云计算恭喜你购买了阿里云服务器!刚拿到一台全新的 CentOS 7.9 服务器,进行合理的初始配置非常重要,这不仅能提升安全性,还能为后续部署应用打下良好基础。以下是推荐的初始配置步骤:
✅ 一、连接到服务器(SSH 登录)
- 使用 SSH 工具(如 Xshell、PuTTY、Terminal)连接:
ssh root@你的公网IP地址 - 输入初始密码(或使用密钥登录)。
⚠️ 建议:首次登录后立即修改 root 密码。
✅ 二、修改 root 密码
passwd设置一个强密码(包含大小写字母、数字、特殊字符,长度至少12位)。
✅ 三、创建普通用户并赋予 sudo 权限(推荐安全做法)
避免长期使用 root 账户操作。
# 创建新用户(例如用户名为 deploy)
useradd -m -s /bin/bash deploy
# 设置密码
passwd deploy
# 赋予 sudo 权限
usermod -aG wheel deploy
wheel是 CentOS 中具有 sudo 权限的用户组。
测试:用新用户登录并执行 sudo whoami,应返回 root。
✅ 四、更新系统软件包
yum update -y建议定期运行此命令以保持系统安全补丁最新。
✅ 五、配置防火墙(firewalld)
CentOS 7 默认使用 firewalld。
# 启动并设置开机自启
systemctl start firewalld
systemctl enable firewalld
# 开放常用端口(根据需要添加)
firewall-cmd --permanent --add-service=ssh # SSH (22)
firewall-cmd --permanent --add-port=80/tcp # HTTP
firewall-cmd --permanent --add-port=443/tcp # HTTPS
firewall-cmd --permanent --add-port=3306/tcp # MySQL(按需)
firewall-cmd --reload # 重新加载规则查看当前规则:
firewall-cmd --list-all✅ 六、禁用 root 远程登录(增强安全)
编辑 SSH 配置文件:
vi /etc/ssh/sshd_config修改以下项:
PermitRootLogin no
PasswordAuthentication no # 可选:禁用密码登录,仅允许密钥登录保存后重启 SSH 服务:
systemctl restart sshd🔐 建议先配置好密钥登录再关闭密码登录!
✅ 七、配置 SSH 密钥登录(推荐)
-
本地生成密钥对(如果还没有):
ssh-keygen -t rsa -b 4096 -C "your_email@example.com" -
将公钥(
.pub文件内容)上传到服务器对应用户的~/.ssh/authorized_keys:mkdir -p /home/deploy/.ssh echo "你的公钥内容" >> /home/deploy/.ssh/authorized_keys chmod 700 /home/deploy/.ssh chmod 600 /home/deploy/.ssh/authorized_keys chown -R deploy:deploy /home/deploy/.ssh -
客户端测试登录:
ssh deploy@你的服务器IP
✅ 八、安装常用工具
yum install -y vim wget curl git net-tools htop yum-utils epel-releasevim:文本编辑器htop:更友好的进程监控工具epel-release:扩展软件源
✅ 九、配置时区和时间同步
# 设置时区为中国上海
timedatectl set-timezone Asia/Shanghai
# 启用 NTP 时间同步
timedatectl set-ntp true验证:
timedatectl status✅ 十、优化系统参数(可选,适用于生产环境)
编辑 /etc/sysctl.conf 添加:
# 最大打开文件数
fs.file-max = 100000
# TCP 优化
net.core.somaxconn = 65535
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30生效:
sysctl -p同时修改 /etc/security/limits.conf:
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535✅ 十一、安装 fail2ban(防止暴力破解)
yum install -y fail2ban
systemctl start fail2ban
systemctl enable fail2ban默认保护 SSH,也可自定义规则。
✅ 十二、检查阿里云安全组配置
⚠️ 重要:即使你在服务器上开了端口,阿里云控制台的安全组规则也必须放行相应端口!
登录 阿里云控制台 → 找到实例 → 安全组 → 配置规则:
- 放行 SSH(22)
- 放行 HTTP(80)、HTTPS(443)
- 按需放行其他端口(如 3306、8080 等)
- 建议限制源 IP(如只允许你自己的 IP 访问 SSH)
✅ 十三、设置自动更新(可选)
yum install -y yum-cron
systemctl enable yum-cron
systemctl start yum-cron可在 /etc/yum/yum-cron.conf 中配置自动更新策略。
✅ 十四、备份关键配置
建议将以下文件备份到本地:
/etc/ssh/sshd_config/etc/firewalld/zones/public.xml- 用户
.ssh/authorized_keys
✅ 十五、重启并测试
reboot重启后尝试用普通用户 + 密钥登录,确认一切正常。
🎯 总结:安全最佳实践清单
| 项目 | 是否完成 |
|---|---|
| 修改 root 密码 | ✅ |
| 创建普通用户并加 sudo | ✅ |
| 更新系统 | ✅ |
| 配置防火墙 | ✅ |
| 禁用 root 远程登录 | ✅ |
| 配置 SSH 密钥登录 | ✅ |
| 安装 fail2ban | ✅ |
| 配置安全组 | ✅ |
| 设置正确时区 | ✅ |
完成以上步骤后,你的 CentOS 7.9 服务器就具备了基本的安全性和可用性,可以开始部署 Web 服务(Nginx/Apache)、数据库(MySQL/PostgreSQL)、Java/Python 应用等。
如有具体用途(如部署网站、搭建 Docker 环境等),欢迎继续提问,我可以提供下一步指导。
