CentOS 服务器的初始配置

Contents

本文最后更新于 2020 年 4 月 17 日

本文以 CentOS 8 为例，介绍如何对服务器进行初步配置。

本例中，普通用户名采取 sammy 为例，服务器 ip 采取 xx.xxx.xx.xxx 为例，请根据自己的实际情况做相应修改。

创建新用户

登录服务器

本地执行：

1	ssh [email protected]

如产生问题，请先查看本文 Troubleshooting 一节。

更改密码

passwd

更新系统

dnf check-update
dnf update
dnf clean all
dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
dnf config-manager --set-enabled PowerTools

安装必要软件

1	dnf install sudo vim -y

创建新用户

服务器上，以 root 用户执行：

1	adduser sammy

修改密码：

1	passwd sammy

赋予 sudo 权限

服务器上，以 root 用户：

1	gpasswd -a sammy wheel

登录此用户

在本地尝试登录此用户：

1	ssh [email protected]

设置 SSH 登录

在本地机器上执行：

1	ssh-keygen -a 1000 -t ed25519 -f ~/.ssh/sammy_host -C "sammy@sammy_host"

本地生成钥匙对后，将其中的公钥上传到服务器上：

1	ssh-copy-id -i ~/.ssh/sammy_host.pub [email protected]

按照提示输入密码。本地建立 config 文件：

1	vim ~/.ssh/config

添加如下内容：

~/.ssh/config

Host sammy_host    # 别名
    HostName xx.xxx.xx.xxx    # 替换 xx.xxx.xx.xxx 为服务器 ip 地址
    Port 22    # 端口，稍后会进行修改
    User sammy    # 用户名
    IdentityFile ~/.ssh/sammy_host    # 私钥文件

修改本地 config 文件权限：

1	chmod 600 ~/.ssh/config

利用私钥的登录方式，本地执行：

1	ssh sammy_host

接下来的所有配置，都请以 sammy 用户的身份进行。

安全设置

强烈建议进行一些必要的安全设置。

禁止 root 登录

服务器编辑 /etc/ssh/sshd_config 文件：

1	sudo vim /etc/ssh/sshd_config

将 PermitRootLogin 改为 no ：

/etc/ssh/sshd_config

1	PermitRootLogin no

保存文件后重启服务：

1	sudo systemctl restart sshd

更改 SSH 端口

服务器编辑 /etc/ssh/sshd_config 文件：

1	sudo vim /etc/ssh/sshd_config

将 Port 改为自定义端口，本例为 12333：

/etc/ssh/sshd_config

1	Port 12333

设置 firewalld

先检查一下 firewalld 是否正在运行中：

1	sudo firewall-cmd --state

查看默认的 zone：

1	sudo firewall-cmd --get-default-zone

查看 public 中的全部设置：

1	sudo firewall-cmd --zone=public --list-all

允许新的 SSH 端口：

1 2	sudo firewall-cmd --permanent --zone=public --add-port=12333/tcp sudo firewall-cmd --reload

安装 semanage

首先查询哪个包提供了 semanage 命令：

1	dnf provides /usr/sbin/semanage

根据输出，安装：

1	sudo dnf install policycoreutils-python-utils -y

在 SELinux 中允许新的 SSH 端口：

1	sudo semanage port -l \| grep ssh

1	sudo semanage port -a -t ssh_port_t -p tcp 12333

1	sudo semanage port -l \| grep ssh

重启 SSH 服务

1	sudo systemctl restart sshd

重新登陆后，禁止旧的默认端口：

1 2	sudo firewall-cmd --permanent --zone=public --remove-service=ssh sudo firewall-cmd --reload

本地更改

本地编辑 ssh 的 config 文件，做相应修改：

~/.ssh/config

Host sammy_host
    HostName xx.xxx.xx.xxx
    Port 12333 # 修改了端口
    User sammy
    IdentityFile ~/.ssh/sammy_host

启用二步验证

服务器安装 Google Authenticator

1	sudo dnf install google-authenticator qrencode -y

配置 Google Authenticator

1	google-authenticator

将出现一些问题：

1	Do you want authentication tokens to be time-based (y/n)

回答完此问题后，会出现二维码、Key，还有备用码，用手机的 Google Authenticator 扫描二维码或手动键入 Key，即可添加二步验证码，另外保存好备用码到一个安全的地方，以防手机丢失。同时，程序将提示输入手机上显示的验证码，以供核对。如产生问题，则应考虑服务器时间是否准确，请先查看本文 Troubleshooting 一节。

1	Do you want me to update your "~/.google_authenticator" file (y/n)

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n)

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n)

If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n)

移动配置文件：

1	mv .google_authenticator .ssh/

更新 context：

1	restorecon -Rv .ssh/

修改 sshd_config 文件

1	sudo vim /etc/ssh/sshd_config

找到 ChallengeResponseAuthentication 将其值改为 yes ，结果如下所示：

/etc/ssh/sshd_config

1
2
3

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

在此文件末尾添加一行：

/etc/ssh/sshd_config

1	AuthenticationMethods publickey,keyboard-interactive

修改 PAM 设置

修改配置文件：

1	sudo vim /etc/pam.d/sshd

注释掉 auth substack password-auth 一行，结果如下所示：

/etc/pam.d/sshd

1	# auth substack password-auth

在此文件末尾添加一行：

/etc/pam.d/sshd

1	auth required pam_google_authenticator.so secret=~/.ssh/.google_authenticator

重启 sshd 服务

1	sudo systemctl restart sshd

本地尝试登录

1	ssh user@serverip

显示：

1	Verification code:

输入二步验证码即可。

优化设置

调整 swap 空间

创建交换文件：

1 2	sudo fallocate -l 1G /swapfile # 或者 sudo dd if=/dev/zero of=/swapfile bs=1024 count=1048576 sudo chmod 600 /swapfile

使用交换文件：

1 2	sudo mkswap /swapfile sudo swapon /swapfile

查看效果：

1 2	sudo swapon --show free -h

开机自动挂载：

1 2	sudo cp /etc/fstab /etc/fstab.bak echo '/swapfile none swap sw 0 0' \| sudo tee -a /etc/fstab

编辑 /etc/fstab 删掉之前的 swap 挂载行：

1	sudo vim /etc/fstab

安装 rsync

本地和服务器均安装 rsync ，方便日后文件传输：

1	sudo dnf install rsync -y

启用 BBR

启用之前，先检查是否已经启用了。

1	sudo sysctl net.ipv4.tcp_congestion_control

如果没有启用（无 bbr 字样），开始设置启用 BBR：

1
2
3

echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p