恭喜你拥有了第一台阿里云服务器(ECS)!这标志着你可以开始在云端构建自己的应用了。但对于新手来说,初次登录服务器后可能会感到迷茫。本文将手把手带你完成从系统登录到基础安全设置的全过程,为你的服务器之旅打下坚实基础。
第一步:登录你的云服务器
购买ECS实例后,你有多种方式可以登录服务器。对于Linux系统,最常用的是SSH密钥对登录,这比密码登录更安全。你需要在阿里云控制台的“网络与安全”->“密钥对”中创建或导入一个密钥对,并在创建实例时绑定它。
- Windows用户:可以通过远程桌面连接(RDP)登录。
- Linux/macOS用户:使用终端SSH命令登录。命令格式为:
ssh -i [密钥文件路径] root@[你的服务器公网IP]。
注意:首次使用密钥登录Linux时,请确保密钥文件权限为600,命令为:
chmod 600 [你的密钥文件.pem]。
第二步:完成系统初始化配置
成功登录后,第一件事是更新系统软件包并安装一些常用工具。这能确保系统拥有最新的安全补丁和必要的功能。
- 更新软件源:对于CentOS/AlmaLinux/Rocky Linux,执行
yum update -y;对于Ubuntu/Debian,执行apt update && apt upgrade -y。 - 安装常用工具:建议安装
vim(文本编辑器)、wget(下载工具)、curl、htop(系统监控)等。 - 修改主机名:使用
hostnamectl set-hostname my-new-server来设置一个易于识别的主机名。
第三步:创建普通用户并禁用root登录
直接使用root账户进行操作是极其危险的。最佳实践是创建一个拥有sudo权限的普通用户,并禁止root用户通过SSH直接登录。
创建新用户并授予sudo权限:
- 执行
adduser username创建新用户(将username替换为你想要的用户名)。 - 执行
usermod -aG sudo username(Ubuntu/Debian)或usermod -aG wheel username(CentOS/RHEL系列)将其加入管理员组。
配置SSH以禁用root登录:
- 使用vim编辑SSH配置文件:
vim /etc/ssh/sshd_config。 - 找到并修改以下参数:
PermitRootLogin yes改为PermitRootLogin noPasswordAuthentication yes改为PasswordAuthentication no(强制使用密钥登录,更安全)
- 修改完成后,重启SSH服务:
systemctl restart sshd。
重要:在执行此操作前,请务必确认你的新用户可以通过sudo正常执行命令,并且能使用密钥成功登录。否则你可能被永久锁在服务器外!
第四步:配置防火墙(安全组与UFW/iptables)
防火墙是服务器的第一道防线。阿里云提供了“安全组”这个虚拟防火墙,你还需要在操作系统内部配置防火墙,形成双重保护。
阿里云安全组配置:在ECS控制台的“网络与安全”->“安全组”中,确保只开放必要的端口。一个最小化的安全组规则如下表所示:
| 协议类型 | 端口范围 | 授权对象 | 说明 |
|---|---|---|---|
| SSH (22) | 22 | 你的个人公网IP / 0.0.0.0/0(不推荐) | 用于远程登录服务器 |
| HTTP (80) | 80 | 0.0.0.0/0 | 用于Web服务 |
| HTTPS (443) | 443 | 0.0.0.0/0 | 用于安全的Web服务 |
系统内部防火墙配置:对于Ubuntu,可以安装并启用UFW:
- 安装UFW:
sudo apt install ufw - 设置默认策略:
sudo ufw default deny incoming和sudo ufw default allow outgoing - 开放SSH端口:
sudo ufw allow ssh或sudo ufw allow 22 - 启用UFW:
sudo ufw enable
第五步:配置SSH加固与 Fail2ban 防暴力破解
SSH是攻击者最常攻击的入口,因此需要特别加固。
- 修改默认SSH端口:在
/etc/ssh/sshd_config中修改Port 22为一个大于1024的非标准端口(如 58222),可以有效减少自动化脚本的攻击。 - 安装 Fail2ban:这是一个非常有效的防暴力破解工具。它可以监控系统日志,当发现多次失败的登录尝试时,会自动将攻击源的IP地址加入防火墙黑名单一段时间。
安装Fail2ban(以Ubuntu为例):
sudo apt install fail2ban- 复制配置文件:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local - 启动并设置开机自启:
sudo systemctl start fail2ban和sudo systemctl enable fail2ban
第六步:部署基础监控与日志审计
“未知攻,焉知防”。你需要知道服务器的运行状态和谁访问过它。
- 系统监控:可以使用阿里云自带的“云监控”服务,它提供了CPU、内存、磁盘和网络流量的基础监控。对于更深入的需求,可以自行安装Prometheus、Grafana等监控系统。
- 日志审计:定期检查系统日志是发现异常行为的关键。重点关注的日志文件包括:
/var/log/auth.log(Ubuntu/Debian)或/var/log/secure(CentOS/RHEL):记录所有认证相关日志,如SSH登录成功与失败。/var/log/syslog或/var/log/messages:记录系统常规日志。
第七步:数据备份与快照策略
没有任何安全措施是100%可靠的,因此数据备份是最后的、也是最重要的防线。
- 阿里云磁盘快照:这是最简单高效的备份方式。你可以在阿里云控制台为系统盘和数据盘创建手动或自动快照。建议为生产环境服务器设置每日自动快照策略。
- 文件级备份:对于重要的应用数据、数据库和配置文件,除了快照,还应进行文件级的异地备份,例如使用
rsync同步到另一台服务器或OSS存储中。
请记住备份的“3-2-1”原则:至少保留3个数据副本,使用2种不同存储介质,其中1个副本存放在异地。
完成以上所有步骤后,你的阿里云服务器就已经拥有了一个相对安全和稳固的基础环境。安全是一个持续的过程,而非一劳永逸的任务。请保持系统更新,定期审查日志和安全策略,才能让你的云上之旅更加平稳安心。
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/134819.html
