0x01 前言

我在淘宝上买了一台HP ProLiant DL380 G6服务器,关于这服务器的介绍我会在这两天写篇文章介绍介绍。这篇文章里的系统就是运行在这服务器上面的。手上也没闲置的vps,也没有合适的电脑给我玩弄,所以这还是挺贴合市面上实际KVM环境。

其实从服务商那开通主机后并不能立即配置、上线服务,要先做些小配置和适配性修改才能开始放置自己的文件。这是为了能更好地适配你的程序,也能提高安全性。这里我不写关于内核的修改。

因为我也是处于学习阶段,如果有错误或不适当的地方,欢迎通过邮件或留言与我取得联系。我也欢迎读者们给我留下你所遇到的问题,我最喜欢解决问题了。

0x02 环境

  • 系统:centos7
  • 虚拟化技术:KVM

0x03 升级系统、安装常用包

要注意的是,某些主机是不允许升级内核的,不过近一年我使用的VPS都没发生过这种情况。

安装EPEL源

请注意别滥用yum中的 -y 函数。除非你安装的东西或过程是你熟悉或实践过的。

升级系统

升级系统而不升级内核

这里说说update和upgrade的区别:两者的作用都是将软件包升级到最新版。可是upgrade会考虑取代关系,如果有个包foo改名为foo2,那么upgrade会将foo升级为foo2并将foo删除!如果你的系统已经存在运行中的服务,且服务正常运行着,没重大的安全隐患不要使用upgrade升级系统。

安装常用包

这些都是我常用的,有些VPS的系统确实很纯净,什么都没有。

0x04 关闭一些程序

因为我对selinux不熟悉,所以我选择将其关闭

centos7开始已经用firewalld替代,我试用过一段时间,觉得还需要比较长的时间学习才能懂得如何应用。这里我也选择关闭firewalld

我也并不需要IPv6,在这里,我选择从系统启动就不加载它。有些vps不允许修改grub.cfg,请跳过这里并继续往下看。

对于不允许修改grub.cfg,或这个文件不存在的系统,可以通过如下方法禁用IPv6

0x05 启用iptables

0x06 设置iptables

我的服务器主要用于网站和radiusd,所以我只放行80,443,1812,1813和SSH端口9099。

我的SSH端口不是默认的22,而是修改后的9099(临时的,写文章用,请手下留情)。所以我会删除预设的22放行规则,也删除一切reject规则,我只通过对INPUT的规则对网络流量进行控制。

3.pic
添加参数 –line-number 可以显示行号,方便删除操作。

添加放行端口

默认情况下,所有规则都是开放的,我要对进站(INPUT)的所有数据包都DROP,只有我ACCEPT的规则才能通行,这能起到一定的防护作用。

保存修改并重新加载iptables,重启iptables前请再次审视SSH的端口是否放行,如果出错,你将无法通过SSH登陆服务器!

记住修改完后要重新审视规则,以防有错!

0x07 配置SSH

无论你的服务器是用在外网还是内网,默认的SSH端口都必须更改。安全是最重要的。同时使用证书登陆,那就更好了。

生成ssh key

重启SSH服务

0x08 修改hostname

如果你有多台服务器,那hostname将是区分这些服务器最好的方法。你可以通过以下命令进行修改

完成,重启一遍。可以部署你的服务啦!

0x09 相关视频

  • EP4 – 新安装的centos7前期准备

https://www.bilibili.com/video/av10446815/