昊天SEO

Ubuntu系统搭建部署LNMP环境

Ubuntu是最受欢迎的服务器操作系统之一,美团云中的Ubuntu系统模板基于标准的发行版进行制定,并打了关键的漏洞补丁,您在美团云购买了一台崭新的Ubuntu服务器之后,还需要在服务器上做一些简单的操作,以进一步增强服务器的安全性。

本教程适用于Ubuntu 12.04、Ubuntu 14.04版本。


登录服务器

如果您创建的美团云主机包含外网带宽,那么可以通过外网IP登录,否则需要通过美团云的跳板机进行登录。

对于有外网IP的机器,使用系统默认用户,也就是root登录,如果您使用Linux系统或者MAC系统,打开Terminal,输入:

ssh root@211.155.92.230

第一次登录会出现以下确认信息:

The authenticity of host '211.155.92.230 (211.155.92.230)' can't be established.
RSA key fingerprint is b9:48:fa:dc:80:7e:91:04:3f:b4:b2:c1:9b:7b:b0:56.
Are you sure you want to continue connecting (yes/no)?

输入yes后回车,按照提示输入您的root密码。如果您在创建主机时选择了绑定密钥,那么可以使用密钥登录。

如果您使用Windows,则需要下载ssh客户端,例如免费的PuTTY、Xshell,或者收费的SecureCRT,此类软件最好从官方链接下载,第三方网站的版本不能保证其安全性。

对于没有外网IP的机器,您需要先使用MOS用户名和密码登录跳板机:

ssh <username>@mosrelay.meituan.com

登录后,使用云主机的用户名和密码登录:

# 查看已有的机器
servers
# 登录机器
ssh root@<host-name>

更新源列表

执行apt-get -y update来更新源列表,保证源列表是最新的。

更改ROOT密码

如果您的服务器没有绑定密钥,建议您修改服务器的默认登录密码,在登录后执行:

passwd

按照提示输入您的新密码。新密码一定要符合强密码的要求:至少8位以上并且包含数字、字符以及标点。复杂的密码不容易记忆,推荐您使用1Password 或者lastpass等密码管理工具管理您的密码。


创建普通用户

在日常的服务器管理过程中,您并不需要使用root来登录。最佳实践是创建一个拥有一定权限的普通用户进行日常的操作与维护。

例如创建一个名为chris的普通用户,在终端下输入:

# 创建一个名为chris的用户
adduser chris
# 给chris创建登录密码
passwd chris

同样,普通用户的密码也应当遵循强密码的原则。

设置完密码后就可以使用chris用户名和密码来登录主机了。但是此时chris并没有ROOT的权限,我们通过编辑sudoers文件给chris赋权,在终端执行:

visudo

这个命令使用默认的编辑器nano打开了sudoers文件,我们可以通过nano来对这个文件进行编辑。在打开文件的最后一行加入:

chris    ALL=(ALL)       ALL

保存可以按下面的步骤进行操作:按Ctrl+x键,这里会提示是否要保存,按y键进行保存,然后回车键退出。


安全加固

如果您的云主机只有内网IP,则不需要执行此步骤。对于有外网IP的云主机,建议您执行此步骤,以加强您的云主机的安全,减少密码被爆破的风险。

拥有外网IP的服务器默认使用了22端口作为ssh服务的端口,这个端口成为入侵者重点关注的突破口,下面分别介绍三种方法来加强ssh服务的安全性。

方法一:修改云主机的防火墙设置

美团云提供了防火墙的功能,可以新建一个防火墙配置,封禁TCP 22端口。封禁22端口之后,用户可以通过美团云提供的跳板机登录云主机。

# 使用MOS的用户名和密码登录relay
ssh <username>@mosrelay.meituan.com

然后根据提示登录您的云主机。

方法二:更改ssh默认监听地址

ssh服务默认监听外网的22端口,我们可以将ssh服务默认监听地址修改为内网22端口,这样22端口从外网就不可访问了。这样我们就可以通过跳板机登录主机。

编辑sshd配置文件:

vi /etc/ssh/sshd_config

在打开的配置文件,将 #ListenAddress 0.0.0.0 修改为 Listen 10.128.128.174,其中10.128.128.174为该主机的内网地址,可以从MOS控制台获知,或者在命令行执行ifconfig找到。然后reload ssh服务,使配置生效:

service ssd reload

下次登录时,需要使用方法一中提到的,使用MOS的用户名和密码登录跳板机,然后根据提示登录机器。

方法三:更改ssh默认端口、禁止root登录

我们可以对ssh服务进行配置,通过修改ssh服务的默认监端口址、禁止root登录等手段,加强云主机的安全性。我们使用刚刚创建的chris账号登录云主机,登录后执行:

vi /etc/ssh/sshd_config

在打开的配置文件末尾输入以下内容,其中Port您可以自行设置:

Port 10022
Protocol 2
PermitRootLogin no

保存后退出,然后reload ssh服务,使配置生效:

service ssh reload

当再次登录云主机时,您需要在配置文件中指定的Port参数:

ssh -p 10022 chris@211.155.92.230

总结

经过上面步骤之后,您的云主机已经准备好服务了,您可以在知识库中找到其他Ubuntu教程。

本文地址官网    新乡网站建设,seo

分享到:更多 ()
a