初次使用服务器的必备事项指南

小新笔记坊

发布于 2024-12-17 17:17:01

3520

文章被收录于专栏：小新笔记坊小新笔记坊

端口优化及防护

策略：禁止除“443端口（用户访问网站），22端口（远程连接服务器），WAF防火墙后台端口”外的所有端口外部访问权限。

1.云平台安全组删除多余端口，”22、WAF防火墙后台端口“设置为只允许常用IP访问。

2.开启服务器防火墙，并且设置为开机自启动。

systemctl start firewalld 
systemctl enable firewalld

3.防火墙设置开放443端口。

sudo firewall-cmd --permanent --add-port=443/tcp

4.防火墙开启”22、WAF防火墙后台“端口，并设置只允许常用IP访问。

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.2.0/24" port port="22" protocol="tcp" accept' --permanent

5.防火墙开启各项目业务端口，并设置只允许服务器自身内网访问。

注：如果服务器项目业务端口不需要内网互通，例如内网其他设备或服务器远程访问服务器数据库，则无需开启项目业务端口，因为服务器本地项目是直接能访问所有本地端口的。

a.开放项目业务端口

sudo firewall-cmd --permanent --add-port=2000/tcp

b.禁止所有网络访问项目业务端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="2000" reject'

c.只允许内网访问项目业务端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16" port port="2000" protocol="tcp" accept'

关闭内核日志以节省内存

策略：服务器安装系统后会发现内存大小往往比实际配置小很多，这是因为系统内核预留了一部分内存，例如kdump服务，该服务作用为当系统内核出现故障时以便记录日志。对个人低配置服务器而言其实无需运行该服务。

1.查看内核预留内存

dmesg | grep -i memory

#控制台输出信息如下
[    0.000000] Base memory trampoline at [(____ptrval____)] 99000 size 24576
[    0.000000] Reserving 160MB of memory at 688MB for crashkernel (System RAM: 1966MB)
[    0.000000] Early memory node ranges
[    0.000000] PM: Registered nosave memory: [mem 0x00000000-0x00000fff]
[    0.000000] PM: Registered nosave memory: [mem 0x0009f000-0x0009ffff]
[    0.000000] PM: Registered nosave memory: [mem 0x000a0000-0x000effff]
[    0.000000] PM: Registered nosave memory: [mem 0x000f0000-0x000fffff]
[    0.000000] PM: Registered nosave memory: [mem 0x14000000-0x1511ffff]
[    0.000000] Memory: 261668K/2013488K available (12292K kernel code, 2102K rwdata, 3820K rodata, 2356K init, 3320K bss, 250696K reserved, 0K cma-reserved)
[    0.003220] Freeing SMP alternatives memory: 32K
[    0.006272] x86/mm: Memory block size: 128MB
[    0.455303] Freeing initrd memory: 22308K
[    0.630478] Non-volatile memory driver v1.3
[    0.717764] Freeing unused kernel memory: 2356K
[    0.721883] Freeing unused kernel memory: 2020K
[    0.722435] Freeing unused kernel memory: 276K
[    1.339482] [TTM] Zone  kernel: Available graphics memory: 894892 kiB
#Reserving 160MB of memory at 688MB for crashkernel (System RAM: 1966MB)由此信息可知系统预留了160MB 内存用于捕获内核崩溃信息的机制。

2.确认是否启用kdump

systemctl status kdump

3.停用 kdump

systemctl stop kdump
sudo systemctl disable kdump

4.编辑 /etc/default/grub 文件，将crashkernel=auto修改为crashkernel=0

5.重新更新 GRUB 配置文件并重启服务器

grub2-mkconfig -o /boot/grub2/grub.cfg
reboot

6.验证

#控制台输出信息如下
[    0.000000] Base memory trampoline at [(____ptrval____)] 99000 size 24576
[    0.000000] Early memory node ranges
[    0.000000] PM: Registered nosave memory: [mem 0x00000000-0x00000fff]
[    0.000000] PM: Registered nosave memory: [mem 0x0009f000-0x0009ffff]
[    0.000000] PM: Registered nosave memory: [mem 0x000a0000-0x000effff]
[    0.000000] PM: Registered nosave memory: [mem 0x000f0000-0x000fffff]
[    0.000000] PM: Registered nosave memory: [mem 0x14000000-0x1511ffff]
[    0.000000] Memory: 261668K/2013488K available (12292K kernel code, 2102K rwdata, 3820K rodata, 2356K init, 3320K bss, 86856K reserved, 0K cma-reserved)
[    0.003174] Freeing SMP alternatives memory: 32K
[    0.006245] x86/mm: Memory block size: 128MB
[    0.479841] Freeing initrd memory: 22308K
[    0.653274] Non-volatile memory driver v1.3
[    0.740245] Freeing unused kernel memory: 2356K
[    0.744822] Freeing unused kernel memory: 2020K
[    0.745352] Freeing unused kernel memory: 276K
[    1.298475] [TTM] Zone  kernel: Available graphics memory: 976812 kiB
#Early memory node ranges由此信息可知系统预留的160MB 内存用于捕获内核崩溃信息的机制已关闭，内存已增加。

卸载阿里云盾

1.进入阿里云安全中心控制台，关闭功能设置——>客户端自我保护、取消保护范围。

2.执行以下代码卸载。

#卸载前执行top -o %MEM命令可知
29145 root      20   0  205.8m  32.6m   9.1m S   1.3   1.7  81:01.33 AliYunDunMonito
#卸载后执行top -o %MEM发现消失

wget http://update.aegis.aliyun.com/download/uninstall.sh && chmod +x uninstall.sh &&./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh && chmod +x quartz_uninstall.sh && ./quartz_uninstall.sh

3.清理残留文件。

sudo rm -r /usr/local/aegis
sudo rm /usr/sbin/aliyun-service
sudo rm /lib/systemd/system/aliyun.service

卸载阿里云助手

#卸载前执行top -o %MEM命令可知
29145 root      20   0  30.8m  32.6m   9.1m S   1.3   1.7  81:01.33 aliyun-service
#卸载后执行top -o %MEM发现消失

1.验证是否使用systemd运行的进程，有返回信息则表是是使用systemd运行的进程。

strings /sbin/init | grep "/lib/system"

2.停止阿里云助手进程。

systemctl stop aliyun.service

3.卸载阿里云助手守护进程。

/usr/local/share/assist-daemon/assist_daemon --delete

4.删除阿里云助手守护进程。

rm -rf /usr/local/share/assist-daemon

5.卸载阿里云助手。

sudo rpm -qa | grep aliyun_assist | xargs sudo rpm -e
rm -rf /usr/local/share/aliyun-assist

注意事项

1.一定要安装WAF防火墙。

2.不要暴露自己的真实IP，接入CDN。

3.定期做好备份

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2024-11-10，如有侵权请联系 cloudcommunity@tencent.com 删除

内核

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度