侧边栏壁纸
博主头像
小新笔记坊

笔耕学思悟,细绘生活卷。

  • 累计撰写 52 篇文章
  • 累计创建 23 个标签
  • 累计收到 49 条评论

目 录CONTENT

文章目录
学习

初次使用服务器的必备事项指南

小新笔记坊
小新笔记坊
2024-11-10 / 0 评论 / 0 点赞 / 7 阅读 / 0 字 / 正在检测是否收录...

端口优化及防护

策略:禁止除“443端口(用户访问网站),22端口(远程连接服务器),WAF防火墙后台端口”外的所有端口外部访问权限。

1.云平台安全组删除多余端口,”22、WAF防火墙后台端口“设置为只允许常用IP访问。

2.开启服务器防火墙,并且设置为开机自启动。

systemctl start firewalld 
systemctl enable firewalld

3.防火墙设置开放443端口。

sudo firewall-cmd --permanent --add-port=443/tcp

4.防火墙开启”22、WAF防火墙后台“端口,并设置只允许常用IP访问。

sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.2.0/24" port port="22" protocol="tcp" accept' --permanent

5.防火墙开启各项目业务端口,并设置只允许服务器自身内网访问。

注:如果服务器项目业务端口不需要内网互通,例如内网其他设备或服务器远程访问服务器数据库,则无需开启项目业务端口,因为服务器本地项目是直接能访问所有本地端口的。

a.开放项目业务端口

sudo firewall-cmd --permanent --add-port=2000/tcp

b.禁止所有网络访问项目业务端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="2000" reject'

c.只允许内网访问项目业务端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.0/16" port port="2000" protocol="tcp" accept'

关闭内核日志以节省内存

策略:服务器安装系统后会发现内存大小往往比实际配置小很多,这是因为系统内核预留了一部分内存,例如kdump服务,该服务作用为当系统内核出现故障时以便记录日志。对个人低配置服务器而言其实无需运行该服务。

1.查看内核预留内存

dmesg | grep -i memory
#控制台输出信息如下
[    0.000000] Base memory trampoline at [(____ptrval____)] 99000 size 24576
[    0.000000] Reserving 160MB of memory at 688MB for crashkernel (System RAM: 1966MB)
[    0.000000] Early memory node ranges
[    0.000000] PM: Registered nosave memory: [mem 0x00000000-0x00000fff]
[    0.000000] PM: Registered nosave memory: [mem 0x0009f000-0x0009ffff]
[    0.000000] PM: Registered nosave memory: [mem 0x000a0000-0x000effff]
[    0.000000] PM: Registered nosave memory: [mem 0x000f0000-0x000fffff]
[    0.000000] PM: Registered nosave memory: [mem 0x14000000-0x1511ffff]
[    0.000000] Memory: 261668K/2013488K available (12292K kernel code, 2102K rwdata, 3820K rodata, 2356K init, 3320K bss, 250696K reserved, 0K cma-reserved)
[    0.003220] Freeing SMP alternatives memory: 32K
[    0.006272] x86/mm: Memory block size: 128MB
[    0.455303] Freeing initrd memory: 22308K
[    0.630478] Non-volatile memory driver v1.3
[    0.717764] Freeing unused kernel memory: 2356K
[    0.721883] Freeing unused kernel memory: 2020K
[    0.722435] Freeing unused kernel memory: 276K
[    1.339482] [TTM] Zone  kernel: Available graphics memory: 894892 kiB
#Reserving 160MB of memory at 688MB for crashkernel (System RAM: 1966MB)由此信息可知系统预留了160MB 内存用于捕获内核崩溃信息的机制。

2.确认是否启用kdump

systemctl status kdump

3.停用 kdump

systemctl stop kdump
sudo systemctl disable kdump

4.编辑 /etc/default/grub 文件,将crashkernel=auto修改为crashkernel=0

5.重新更新 GRUB 配置文件并重启服务器

grub2-mkconfig -o /boot/grub2/grub.cfg
reboot

6.验证

#控制台输出信息如下
[    0.000000] Base memory trampoline at [(____ptrval____)] 99000 size 24576
[    0.000000] Early memory node ranges
[    0.000000] PM: Registered nosave memory: [mem 0x00000000-0x00000fff]
[    0.000000] PM: Registered nosave memory: [mem 0x0009f000-0x0009ffff]
[    0.000000] PM: Registered nosave memory: [mem 0x000a0000-0x000effff]
[    0.000000] PM: Registered nosave memory: [mem 0x000f0000-0x000fffff]
[    0.000000] PM: Registered nosave memory: [mem 0x14000000-0x1511ffff]
[    0.000000] Memory: 261668K/2013488K available (12292K kernel code, 2102K rwdata, 3820K rodata, 2356K init, 3320K bss, 86856K reserved, 0K cma-reserved)
[    0.003174] Freeing SMP alternatives memory: 32K
[    0.006245] x86/mm: Memory block size: 128MB
[    0.479841] Freeing initrd memory: 22308K
[    0.653274] Non-volatile memory driver v1.3
[    0.740245] Freeing unused kernel memory: 2356K
[    0.744822] Freeing unused kernel memory: 2020K
[    0.745352] Freeing unused kernel memory: 276K
[    1.298475] [TTM] Zone  kernel: Available graphics memory: 976812 kiB
#Early memory node ranges由此信息可知系统预留的160MB 内存用于捕获内核崩溃信息的机制已关闭,内存已增加。

卸载阿里云盾

1.进入阿里云安全中心控制台,关闭功能设置——>客户端自我保护、取消保护范围

2.执行以下代码卸载。

#卸载前执行top -o %MEM命令可知
29145 root      20   0  205.8m  32.6m   9.1m S   1.3   1.7  81:01.33 AliYunDunMonito
#卸载后执行top -o %MEM发现消失
wget http://update.aegis.aliyun.com/download/uninstall.sh && chmod +x uninstall.sh &&./uninstall.sh
wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh && chmod +x quartz_uninstall.sh && ./quartz_uninstall.sh

3.清理残留文件。

sudo rm -r /usr/local/aegis
sudo rm /usr/sbin/aliyun-service
sudo rm /lib/systemd/system/aliyun.service

卸载阿里云助手

#卸载前执行top -o %MEM命令可知
29145 root      20   0  30.8m  32.6m   9.1m S   1.3   1.7  81:01.33 aliyun-service
#卸载后执行top -o %MEM发现消失

1.验证是否使用systemd运行的进程,有返回信息则表是是使用systemd运行的进程。

strings /sbin/init | grep "/lib/system"

2.停止阿里云助手进程。

systemctl stop aliyun.service

3.卸载阿里云助手守护进程。

/usr/local/share/assist-daemon/assist_daemon --delete

4.删除阿里云助手守护进程。

rm -rf /usr/local/share/assist-daemon

5.卸载阿里云助手。

sudo rpm -qa | grep aliyun_assist | xargs sudo rpm -e
rm -rf /usr/local/share/aliyun-assist

注意事项

1.一定要安装WAF防火墙。

2.不要暴露自己的真实IP,接入CDN。

3.定期做好备份

0
CentOS

  1. 支付宝打赏

    qrcode alipay

  2. 微信打赏

    qrcode weixin
版权归属: 小新笔记坊
本文链接: https://blog.xxbjf.com/archives/chu-ci-shi-yong-fu-wu-qi-de-bi-bei-shi-xiang-zhi-nan
许可协议: 本文使用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》协议授权

    1. 支付宝打赏

      qrcode alipay

    2. 微信打赏

      qrcode weixin

评论区