新 CentOS 7 服务器的基本配置

简介

在为新服务器设置最低配置之后，大多数情况下都建议进行一些额外的步骤。在本指南中，我们将继续配置我们的服务器，处理一些推荐但可选的程序。

先决条件和目标

在开始本指南之前，您应该先运行 CentOS 7 初始服务器设置指南。这是为了设置用户帐户、配置使用 sudo 进行特权提升，并加固 SSH 以提高安全性。

完成上述指南后，您可以继续阅读本文。在本指南中，我们将专注于配置一些可选但推荐的组件。这将涉及设置防火墙和交换文件，并配置网络时间协议同步。

配置基本防火墙

防火墙为服务器提供了基本的安全级别。这些应用程序负责拒绝对服务器上的每个端口的流量，但允许已批准的端口/服务的流量。CentOS 自带一个名为 firewalld 的防火墙。一个名为 firewall-cmd 的工具可用于配置防火墙策略。我们的基本策略将是封锁我们没有充分理由保持开放的一切。首先安装 firewalld：

sudo yum install firewalld

firewalld 服务具有在不中断当前连接的情况下进行修改的能力，因此我们可以在创建例外之前启动它：

sudo systemctl start firewalld

现在服务已经启动运行，我们可以使用 firewall-cmd 实用程序获取和设置防火墙的策略信息。firewalld 应用程序使用“区域”概念来标记网络上其他主机的可信度。这种标记使我们能够根据我们对网络的信任程度分配不同的规则。

在本指南中，我们将仅调整默认区域的策略。当我们重新加载防火墙时，这将是应用于我们接口的区域。我们应该首先为已批准的服务在防火墙中添加例外。其中最重要的是 SSH，因为我们需要保留对服务器的远程管理访问。

如果您没有修改 SSH 守护程序运行的端口，您可以通过名称启用服务，方法是输入：

sudo firewall-cmd --permanent --add-service=ssh

如果您更改了服务器的 SSH 端口，您将需要明确指定新端口。您还需要包括服务所使用的协议。只有在 SSH 服务器已经重新启动以使用新端口时才输入以下内容：

sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=4444/tcp

这是保留对服务器的管理访问所需的最低限度。如果您计划运行其他服务，您还需要为这些服务打开防火墙。

如果您计划运行传统的 HTTP 网页服务器，您需要启用 http 服务：

sudo firewall-cmd --permanent --add-service=http

如果您计划运行启用了 SSL/TLS 的网页服务器，您还应该允许 https 的流量：

sudo firewall-cmd --permanent --add-service=https

如果您需要启用 SMTP 电子邮件，您可以输入：

sudo firewall-cmd --permanent --add-service=smtp

要查看可以按名称启用的任何其他服务，请输入：

sudo firewall-cmd --get-services

完成后，您可以通过输入以下内容查看将要实施的例外列表：

sudo firewall-cmd --permanent --list-all

当您准备好实施更改时，重新加载防火墙：

sudo firewall-cmd --reload

如果测试后一切正常，您应该确保防火墙在启动时启动：

sudo systemctl enable firewalld

请记住，您将需要为以后可能配置的任何其他服务明确打开防火墙（使用服务或端口）。

配置时区和网络时间协议同步

下一步是调整服务器的本地化设置，并配置网络时间协议（NTP）同步。

第一步将确保您的服务器在正确的时区下运行。第二步将配置系统将其系统时钟与全球 NTP 服务器维护的标准时间同步。这将有助于防止由于时钟不同步而产生的一些不一致行为。

配置时区

我们的第一步是设置服务器的时区。这是一个非常简单的过程，可以使用 timedatectl 命令完成：

首先，通过输入以下内容查看可用的时区：

sudo timedatectl list-timezones

这将为您的服务器提供可用的时区列表。当您找到适合您服务器的区域/时区设置时，通过输入以下内容设置它：

sudo timedatectl set-timezone region/timezone

例如，要将其设置为美国东部时间，您可以输入：

sudo timedatectl set-timezone America/New_York

您的系统将更新为使用所选的时区。您可以通过输入以下内容确认：

sudo timedatectl

配置 NTP 同步

现在你已经设置好了时区，接下来我们应该配置 NTP。这将使你的计算机与其他服务器保持同步，从而使依赖于正确时间的操作更加可预测。

对于 NTP 同步，我们将使用一个名为 ntp 的服务，我们可以从 CentOS 的默认仓库中安装：

sudo yum install ntp

接下来，你需要启动该服务以进行本次会话。我们还将启用该服务，以便在每次服务器启动时自动启动：

sudo systemctl start ntpd
sudo systemctl enable ntpd

你的服务器现在将自动校正其系统时钟以与全球服务器对齐。

创建交换文件

在 Linux 服务器上添加 “交换” 允许系统将运行程序的较少访问的信息从 RAM 移动到磁盘上的位置。访问存储在磁盘上的数据要比访问 RAM 慢得多，但有可用的交换空间通常可以使你的应用程序保持运行而不崩溃。如果你计划在系统上托管任何数据库，这将特别有用。

关于交换空间的最佳大小的建议因咨询的来源而异。通常，与系统上的 RAM 量相等或是其两倍的量是一个很好的起点。

使用 fallocate 实用程序来分配你想要用于交换文件的空间。例如，如果我们需要一个 4GB 的文件，我们可以输入以下命令创建一个位于 /swapfile 的交换文件：

sudo fallocate -l 4G /swapfile

创建文件后，我们需要限制对文件的访问，以便其他用户或进程无法看到其中写入的内容：

sudo chmod 600 /swapfile

现在我们有了一个具有正确权限的文件。要告诉我们的系统为交换格式化文件，我们可以输入：

sudo mkswap /swapfile

现在，告诉系统它可以使用交换文件，输入：

sudo swapon /swapfile

我们的系统正在本次会话中使用交换文件，但我们需要修改一个系统文件，以便我们的服务器在启动时自动执行此操作。你可以通过输入以下命令来实现：

sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

通过这个添加，你的系统应该会在每次启动时自动使用你的交换文件。

结论

到这一点，你应该知道如何为你的新服务器配置一个坚实的基础。希望你也对接下来的步骤有了一个良好的想法。随时在网站上探索更多你可以在服务器上实施的想法。