服务器初始化

文章目录

服务器初始化
- - 1. 配置国内 Yum 源（加速软件安装）
  - 2. 更新系统与安装必备工具
  - 3. 网络连接验证
  - 4. 配置主机名
  - 5. 同步时间
  - 6. 配置防火墙 (两种方式)
  - - 6.1 iptables
    - - 整体思路
      - 详细步骤
      - 第 1 步：停止并禁用 Firewalld
      - 第 2 步：安装并启动 Iptables Services
      - 第 3 步：设置默认策略（安全基础）
      - 第 4 步：添加具体的放行规则（按需开放）
      - 第 5 步：保存规则并重启服务
      - 第 6 步：验证配置
      - 一个完整的配置脚本示例
      - 常用管理命令
    - 6.2 `firewalld`

1. 配置国内 Yum 源（加速软件安装）

将默认的国外源替换为国内源（如阿里云、清华源），速度会快很多。

# 1. 备份原有的源文件，以防万一
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup# 2. 下载阿里云的 CentOS 7 源文件 (推荐阿里云，速度快且稳定)
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo# 3. 下载阿里云的 EPEL 源 (Extra Packages for Enterprise Linux，提供大量额外软件)
sudo yum install -y epel-release
sudo sudo sed -e 's|^metalink=|#metalink=|g' \-e 's|^#baseurl=|baseurl=|g' \-e 's|^//download.fedoraproject.org/pub|//mirrors.aliyun.com|g' \-e 's|http://download.example|https://mirrors.aliyun.com|g' \-i /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel-testing.repo# 4. 清理旧缓存并生成新缓存
sudo yum clean all
sudo yum makecache

可选：如果想用清华源，将第2步命令替换为：
sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.tuna.tsinghua.edu.cn/repo/Centos-7.repo

2. 更新系统与安装必备工具

系统更新可以获取最新的安全补丁和软件包。安装常用工具便于后续维护和开发。

# 1. 更新整个系统（内核更新需要重启生效）
sudo yum update -y# 2. 安装一批最常用的工具
sudo yum install -y \vim-enhanced \    # 加强版的vi编辑器wget \            # 命令行下载工具curl \            # 网络数据传输工具telnet \          # 网络诊断工具net-tools \       # 包含ifconfig等网络工具bash-completion \ # 命令自动补全增强lsof \            # 列出打开的文件sysstat \         # 系统性能监控工具（包含iostat, sar等）htop \            # 交互式进程查看器（比top更好用）tree \            # 以树状图列出目录内容git \             # 版本控制工具unzip \           # 解压zip文件lrzsz             # 提供sz（下载）、rz（上传）命令，方便Xshell等终端传输文件# 如果需要开发环境，还可以安装
# sudo yum groupinstall -y "Development Tools"yum install -y vim-enhanced wget curl telnet net-tools bash-completio lsof sysstat htop tree git unzip lrzsz

3. 网络连接验证

确保机器能正常访问网络，这是后续所有操作的基础。

# 1. 查看当前IP地址，确认网络接口已启动
ip addr show
# 或
ifconfig# 2. 测试是否能解析域名（检查DNS）
ping -c 4 www.baidu.com# 3. 测试是否能访问外网
ping -c 4 114.114.114.114# 如果无法上网，需要检查网络配置
# cat /etc/sysconfig/network-scripts/ifcfg-eth0 (网卡名可能不同，如ens33)

4. 配置主机名

方便识别和管理服务器，而不是只靠IP地址。

# 1. 查看当前主机名
hostname# 2. 设置新的主机名（例如：centos7-master）
sudo hostnamectl set-hostname centos7-master# 3. 修改 hosts 文件，将本机主机名解析到本地，避免某些软件报错
# 在文件末尾添加一行：127.0.0.1 <你的主机名>
sudo vim /etc/hosts
# 例如添加：127.0.0.1 centos7-master# 4. 重新登录Shell后生效，或者执行以下命令立即生效
bash

5. 同步时间

保证服务器时间准确，对于日志分析、证书验证等至关重要。

# 1. 安装 chrony 时间同步服务（CentOS 7 首选）
sudo yum install -y chrony# 2. 启动 chronyd 服务并设置开机自启
sudo systemctl start chronyd
sudo systemctl enable chronyd# 3. 强制立即与时间服务器同步
sudo chronyc -a makestep# 4. 查看时间同步状态
sudo chronyc sources -v
# 或查看当前系统时间
date

6. 配置防火墙 (两种方式)

6.1 iptables

好的，在 CentOS 7 上配置 iptables 是一个经典且强大的技能。虽然系统默认使用 firewalld，但很多管理员更喜欢直接使用 iptables 的简洁和直接控制。

以下是关闭 firewalld 并配置 iptables 的详细步骤。

整体思路

停止并禁用 firewalld：为 iptables 让路。
安装 iptables-services：提供 iptables 的保存和服务管理功能。
设置默认策略：定义“默认拒绝”的安全基础。
编写具体的放行规则：按需开放端口。
保存规则并设置开机自启：确保配置永久生效。

详细步骤

第 1 步：停止并禁用 Firewalld

sudo systemctl stop firewalld
sudo systemctl disable firewalld

第 2 步：安装并启动 Iptables Services

# 安装 iptables-services 包，它提供了保存规则和作为服务管理的功能
sudo yum install -y iptables-services# 启动iptables服务并设置开机自启
sudo systemctl start iptables
sudo systemctl enable iptables

第 3 步：设置默认策略（安全基础）

在添加任何允许规则之前，先设置最严格的默认策略：拒绝所有传入连接，允许所有传出连接，允许转发。

警告：在执行以下命令前，请确保你已经放行了 SSH 端口（通常是22），否则会立即断开远程连接！ 最好在本地控制台操作。

# 1. 设置默认策略（非常重要！先做这一步）
sudo iptables -P INPUT DROP    # 默认拒绝所有进来的流量
sudo iptables -P FORWARD DROP  # 默认拒绝所有转发的流量
sudo iptables -P OUTPUT ACCEPT # 默认允许所有出去的流量# 2. 允许所有本地回环(lo)接口的通信，这是系统内部通信所必需的
sudo iptables -A INPUT -i lo -j ACCEPT# 3. 允许已建立的和相关联的连接通过
# 这条规则至关重要！它允许对外请求的返回数据包进入，否则无法正常上网和使用大多数服务。
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

第 4 步：添加具体的放行规则（按需开放）

现在，在严格的基础上，按需开放端口。

# 1. 允许SSH连接 (端口22) - 这是远程管理的生命线，必须开放！
# 可以使用 --dport 22 或 -m tcp -p tcp --dport 22，后者更精确
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT# 2. 允许PING (ICMP协议)，便于网络诊断
sudo iptables -A INPUT -p icmp -j ACCEPT# 3. 允许HTTP (80) 和 HTTPS (443)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT# 4. 如果需要放行其他端口，例如MySQL (3306)、自定义端口(8080)
# sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
# sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

第 5 步：保存规则并重启服务

iptables 的命令规则默认只在内存中生效，重启后会丢失。必须使用以下命令保存到配置文件中。

# 保存当前内存中的规则到 /etc/sysconfig/iptables 文件
sudo service iptables save
# 或者使用
sudo /usr/libexec/iptables/iptables.init save# 重启iptables服务，确保配置加载无误
sudo systemctl restart iptables

第 6 步：验证配置

# 查看当前生效的所有iptables规则，检查配置是否正确
sudo iptables -L -v -n --line-numbers# 检查iptables服务状态
sudo systemctl status iptables

一个完整的配置脚本示例

你可以将以下内容保存为一个脚本（如 setup_iptables.sh），然后执行，但务必在安全的环境下（如本地虚拟机）先测试，或者确保已放行 SSH。

#!/bin/bash# 停止firewalld
echo "Stopping firewalld..."
systemctl stop firewalld
systemctl disable firewalld# 安装iptables-services
echo "Installing iptables-services..."
yum install -y iptables-services# 设置默认策略和基础规则
echo "Setting up iptables rules..."
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# 添加放行规则
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    # SSH
iptables -A INPUT -p icmp -j ACCEPT              # ICMP (Ping)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    # HTTP
iptables -A INPUT -p tcp --dport 443 -j ACCEPT   # HTTPS
# 在此添加你需要的其他规则...# 保存并启用
echo "Saving rules and enabling service..."
service iptables save
systemctl start iptables
systemctl enable iptablesecho "Configuration complete! Current rules:"
iptables -L -v -n

给脚本执行权限并运行：

chmod +x setup_iptables.sh
sudo ./setup_iptables.sh

常用管理命令

命令	说明
`sudo iptables -L -v -n`	查看当前规则（详细模式，不解析IP为主机名）
`sudo iptables -L -v -n --line-numbers`	查看规则并显示行号（用于删除规则）
`sudo iptables -D INPUT <规则行号>`	删除INPUT链中指定行号的规则
`sudo service iptables save`	保存当前规则（必须做，否则重启失效）
`sudo systemctl restart iptables`	重启iptables服务
`sudo systemctl status iptables`	查看iptables服务状态

通过以上步骤，你就成功地用 iptables 为你的 CentOS 7 服务器构建了一个简单而坚固的防火墙。

注意：这里可以设置默认等服务部署完之后需要添加服务端口（协议）放行

6.2 `firewalld`

CentOS 7 默认使用 firewalld 作为防火墙前端管理工具。配置原则是：默认拒绝所有传入连接，只开放必要的端口。

# 1. 查看防火墙状态
sudo systemctl status firewalld
# 如果未启动，则启动并设置开机自启
sudo systemctl start firewalld
sudo systemctl enable firewalld# 2. 查看当前开放的端口和服务
sudo firewall-cmd --list-all# 3. 放行常用的服务端口（根据需求选择）
# 放行 SSH 端口（默认22，极其重要，确保自己能连上）
sudo firewall-cmd --permanent --add-service=ssh
# 放行 HTTP (80) 和 HTTPS (443) 端口，用于Web服务
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# 如果需要放行自定义端口，例如 8080
# sudo firewall-cmd --permanent --add-port=8080/tcp# 4. 重新加载防火墙配置使其生效
sudo firewall-cmd --reload# 5. 再次确认规则已生效
sudo firewall-cmd --list-all

重要安全提示：如果修改了 SSH 端口（例如改为 5922），一定要先放行新端口再关闭旧端口，否则可能导致自己无法远程连接！

sudo firewall-cmd --permanent --add-port=5922/tcp
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --reload

完成以上所有步骤后，你的 CentOS 7 服务器就已经完成了最基本、最安全的初始化设置，可以投入使用了。建议最后重启一次服务器 (sudo reboot) 以确保所有更改（特别是内核更新和主机名）完全生效。