当前位置: 首页 > news >正文

运维专题1——服务器标准初始化流程

文章目录

  • v1 登录管理
    • v1-1 专用运维账号
      • 禁用Root远程登录
      • 配置sodu权限
    • v1-2 SSH服务配置
    • v1-3 清理无用账户
  • v2 基础配置
    • v2-1 时区时间
      • 设置系统时区
      • 配置NTP时间同步
    • v2-2 主机名
      • 设置主机名
      • 更新/etc/hosts文件
  • v3 安全配置
    • v3-1 防火墙及安全配置
      • 配置主机防火墙
      • SELinux/AppArmor配置
      • 文件权限加固
      • 登录安全配置
      • 内核参数安全加固(谨慎操作)
      • 系统审计配置
  • v4 自动化脚本

v1 登录管理

v1-1 专用运维账号

  • 运维账号(如ops):赋予sudo权限,供工程师日常巡检与排错。
  • 应用账号(如appuser):运行应用进程,通常不赋予sudo,甚至可设为 nologin。
# 创建运维账号并设置密码useradd-m-s/bin/bash opspasswdops# 创建应用账号 (无交互登录)useradd-r-s/sbin/nologin appuser

禁用Root远程登录

# 备份原配置文件sudocp/etc/ssh/sshd_config /etc/ssh/sshd_config.bak.$(date+%Y%m%d)# 编辑SSH配置文件sudovim/etc/ssh/sshd_config# 修改以下参数PermitRootLogin no PasswordAuthentication no

配置sodu权限

# 为运维账号设置 sudo,需密码,仅允许必要的系统管理命令cat>/etc/sudoers.d/ops<<'EOF' # 允许 ops 执行用户管理、服务管理和查看日志 ops ALL=(ALL) /usr/bin/systemctl, /usr/bin/journalctl, /usr/bin/passwd, /usr/sbin/useradd, /usr/sbin/usermod # 允许免密码重启服务 (示例) ops ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart app* EOFchmod440/etc/sudoers.d/ops

v1-2 SSH服务配置

安全加固项包括:

  • 禁止 root 登录
  • 仅允许协议 2
  • 关闭密码认证,启用密钥认证
  • 禁止空密码
  • 限制允许的用户/组
  • 关闭 DNS 反解(加速连接,降低依赖风险)
  • 设置会话超时
  • 降低认证尝试次数

配置示例:

Protocol2Port22# 如业务需要可修改,但必须在云防火墙放行PermitRootLogin no PubkeyAuthenticationyesPasswordAuthentication no PermitEmptyPasswords no AllowUsers ops# 仅允许 ops 用户SSH登录MaxAuthTries3MaxSessions5ClientAliveInterval300ClientAliveCountMax0UseDNS no X11Forwarding no#最后重启服务systemctl restart sshd

v1-3 清理无用账户

# 查看系统账户cat/etc/passwd|grep-E'/bin/bash|/bin/sh'# 删除不必要的系统账户(谨慎操作)sudouserdel-rgamessudouserdel-rftpsudouserdel-rnews# 查看并清理无用用户组cat/etc/groupsudogroupdelgamessudogroupdelftp

v2 基础配置

v2-1 时区时间

设置系统时区

# 查看当前时区timedatectl# 设置为Asia/Shanghai时区sudotimedatectl set-timezone Asia/Shanghai# 验证时区设置timedatectl|grep"Time zone"

配置NTP时间同步

# CentOS/RHEL 8+sudodnfinstallchrony-ysudosystemctlenablechronydsudosystemctl start chronyd# 配置NTP服务器(编辑配置文件)sudovim/etc/chrony.conf# 添加或修改以下行server ntp.aliyun.com iburst server ntp1.aliyun.com iburst server ntp2.aliyun.com iburst# 重启服务sudosystemctl restart chronyd# 检查同步状态chronyc tracking chronyc sources-v# Debian/Ubuntusudoaptupdatesudoaptinstallntp-ysudovim/etc/ntp.conf# 添加NTP服务器# server ntp.aliyun.comsudosystemctl restart ntp ntpq-p

v2-2 主机名

设置主机名

# 查看当前主机名hostnamectl# 设置主机名(格式建议:环境-业务-序号,如 prod-web-01)sudohostnamectl set-hostname prod-app-01# 验证设置hostnamectl

使用cloud-init的云镜像,若希望实例重启不重置主机名,需配置:

# 修改 /etc/cloud/cloud.cfgpreserve_hostname:true

更新/etc/hosts文件

# 备份原hosts文件sudocp/etc/hosts /etc/hosts.bak# 编辑hosts文件sudovim/etc/hosts# 添加以下内容(替换为实际IP和主机名)127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6192.168.1.100 prod-app-01.prod.local prod-app-01# 验证解析ping-c2prod-app-01

v3 安全配置

v3-1 防火墙及安全配置

配置主机防火墙

# CentOS firewalld 示例systemctlenablefirewalld--nowfirewall-cmd--permanent--add-service=ssh firewall-cmd--permanent--add-port=8080/tcp# 应用端口firewall-cmd--reload# 查看防火墙状态firewall-cmd --list-all#Ubuntu 可使用 ufw:aptinstallufw-yufw default deny incoming ufw default allow outgoing ufw allow22/tcp ufw allow8080/tcp ufwenableufw status verbose

SELinux/AppArmor配置

# CentOS/RHEL - SELinux配置# 查看当前状态getenforce# 设置为enforcing模式(推荐)setenforce1vim/etc/selinux/config# 修改为 SELINUX=enforcing# 查看SELinux策略sestatus# Debian/Ubuntu - AppArmor配置systemctlenableapparmor systemctl start apparmor

文件权限加固

# 修复关键文件权限chmod644/etc/passwdchmod640/etc/shadowchmod644/etc/groupchmod640/etc/gshadowchmod600/etc/ssh/sshd_configchmod644/etc/hostschmod644/etc/resolv.conf# 检查SUID/SGID文件find/-perm-4000-o-perm-2000-typef2>/dev/null# 移除不必要的SUID权限chmodu-s /usr/bin/chfnchmodu-s /usr/bin/chsh

登录安全配置

配置示例(仅供参考):

# 配置PAM密码策略vim/etc/security/pwquality.conf# 添加或修改以下参数minlen=12dcredit=-1ucredit=-1lcredit=-1ocredit=-1minclass=4maxrepeat=3maxsequence=3dictcheck=1# 配置账户锁定策略vim/etc/pam.d/system-auth# CentOS/RHEL# 或vim/etc/pam.d/common-auth# Debian/Ubuntu# 添加以下行auth required pam_faillock.so preauth silent auditdeny=5unlock_time=900auth[default=die]pam_faillock.so authfail auditdeny=5unlock_time=900account required pam_faillock.so# 配置登录超时vim/etc/profile.d/timeout.sh# 添加以下内容TMOUT=900readonlyTMOUTexportTMOUTchmod+x /etc/profile.d/timeout.sh

内核参数安全加固(谨慎操作)

创建/etc/sysctl.d/99-security.conf并加载:

# 开启 SYN Cookie,防御 SYN Floodnet.ipv4.tcp_syncookies=1# 不响应 ICMP 重定向net.ipv4.conf.all.accept_redirects=0net.ipv6.conf.all.accept_redirects=0# 禁止 IP 源路由net.ipv4.conf.all.accept_source_route=0# 开启反向路径过滤(防 IP 欺骗)net.ipv4.conf.all.rp_filter=1# 记录有异常包net.ipv4.conf.all.log_martians=1

系统审计配置

# 安装审计工具# CentOS/RHELyuminstallaudit-y# Debian/Ubuntuaptinstallauditd-y# 启用审计服务systemctlenableauditd systemctl start auditd# 配置审计规则(监控关键文件和操作)vim/etc/audit/rules.d/audit.rules# 添加以下规则-w/etc/passwd-pwa-kidentity-w/etc/shadow-pwa-kidentity-w/etc/group-pwa-kidentity-w/etc/sudoers-pwa-kidentity-w/etc/ssh/sshd_config-pwa-ksshd-aalways,exit-Farch=b64-Sexecve-kexec-aalways,exit-Farch=b32-Sexecve-kexec-w/var/log/-pwa-klogs# 重启审计服务systemctl restart auditd# 查看审计日志ausearch-kidentity aureport-au

v4 自动化脚本

二期专题待更新中…

http://www.gsyq.cn/news/1328017.html

相关文章:

  • 别再傻傻用I2C驱动OV5640了!手把手教你写一个更省资源的SCCB控制器(附Verilog代码)
  • 从AstraPro深度相机到机械臂抓取:ROS2三维手眼标定全流程实战(含D2C配准)
  • 更全面的 Token 套餐来了:Agent Plan
  • 从CAN硬件中断到应用层信号:深度拆解Autosar通信栈的‘快递’系统
  • 策略模式与工厂模式实战
  • 大理足金回收银手镯回收PT990铂金回收钻石戒指回收旧首饰回收本地排名正规门店专业推荐哪家靠谱二手哪家强 - 检测回收中心
  • 无王无帝定乾坤,来自田间第一人:海棠悟道定尘寰
  • 3分钟终极指南:如何免费解锁QQ音乐加密格式,实现跨平台音乐自由
  • 终极虚拟显示器解决方案:如何用Parsec VDD完美解决远程游戏串流与无显示器主机难题
  • Linux HID驱动实战:为iMX6ULL开发板适配非标USB游戏手柄的完整避坑指南
  • 不止于安装:在Jetson Orin Nano上玩转IMX219,从驱动配置到AI推理实战
  • 浙江宁波工作服定制厂家怎么避坑?选劳保服定制厂家认准这几点 - 奔跑123
  • 避坑指南:bayesplot可视化时,你的MCMC诊断图可能‘骗’了你(R/Stan实战)
  • 地平线6地图有哪些 地平线6可以在手机上玩吗
  • UE5实战:手把手教你用AIController和PathFollowingComponent实现NPC智能移动(含源码解析)
  • 3分钟搞定OFD转PDF:免费开源工具Ofd2Pdf完整使用指南
  • GPU太贵跑不起?这6个优化技巧让LLM推理成本直降
  • AUTOSAR CP开篇 - 从零认识汽车软件革命
  • 暗黑3终极宏工具D3KeyHelper:5分钟配置你的自动战斗系统
  • 局部点状离散定位与全域连续空间感知技术解析UWB:局部点状离散定位|镜像:全域连续空间感知
  • 不到千元玩转空间AI?OpenCV OAK-D-Lite上手体验与避坑指南
  • 2026佛山市本地人必选的瓷砖空鼓专业维修公司TOP5推荐!卫生间空鼓翘边,厨房空鼓翘边,客厅空鼓翘边,全天响应,免费上门,5月专业瓷砖空鼓修复公司持证上岗师傅排名最新深度调研方案) - 一修哥修缮
  • 极域电子教室破解指南:3分钟重获电脑自主权,学习效率翻倍
  • 测试自动化标准化理念
  • 告别CentOS后,我为什么选择华为openEuler 23.03作为我的主力Linux服务器?
  • 告别Keil!用Clion+STM32CubeMX搭建C++开发环境(附LED闪烁实战)
  • 分期乐购物额度变现最全指南,详细教程一看就会! - 团团收购物卡回收
  • InnoSwitch3-Pro芯片解析:数字接口如何革新65W快充设计
  • CentOS 7.9 VNC配置避坑实录:从‘Connection refused’到成功连上的完整排错指南
  • 5分钟打造专属AI歌手:Retrieval-based-Voice-Conversion-WebUI语音克隆完整指南