前言
????????在云計算與自動化運維日益成熟的今天,快速、批量地部署服務器已成為常態。然而,一臺新構建的云服務器或新安裝的物理服務器,僅僅是一個可運行的操作系統內核,遠未達到投入生產環境或開發測試的標準。一個缺乏標準化配置的“裸”服務器,往往伴隨著軟件源陳舊、工具鏈缺失、時間不同步、安全策略空白等一系列問題,如同地基不穩的建筑,為后續的應用部署和系統穩定性埋下隱患。
????????服務器初始化流程正是為此而生,它是系統生命周期中至關重要的一環。本流程所聚焦的配置YUM源、安裝必備工具、網絡驗證、設置主機名、同步系統時間、配置防火墻等核心步驟,旨在通過一系列標準化操作,將一臺原始服務器快速塑造為一臺安全、穩定、高效、可用的標準化資產。這不僅為后續自動化配置和應用部署鋪平了道路,更是構建健壯IT基礎設施的堅實第一步。執行本流程,意味著我們正系統性地為服務器的長期穩定運行打下堅實的基礎。
1?配置國內 Yum 源(加速軟件安裝)
將默認的國外源替換為國內源(如阿里云、清華源),速度會快很多。
# 1. 備份原有的源文件,以防萬一 sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup ? # 2. 下載阿里云的 CentOS 7 源文件 (推薦阿里云,速度快且穩定) sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo ? # 3. 下載阿里云的 EPEL 源 (Extra Packages for Enterprise Linux,提供大量額外軟件) sudo yum install -y epel-release sudo sudo sed -e 's|^metalink=|#metalink=|g' \-e 's|^#baseurl=|baseurl=|g' \-e 's|^//download.fedoraproject.org/pub|//mirrors.aliyun.com|g' \-e 's|http://download.example|https://mirrors.aliyun.com|g' \-i /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel-testing.repo ? # 4. 清理舊緩存并生成新緩存 sudo yum clean all sudo yum makecache
可選:如果想用清華源,將第2步命令替換為: sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo
2?更新系統與安裝必備工具
系統更新可以獲取最新的安全補丁和軟件包。安裝常用工具便于后續維護和開發。
# 1. 更新整個系統(內核更新需要重啟生效) sudo yum update -y ? # 2. 安裝一批最常用的工具 sudo yum install -y \vim-enhanced \ ? ?????????# 加強版的vi編輯器wget \ ? ? ? ? ? ?????????# 命令行下載工具curl \ ? ? ? ? ? ?????????# 網絡數據傳輸工具telnet \ ? ? ? ? ?????????# 網絡診斷工具net-tools \ ? ? ? ????????# 包含ifconfig等網絡工具bash-completion \ ????????# 命令自動補全增強lsof \ ? ? ? ? ? ?????????# 列出打開的文件sysstat \ ? ? ? ? ????????# 系統性能監控工具(包含iostat, sar等)htop \ ? ? ? ? ? ?????????# 交互式進程查看器(比top更好用)tree \ ? ? ? ? ? ?????????# 以樹狀圖列出目錄內容git \ ? ? ? ? ? ? ????????# 版本控制工具unzip \ ? ? ? ? ? ????????# 解壓zip文件lrzsz ? ? ? ? ? ? ????????# 提供sz(下載)、rz(上傳)命令,方便Xshell等終端傳輸文件 ? # 如果需要開發環境,還可以安裝 # sudo yum groupinstall -y "Development Tools" ? 批量下載以上工具:yum install -y vim-enhanced wget curl telnet net-tools bash-completion lsof sysstat htop tree git unzip lrzsz ? ? ?
3?網絡連接驗證
確保機器能正常訪問網絡,這是后續所有操作的基礎。
# 1. 查看當前IP地址,確認網絡接口已啟動 ip addr show 或 ifconfig ? # 2. 測試是否能解析域名(檢查DNS) ping -c 4 www.baidu.com ? # 3. 測試是否能訪問外網 ping -c 4 114.114.114.114 ? # 如果無法上網,需要檢查網絡配置 # cat /etc/sysconfig/network-scripts/ifcfg-eth0 (網卡名可能不同,如ens33)
4?配置主機名
方便識別和管理服務器,而不是只靠IP地址。
# 1. 查看當前主機名 hostname ? # 2. 設置新的主機名(例如:centos7-master) sudo hostnamectl set-hostname centos7-master ? # 3. 修改 hosts 文件,將本機主機名解析到本地,避免某些軟件報錯 # 在文件末尾添加一行:127.0.0.1 <你的主機名> sudo vim /etc/hosts # 例如添加:127.0.0.1 centos7-master ? # 4. 重新登錄Shell后生效,或者執行以下命令立即生效#????bash
5?同步時間
保證服務器時間準確,對于日志分析、證書驗證等至關重要。
# 1. 安裝 chrony 時間同步服務(CentOS 7 首選) sudo yum install -y chrony ? # 2. 啟動 chronyd 服務并設置開機自啟 sudo systemctl start chronyd sudo systemctl enable chronyd ? # 3. 強制立即與時間服務器同步????????sudo chronyc -a makestep ? # 4. 查看時間同步狀態 ???????? sudo chronyc sources -v # 或查看當前系統時間 ???????? date
根據deepseek解釋:
開始排錯解決問題:
6?配置防火墻 (兩種方式)
6.1 iptables
????????好的,在 CentOS 7 上配置 iptables 是一個經典且強大的技能。雖然系統默認使用 firewalld,但很多管理員更喜歡直接使用 iptables 的簡潔和直接控制。
以下是關閉 firewalld 并配置 iptables 的詳細步驟。
整體思路
停止并禁用 firewalld:為 iptables 讓路。
安裝 iptables-services:提供
iptables的保存和服務管理功能。設置默認策略:定義“默認拒絕”的安全基礎。
編寫具體的放行規則:按需開放端口。
保存規則并設置開機自啟:確保配置永久生效。
詳細步驟
第 1 步:停止并禁用 Firewalld
sudo systemctl stop firewalld sudo systemctl disable firewalld
第 2 步:安裝并啟動 Iptables Services
# 安裝 iptables-services 包,它提供了保存規則和作為服務管理的功能 sudo yum install -y iptables-services ? # 啟動iptables服務并設置開機自啟 sudo systemctl start iptables sudo systemctl enable iptables
第 3 步:設置默認策略(安全基礎)
在添加任何允許規則之前,先設置最嚴格的默認策略:拒絕所有傳入連接,允許所有傳出連接,允許轉發。
警告:在執行以下命令前,請確保你已經放行了 SSH 端口(通常是22),否則會立即斷開遠程連接! 最好在本地控制臺操作。
# 1. 設置默認策略(非常重要!先做這一步) sudo iptables -P INPUT DROP ? ?# 默認拒絕所有進來的流量 sudo iptables -P FORWARD DROP ?# 默認拒絕所有轉發的流量 sudo iptables -P OUTPUT ACCEPT # 默認允許所有出去的流量 ? # 2. 允許所有本地回環(lo)接口的通信,這是系統內部通信所必需的 sudo iptables -A INPUT -i lo -j ACCEPT ? # 3. 允許已建立的和相關聯的連接通過 # 這條規則至關重要!它允許對外請求的返回數據包進入,否則無法正常上網和使用大多數服務。 sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
第 4 步:添加具體的放行規則(按需開放)
現在,在嚴格的基礎上,按需開放端口。
# 1. 允許SSH連接 (端口22) - 這是遠程管理的生命線,必須開放! # 可以使用 --dport 22 或 -m tcp -p tcp --dport 22,后者更精確 sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT ? # 2. 允許PING (ICMP協議),便于網絡診斷 sudo iptables -A INPUT -p icmp -j ACCEPT ? # 3. 允許HTTP (80) 和 HTTPS (443) sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT ? # 4. 如果需要放行其他端口,例如MySQL (3306)、自定義端口(8080) # sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT # sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
第 5 步:保存規則并重啟服務
iptables 的命令規則默認只在內存中生效,重啟后會丟失。必須使用以下命令保存到配置文件中。
# 保存當前內存中的規則到 /etc/sysconfig/iptables 文件 sudo service iptables save # 或者使用 sudo /usr/libexec/iptables/iptables.init save ? # 重啟iptables服務,確保配置加載無誤 sudo systemctl restart iptables
第 6 步:驗證配置
# 查看當前生效的所有iptables規則,檢查配置是否正確 sudo iptables -L -v -n --line-numbers ? # 檢查iptables服務狀態 sudo systemctl status iptables
一個完整的配置腳本示例
你可以將以下內容保存為一個腳本(如 setup_iptables.sh),然后執行,但務必在安全的環境下(如本地虛擬機)先測試,或者確保已放行 SSH。
#!/bin/bash ? # 停止firewalld echo "Stopping firewalld..." systemctl stop firewalld systemctl disable firewalld ? # 安裝iptables-services echo "Installing iptables-services..." yum install -y iptables-services ? # 設置默認策略和基礎規則 echo "Setting up iptables rules..." iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ? # 添加放行規則 iptables -A INPUT -p tcp --dport 22 -j ACCEPT ? ?# SSH iptables -A INPUT -p icmp -j ACCEPT ? ? ? ? ? ? ?# ICMP (Ping) iptables -A INPUT -p tcp --dport 80 -j ACCEPT ? ?# HTTP iptables -A INPUT -p tcp --dport 443 -j ACCEPT ? # HTTPS # 在此添加你需要的其他規則... ? # 保存并啟用 echo "Saving rules and enabling service..." service iptables save systemctl start iptables systemctl enable iptables ? echo "Configuration complete! Current rules:" iptables -L -v -n
給腳本執行權限并運行:
chmod +x setup_iptables.sh sudo ./setup_iptables.sh
常用管理命令
| 命令 | 說明 |
|---|---|
sudo iptables -nvL | 查看當前規則(詳細模式,不解析IP為主機名) |
sudo iptables -nvL --line-numbers | 查看規則并顯示行號(用于刪除規則) |
sudo iptables -D INPUT <規則行號> | 刪除INPUT鏈中指定行號的規則 |
sudo service iptables save | 保存當前規則(必須做,否則重啟失效) |
sudo systemctl restart iptables | 重啟iptables服務 |
sudo systemctl status iptables | 查看iptables服務狀態 |
通過以上步驟,你就成功地用 iptables 為你的 CentOS 7 服務器構建了一個簡單而堅固的防火墻。
注意:這里可以設置默認 等服務部署完之后需要添加服務端口(協議)放行
6.2?firewalld
CentOS 7 默認使用 firewalld 作為防火墻前端管理工具。配置原則是:默認拒絕所有傳入連接,只開放必要的端口。
# 1. 查看防火墻狀態 sudo systemctl status firewalld # 如果未啟動,則啟動并設置開機自啟 sudo systemctl start firewalld sudo systemctl enable firewalld# 2. 查看當前開放的端口和服務 sudo firewall-cmd --list-all# 3. 放行常用的服務端口(根據需求選擇)# 放行 SSH 端口(默認22,極其重要,確保自己能連上) sudo firewall-cmd --permanent --add-service=ssh# 放行 HTTP (80) 和 HTTPS (443) 端口,用于Web服務 sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --permanent --add-service=https# 如果需要放行自定義端口,例如 8080 # sudo firewall-cmd --permanent --add-port=8080/tcp# 4. 重新加載防火墻配置使其生效 sudo firewall-cmd --reload# 5. 再次確認規則已生效 sudo firewall-cmd --list-all
重要安全提示:如果修改了 SSH 端口(例如改為 5922),一定要先放行新端口再關閉舊端口,否則可能導致自己無法遠程連接!
sudo firewall-cmd --permanent --add-port=5922/tcp sudo firewall-cmd --permanent --remove-service=ssh sudo firewall-cmd --reload
????????完成以上所有步驟后,你的 CentOS 7 服務器就已經完成了最基本、最安全的初始化設置,可以投入使用了。建議最后重啟一次服務器 (sudo reboot) 以確保所有更改(特別是內核更新和主機名)完全生效。
7 總結
????????通過執行以上服務器初始化流程,我們成功地將一臺原始服務器進行了標準化改造,為其賦予了投入生產或測試環境所需的基本能力。
本流程的核心成果與價值體現在:
奠定了軟件基礎:通過配置國內高速的YUM源,確保了系統能夠快速、穩定地獲取和更新軟件包。隨后安裝的必備工具集(如vim, net-tools, wget等),則為運維管理和故障排查提供了 immediate 的支持,極大提升了工作效率。
確保了基礎運行環境可靠:網絡連通性驗證保障了服務器具備與外界通信的能力;規范地配置主機名為服務器提供了清晰的身份標識,方便了集群管理和服務發現;強制性的時間同步(NTP)?則是保障分布式應用協同工作、日志時間戳準確的關鍵,是任何嚴肅服務的基礎依賴。
構筑了初級安全防線:配置防火墻(Firewalld或iptables)?是本流程的安全核心。通過關閉非必要端口,僅開放明確允許的通信,我們顯著縮小了系統的受攻擊面,為服務器提供了最基本、也是最有效的網絡層安全隔離。
????????總而言之,這套初始化流程是一套高效、實用的“服務器開箱即用”指南。它雖然不包含更深層次的安全加固(如SSH密鑰登錄、禁用root、安裝入侵檢測系統等),但卻完美地完成了從“裸金屬”到“標準化樣板”的關鍵轉變,為任何后續的自動化配置管理和應用部署提供了一個純凈、一致、可靠的起點。將此流程腳本化、自動化,是實現規模化運維的必然要求。
:Visual Studio(IDE) VS Visual Studio Code)
)
免安裝中文版)
)
