云计算导航在云服务器(如阿里云、腾讯云、华为云、AWS、DigitalOcean等)上安装 CentOS、Ubuntu 或 Debian 等 Linux 系统时,通常无需手动“安装”操作系统——云平台已提供预配置的官方镜像(ISO 或 qcow2 镜像),用户只需在控制台选择并启动即可。但为确保系统安全、稳定、可维护且符合最佳实践,以下是关键注意事项,按部署前、部署中、部署后分类说明:
✅ 一、部署前注意事项(选型与规划)
| 项目 | 注意事项 |
|---|---|
| 1. 发行版选择与生命周期 | • 避免使用已 EOL(End-of-Life)系统:如 CentOS 8(2021-12 停止维护)、CentOS 6(2020-11 终止)、Ubuntu 18.04(2023-04 LTS 支持结束) • 推荐长期支持(LTS)版本: – Ubuntu:22.04 LTS(支持至 2027-04)、24.04 LTS(2029-04) – Debian:12 “Bookworm”(2026-06 LTS)、13 “Trixie”(2029-06) – CentOS 替代方案:AlmaLinux 8/9、Rocky Linux 8/9(与 RHEL 二进制兼容,社区维护)或 CentOS Stream(滚动发布,非稳定生产首选) |
| 2. 架构匹配 | • 确认云服务器 CPU 架构(x86_64 / aarch64/ARM64);部分镜像(如某些 Debian ARM 版本)可能不兼容 ARM 实例,需选择对应 arm64 镜像。 |
| 3. 磁盘类型与分区 | • 云盘默认为单分区(如 /dev/vda1 挂载 /),无需手动 LVM/RAID(除非有特殊需求)• 如需数据盘分离:建议将业务数据挂载到独立云硬盘(如 /data),与系统盘解耦,便于备份/扩容/迁移• 避免使用 ext2/ext3(无日志、易损坏),优先 ext4 或 xfs(尤其大文件/高 IO 场景) |
| 4. 网络与安全组 | • 提前配置云平台 安全组(Security Group):仅开放必要端口(如 SSH 22、HTTP 80/HTTPS 443),禁止全端口放行(0.0.0.0/0) • 确认是否启用 IPv6(如需,检查镜像是否默认启用及防火墙策略) |
✅ 二、部署中注意事项(初始化配置)
| 项目 | 关键操作与建议 |
|---|---|
| 1. SSH 登录与密钥管理 | • 禁用密码登录,强制使用 SSH 密钥对: – 创建密钥对(本地生成 ssh-keygen -t ed25519),上传公钥到云平台– 启动实例后,首次务必通过云平台 Web 控制台或 VNC 登录,确认 SSH 服务运行且密钥生效后再禁用密码 • 修改默认 SSH 端口(可选,防暴力扫描): Port 2222 + PermitRootLogin no + PasswordAuthentication no |
| 2. 用户与权限 | • 禁用 root 远程登录(PermitRootLogin no)• 创建普通用户并赋予 sudo 权限:adduser deploy → usermod -aG sudo deploy(Ubuntu/Debian)或 wheel(RHEL/Alma/Rocky)• 启用 sudo 日志审计(Defaults logfile="/var/log/sudo.log") |
| 3. 时区与时间同步 | • 设置正确时区:timedatectl set-timezone Asia/Shanghai• 启用 NTP(systemd-timesyncd 或 chrony): timedatectl set-ntp true(Ubuntu/Debian 默认启用;RHEL 系需 yum install chrony && systemctl enable chronyd) |
| 4. 防火墙配置 | • Ubuntu/Debian:启用 ufw(ufw enable,再 ufw allow OpenSSH)• RHEL/Alma/Rocky:启用 firewalld(firewall-cmd --permanent --add-service=ssh → --reload)• ⚠️ 注意:云平台安全组是第一道防火墙,系统级防火墙是第二道,二者需协同,勿冲突 |
✅ 三、部署后必做事项(安全加固与运维准备)
| 类别 | 具体操作 |
|---|---|
| 🔐 安全加固 | • 更新系统:apt update && apt upgrade -y(Deb) / dnf update -y(RHEL)• 安装并配置 fail2ban(防暴力破解) • 禁用未使用的服务(如 telnet, ftp, rpcbind)• 检查并清理默认账户(如 Ubuntu 的 ubuntu 用户、Debian 的 debian-sys-maint) |
| 📦 软件源优化 | • 切换为国内镜像源(提升更新速度): Ubuntu: sed -i 's/archive.ubuntu.com/mirrors.aliyun.com/g' /etc/apt/sources.listDebian:替换为 mirrors.ustc.edu.cn 或 mirrors.tuna.tsinghua.edu.cnAlma/Rocky: sed -i 's/mirrorlist/#mirrorlist/g; s|#baseurl=http://dl.rockylinux.org|$baseurl=https://mirrors.aliyun.com/rocky|g' /etc/yum.repos.d/rocky*.repo |
| 💾 备份与监控 | • 配置自动快照策略(云平台层面) • 部署基础监控(如 htop, nmon, netdata 或云厂商 Agent)• 关键配置文件备份( /etc/fstab, /etc/ssh/sshd_config, /etc/network/interfaces 等) |
| 📜 合规与审计 | • 记录初始化操作(谁、何时、做了什么) • 开启系统日志远程转发(如 rsyslog + ELK/Splunk)或使用云日志服务 • 对于X_X/X_X等场景,参考等保2.0要求配置审计规则( auditd) |
❗ 特别提醒(常见坑)
-
CentOS 8 已停更,切勿用于新生产环境!
→ 替代方案:Rocky Linux 8/9、AlmaLinux 8/9(完全兼容 RHEL),或直接迁移到 Ubuntu/Debian LTS。 -
云服务器无 BIOS/UEFI 交互界面:无法像物理机那样进 GRUB 菜单,所有启动参数需通过云平台控制台或
cloud-init配置。 -
cloud-init是关键:云镜像依赖cloud-init自动注入 SSH 密钥、主机名、网络配置等。确保其已安装且启用(systemctl is-enabled cloud-init),否则可能无法登录。 -
Swap 分区问题:云服务器通常不配 Swap(影响性能且云盘 IOPS 有限),如需内存溢出保护,建议用
zram(压缩内存)替代传统 swapfile。 -
内核升级风险:云厂商常提供定制内核(含 virtio 驱动、热补丁等),避免
apt/dnf upgrade升级内核,除非明确需要且已测试兼容性。
✅ 推荐最小初始化脚本(Ubuntu/Debian 示例)
#!/bin/bash
# 运行前请以 root 执行
set -e
# 1. 更新 & 升级
apt update && apt full-upgrade -y
# 2. 安装基础工具
apt install -y curl wget git htop vim net-tools dnsutils fail2ban ufw
# 3. 配置 UFW
ufw default deny incoming
ufw default allow outgoing
ufw allow OpenSSH
ufw --force enable
# 4. 创建部署用户
adduser --gecos "" --disabled-password deploy
echo "deploy ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers.d/deploy
# 5. 禁用 root 密码登录(确保密钥已生效!)
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
systemctl restart sshd
echo "✅ 初始化完成!请用 deploy 用户登录。"如需针对特定云平台(如阿里云 ECS 的 CentOS Stream 9 配置)或容器化/自动化部署(Ansible/Terraform)进一步细化,可告知具体场景,我可提供定制化清单与脚本。
安全始于初始化 —— 一次规范的部署,胜过十次事后补救 🔒