Linux服务器系统安装配置完全指南
喺CDN同网络安全行业打滚咗十幾年,我成日幫客戶部署Linux服务器,尤其係針對CDN節點嘅優化。今次分享呢篇指南,唔係啲基本教學,而係從實戰角度出發,點樣由零開始裝系統,再調校到頂得住大流量同DDOS攻擊。記得第一次搞CentOS伺服器嗰陣,撞板撞到頭都大,家陣熟晒手勢,希望幫你少走彎路。
揀發行版好關鍵,CDN環境我偏愛Ubuntu Server或CentOS Stream,佢哋社群支援勁,更新快。舉例,Ubuntu嘅長期支援版(LTS)穩陣啲,裝機時用USB手指boot起,入BIOS set UEFI模式,分區嗰陣記得留多啲空間畀/var,因為CDN cache檔案會塞爆呢度。裝完基礎系統,即刻更新kernel同套件,命令係sudo apt update && sudo apt upgrade -y(Ubuntu)或sudo dnf update -y(CentOS),唔好懶,呢步防咗唔少零日漏洞。
網絡配置係重中之重,尤其係CDN節點要低延遲。編輯/etc/netplan/01-netcfg.yaml(Ubuntu)或/etc/sysconfig/network-scripts/ifcfg-eth0(CentOS),set靜態IP、閘道同DNS。試過有一次,客戶server俾人SYN flood打癱,所以裝完就開firewall,sudo ufw allow 22/tcp 同 sudo ufw enable,限制SSH只准特定IP訪問,再裝fail2ban擋暴力破解。記住,/etc/ssh/sshd_config 入面改PermitRootLogin no同UseDNS no,減低風險。
性能調校先係戲肉,CDN服務食資源大,要優化kernel參數。編輯/etc/sysctl.conf,加net.core.somaxconn=65535(提升連線佇列)同net.ipv4.tcp_tw_reuse=1(重用TIME_WAIT埠),reboot後生效。裝nginx或Apache做反向代理,config檔set worker_processes auto; 同keepalive_timeout 15s; 避免memory leak。仲有,定期用top或htop監控負載,發現異常就trace IP,可能係DDOS跡象。
安全加固唔可以馬虎,尤其係防DDOS。我習慣裝Cloudflare或Akamai嘅邊緣腳本,自動過濾惡意流量。例如,用mod_security砌WAF規則,block常見SQL injection。另外,set cron job每日掃log,grep \’Failed password\’ /var/log/auth.log,一見多個fail就ban IP。實戰經驗話我知,呢啲小步驟救過唔少server免於癱瘓。
最後,記住backup同測試。用rsync定時sync /etc同重要data去另一台機,再模擬流量用ab或jmeter測試,睇下頂唔頂到10k QPS。搞CDN節點,耐性同細節決定成敗,試多幾次就上手,有乜問題隨時問,呢行靠分享先進步。
评论: