為新CentOS 7服務器提供的額外建議步驟

引言

在為新伺服器設置了最基本的配置之後，在大多數情況下還有一些額外的步驟是強烈建議的。在這份指南中，我們將繼續配置我們的伺服器，處理一些推薦但非強制性的程序。

先決條件和目標

在開始本指南之前，您應該遵循CentOS 7 初始伺服器設置指南。這是必要的，以便設置您的用戶帳戶，使用sudo配置權限提升，並為了安全鎖定SSH。

完成上述指南後，您可以繼續閱讀本文。在本指南中，我們將專注於配置一些選擇性但推薦的組件。這將涉及設置我們系統的防火牆和交換檔案，並配置網絡時間協議同步。

配置基本防火牆

防火牆為您的伺服器提供了一個基礎的安全等級。這些應用程式負責拒絕所有傳遞到您伺服器上的埠，除了您已經批准的埠/服務。CentOS附帶了一個名為firewalld的防火牆。可以使用一個名為firewall-cmd的工具來配置您的防火牆策略。我們的基本策略將是鎖定所有沒有足夠理由保持開放的部分。首先安裝firewalld：

sudo yum install firewalld

firewalld服務有能力在不中斷當前連接的情況下進行修改，所以我們可以在建立例外之前啟用它：

sudo systemctl start firewalld

現在服務已經運行，我們可以使用firewall-cmd實用程序獲取和設置防火牆的策略信息。firewalld應用程式使用“區域”的概念來標記網路上其他主機的可信度。這種標記使我們能夠根據我們對網路的信任程度分配不同的規則。

在這份指南中，我們只會調整默認區域的策略。當我們重新載入防火牆時，這將是應用到我們接口上的區域。我們應該從為批准的服務添加防火牆例外開始。其中最關鍵的是SSH，因為我們需要保持對伺服器的遠程管理訪問。

如果您沒有修改SSH守護程序運行的埠，您可以通過輸入服務名稱來啟用服務：

sudo firewall-cmd --permanent --add-service=ssh

如果你已經改變了伺服器的SSH埠號，你就必須明確指定新的埠號。你也需要包括服務所使用的protocol。只有在你已經重启伺服器以使用新埠號的情況下，才需要輸入以下内容：

sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=4444/tcp

這是保留管理存取服务器的最低要求。如果你計劃執行其他服務，你也必須開啟防火牆讓這些服務可以運作。

如果你計劃執行一個一般的HTTP網頁伺服器，你需要開啟http服務：

sudo firewall-cmd --permanent --add-service=http

如果你計劃執行一個有SSL/TLSenabled的Web伺服器，你也應該開啟https服務：

sudo firewall-cmd --permanent --add-service=https

如果你需要SMTP電子郵件功能，你可以輸入：

sudo firewall-cmd --permanent --add-service=smtp

要看到任何其他服務的例外情況，你可以輸入：

sudo firewall-cmd --get-services

當你完成後，你可以看到將實施的例外名單，輸入：

sudo firewall-cmd --permanent --list-all

當你準備好實施變更時，重新載入防火牆：

sudo firewall-cmd --reload

如果測試後一切正常，你应该確保防火牆將在啟動時啟動：

sudo systemctl enable firewalld

記住，你必须明確開啟任何額外的服務（服務或埠號）以便它們可以正常運作。

設定時區和網路時間協定同步

下一步是調整服務器的本地化設定，並配置網路時間協定（NTP）同步。

首先，確保服務器正在運行於正確的時間區。 接著，將會配置系統以與全球網絡上的NTP伺服器同步，以此來防止時鐘不一致導致的一些問題。

設定時區

我們的第一个步驟是设置服務器的时区。 這是一個非常簡單的過程，可以使用timedatectl命令来实现：

首先，看一下可用的时区列表，可以输入：

sudo timedatectl list-timezones

这会显示您服务器上可用的时间区列表。找到您服务器的正确区域/时区设置，然后输入：

sudo timedatectl set-timezone region/timezone

例如，要设置为美国东部时间，您可以输入：

sudo timedatectl set-timezone America/New_York

系统将更新使用所选时区。您可以确认输入：

sudo timedatectl

configure ntp synchronization

現在您已經設定了時區，我們應該配置NTP。這樣可以讓您的電腦與其他伺服器保持同步，從而使那些依賴於正確時間的操作更具預測性。

為了進行NTP同步，我們將使用一個名為ntp的服務，我們可以從CentOS的默認倉庫中安裝它：

sudo yum install ntp

接下來，您需要啟動此會話的服務。我們還將啟用服務，使其在伺服器啟動時自動啟動：

sudo systemctl start ntpd
sudo systemctl enable ntpd

現在，您的伺服器將自動校正系統時鐘，以與全球伺服器對齊。

建立Swap檔案

將“swap”添加到Linux伺服器中，可以使系統將運行程序的較少訪問信息從RAM移動到磁碟上的位置。訪問存儲在磁碟上的數據比訪問RAM要慢得多，但擁有swap可用往往可以讓您的應用程序保持運行而避免崩潰。這對於您計劃在系統上托管任何數據庫特別有用。

有關swap空間最佳大小的建議根據諮詢的來源而有很大差異。一般來說，等於或 double您系統上的RAM量是一個不錯的起點。

使用fallocate工具分配您要用於swap檔案的空間。例如，如果我們需要一個4GB的檔案，我們可以通過輸入以下內容在/swapfile位置創建一個swap檔案：

sudo fallocate -l 4G /swapfile

在创建檔案後，我们需要限制其他人或程式访问該檔案，以確保寫入的内容不會被他人看見：

sudo chmod 600 /swapfile

我们现在有了正确的权限设置。 要告诉系统可以使用交换文件，我们可以输入：

sudo mkswap /swapfile

现在，告诉系统它可以在启动时自动使用交换文件：

sudo swapon /swapfile

我们的系统将在这次会话中使用交换文件，但我们需要修改一个系统文件，以便服务器在启动时自动执行此操作。 您可以输入：

sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

通过这种方式，您的系统将在每次启动时自动使用交换文件。

下一步是什么？

您现在已经为您的Linux服务器建立了一个相当不错的起点。 从这里开始，您可以做很多事情。 首先，您可能希望对当前的配置进行快照。

备份当前的配置

如果您对当前的配置感到满意，并希望将其作为未来安装的基础，可以通过DigitalOcean控制面板对您的服务器进行快照。从2016年10月开始，快照费用根据使用的磁盘空间按月收取，每GB$0.05。

為此，請從命令列關閉您的伺服器。雖然可以對運行中的系統進行快照，但關機可以確保磁碟上的檔案都處於一致狀態：

sudo poweroff

現在，在DigitalOcean控制面板中，您可以通過訪問伺服器的“快照”標籤來拍攝快照：

拍攝快照後，您將能夠在未來的安裝過程中選擇該映像作為基礎，方法是在創建過程中從“我的快照”標籤選擇快照：

額外資源和下一步

從這裡開始，您的路徑完全取決於您希望對伺服器做什麼。以下指南清單並不全面，但代表了一些用戶接下來會採用的較常見配置：

• 設置LAMP（Linux, Apache, MySQL/MariaDB, PHP）堆疊
• 設置LEMP（Linux, Nginx, MySQL/MariaDB, PHP）堆疊
• 安裝WordPress CMS
• 安装Node.js
• 使用Puppet管理您的基础设施

结论

到目前为止，您应该知道如何配置一个坚固的基础来构建您的新服务器。 希望您也对下一步有一个大致的了解。 欢迎探索该网站以获取更多可以在您的服务器上实施的想法。