内网IP、公网IP、子网掩码、网关、DNS)以及后续部署的应用需求(如Web服务、数据库等),这些信息将决定后续配置的细节,例如磁盘分区规划、防火墙规则设置等,建议通过控制台或远程连接工具(如SSH)登录服务器,确保网络连通性正常,并准备必要的初始化脚本(如自动化配置脚本),以提高效率。
系统更新与基础软件安装
初始化服务器后,首先应更新系统包到最新版本,修复已知漏洞并获取最新的功能特性,以CentOS系统为例,可通过以下命令完成更新:
yum update -y && yum upgrade -y
对于Ubuntu系统,则使用:
apt update && apt upgrade -y
更新完成后,安装基础运维工具,如文本编辑器(vim)、网络工具(net-tools、telnet)、下载工具(wget、curl)等,这些工具在日常管理中高频使用。
yum install -y vim net-tools wget curl # CentOS apt install -y vim net-tools wget curl # Ubuntu
安全加固配置
安全是服务器初始化的核心,需重点从以下几个方面加固:
修改默认端口与禁用root远程登录
SSH服务是远程管理的主要入口,默认端口22易受暴力破解攻击,可通过修改/etc/ssh/sshd_config文件,将Port设置为自定义端口(如2222),并禁用root直接登录:
PermitRootLogin no PasswordAuthentication no # 后续建议基于密钥认证
修改后重启SSH服务:systemctl restart sshd。
配置防火墙规则
启用系统自带防火墙(如CentOS的firewalld或Ubuntu的ufw),仅开放必要端口(如HTTP 80、HTTPS 443、SSH自定义端口),以firewalld为例:
firewall-cmd --permanent --add-port=2222/tcp # 开放SSH端口 firewall-cmd --permanent --add-service=http # 开放HTTP服务 firewall-cmd --permanent --add-service=https # 开放HTTPS服务 firewall-cmd --reload # 重新加载规则
安装安全工具
部署入侵检测工具(如fail2ban,防止暴力破解)、日志审计工具(如auditd,记录关键操作)和恶意软件扫描工具(如clamav),定期检查系统异常。
不同系统安全工具对比
| 工具名称 | 作用 | 支持系统 | 安装命令 |
|---|---|---|---|
| fail2ban | 防止SSH/暴力破解 | CentOS/Ubuntu | yum install -y fail2ban 或 apt install -y fail2ban |
| auditd | 系统日志审计 | CentOS/Ubuntu | yum install -y auditd 或 apt install -y auditd |
| clamav | 恶意软件扫描 | CentOS/Ubuntu | yum install -y clamav 或 apt install -y clamav |
用户与权限管理
为避免直接使用root用户,需创建普通管理用户并配置sudo权限,例如创建用户admin并设置强密码:
useradd -m admin # 创建用户并创建家目录 passwd admin # 设置密码
编辑/etc/sudoers文件(使用visudo命令),添加admin ALL=(ALL) NOPASSWD:ALL,使admin用户无需密码执行sudo命令(根据安全需求可设置密码验证),配置SSH密钥认证:在本地客户端生成密钥对(ssh-keygen),将公钥(~/.ssh/id_rsa.pub)上传至服务器的/home/admin/.ssh/authorized_keys文件中,并设置权限(600),禁用密码登录(前文SSH配置中已设置PasswordAuthentication no)。
网络与时间配置
静态IP配置
避免使用DHCP分配的动态IP,防止IP变化导致服务中断,以CentOS 7为例,编辑网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0:
TYPE=Ethernet BOOTPROTO=static IPADDR=192.168.1.100 # 静态IP NETMASK=255.255.255.0 # 子网掩码 GATEWAY=192.168.1.1 # 网关 DNS1=8.8.8.8 # DNS DNS2=114.114.114.114 ONBOOT=yes
重启网络服务:systemctl restart network,Ubuntu系统可通过/etc/netplan/01-netcfg.yaml配置,格式类似。
时间同步
确保服务器时间与标准时间一致,避免证书、日志时间错误,安装NTP服务并同步:
yum install -y ntp # CentOS apt install -y ntp # Ubuntu systemctl start ntpd && systemctl enable ntpd ntpdate time.windows.com # 手动同步(可选)
服务优化与资源限制
关闭不必要的服务
减少系统资源占用,降低安全风险,例如关闭邮件服务、打印服务等:
systemctl stop postfix && systemctl disable postfix # CentOS systemctl stop cups && systemctl disable cups # 通用
调整系统资源限制
编辑/etc/security/limits.conf文件,优化文件描述符数、进程数等限制,避免高并发场景下资源耗尽:
* soft nofile 65535 * hard nofile 65535 * soft nproc 32768 * hard nproc 32768
监控与备份策略
监控配置
部署监控系统(如Prometheus+Grafana或Zabbix),实时监控CPU、内存、磁盘、网络等指标,设置阈值告警(如磁盘使用率超过80%时通知管理员)。
备份计划
制定定期备份策略,包括全量备份(如每周日)和增量备份(如每天),备份内容包括系统配置文件、应用数据、数据库等,使用rsync或tar工具实现备份,并将备份文件存储至异地服务器或对象存储(如阿里云OSS、AWS S3),避免单点故障,通过rsync备份/etc目录:
rsync -avz /etc/ backup@remote:/backup/server/etc/ # 远程备份
FAQs
问题1:初始化服务器时忘记创建备份,直接进行了系统配置,如何补救?
解答:若未提前备份,可立即通过快照功能(云服务器)或创建磁盘镜像(物理机)保存当前状态,若快照不可用,可手动备份关键目录(如/etc、/home、/var)和配置文件,使用tar命令打包:tar -czf backup_$(date +%Y%m%d).tar.gz /etc /home /var,记录已执行的配置操作(如修改的文件、安装的软件),以便后续排查问题。
问题2:如何验证服务器初始化是否成功完成?
解答:可通过以下步骤验证:(1)安全检查:确认防火墙规则已生效(firewall-cmd --list-all),SSH非默认端口登录成功,root用户无法直接登录;(2)功能检查:网络连通性正常(ping 8.8.8.8),时间同步准确(date命令查看),基础工具可用(如vim、wget);(3)性能检查:无异常进程(top命令),磁盘空间充足(df -h),日志无报错(/var/log/messages或/var/log/syslog),若所有检查项均正常,则初始化成功。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/26383.html
