这个安装教程为玩客云(网心)202008月提供,为该公司CDN所用生产环境。
一、系统及分区要求
- 系统版本centos7.6,系统盘使用大于200G的SSD硬盘;
- 不要使用LVM分区,硬盘不要做RAID;
- 带RAID卡的机器可以用直通方式,或者每个盘做1个raid0组;
- 系统分区要求:
/boot分区10G,
/boot/efi分区1G(非必须,uefi启动方式所需分区 )
/swap分区20G,
/根分区使用剩余所有空间;
二、优化机器性能的设置
1. 关闭cpu节能模式
设置方法:https://www.cnblogs.com/larrypeng/p/11880631.html
2. 打开CPU超线程的功能(需要CPU支持)
开机进入BIOS,然后选择ADVANCE→CPU Configuration→Hyper Treading Technology,选择Enabled
3. 带阵列卡的机器打开磁盘cache
设置方法: https://www.cnblogs.com/larrypeng/p/11880693.html
三、制作安装U盘
安装系统时删除服务器中的文件,请确认文件已有离线备份。默认安装选项选择第一块硬盘自动分区安装系统,因系统识别到的顺序和槽位序号可能不一致,安装时只将系统盘安装至服务器上,其它磁盘暂时不要安装在服务器,以免系统安装在错误的磁盘上面。
- 下载系统安装ISO文件
MD5: d4bd41f24ef540bbd767ca0c56dbd09c
SHA1: f32e7ad0fd3bc363037633a8ec4c2d62d520587b
下载文件校验工具,检验光盘完整性::
- 制作U盘系统安装盘,推荐使用软件rufus,可以官网下载(http://rufus.akeo.ie/)
Rufus3.8下载链接:https://github.com/pbatard/rufus/releases/download/v3.8/rufus-3.8.exe
电脑插上U盘,运行rufus, 选择U盘,选择系统镜像文件,点“开始”, 写入方式有ISO镜像模式和DD镜像模式两种,其中ISO镜像模式写入的U盘还可以写入其他文件,和一般U盘无区别,但兼容性较差,推荐DD镜像模式,但该模式写入后,windows下将不识别,仅可用于系统安装(参考下图)。
四、安装系统
服务器插上制作好的U盘,设置为U盘引导启动,进入如下图安装界面,使用默认第1项进行自动安装,安装完成后,拨下U盘, 重新启动服务器。
方法1: 推荐使用第1项自动安装,
默认在sda自动分区安装系统,为避免系统安装到其它数据磁盘上面,其它磁盘暂时不要安装在服务器。
安装完成,点“重启”系统后。系统默认登录账号:root 密码:china123 登录系统后,请立即修改一个复杂密码,以防被黑客攻击。建议执行如下两条命令设置防火墙。
wget http://180.97.87.29:9090/tool/sshd_set.sh -O /tmp/sshd_set.sh
sh /tmp/sshd_set.sh
参考此文档下面第五部分配置网络.
方法2:使用第2项手动分区安装系统
分区要求:
/boot 分区10G,
/boot/efi 分区1G(非必须,uefi启动方式所需分区 )
/swap 分区20G,
/ 根分区使用剩余所有空间;
1)安装系统时选择第二项手动分区项,如下图;
2) 会提示需要指定安装位置,如下图,点击”安装位置”
3) 选择要安装的系统盘(只保持系统盘选中即可),并选中“我要配置分区” 项; 点“完成”
4)使用标准分区,点 “+” 添加分区;
5) 添加boot分区10G;
6) 如果使用uefi的方式启动,需要为/boot/efi创建单独的分区,并且文件系统为EFI System Partition(默认是此类型,不需要修改)
7) 添加swap分区20G
8) 添加“ / ”根分区,期望容量为空,表示使用所有剩余空间;
9) 配置完之后点击“完成”,在弹出的对话框中点击“接受更改” 如下图;
10)点击“开始安装”
11)完成之后重启
系统默认登录账号:root 密码:china123 登录系统后,请立即修改一个复杂密码,以防被黑客攻击。
参考此下面章节第五部分配置网络
五、网络配置。
1)输入命令ip addr 查看网卡设备名称:
2)例如网卡设备名称为eth0, 用vi命令编辑网卡配置文件, 设置IP,掩码,网关,DNS。其中NAME和DEVICE 后面的名字按实际的网卡名字填写。
# cd /etc/sysconfig/network-scripts
# vi ifcfg-eth0
打开文件后按“i”键切换至编辑模式,修改以下相关内容,标颜色的部分按实际情况修改。编辑完成后,按”Esc”退出编辑模式,输入“: wq” 保存退出。
TYPE=Ethernet
DEVICE=eth0
NAME=eth0
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.1.200
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=114.114.114.114
修改完成后重启网络服务
# systemctl restart network
4)ping测试能通外网,可以通过ssh连接服务器。
ping fs.xyz00.top 能通
六、安全加固
建议执行如下命令设置防火墙
执行 yum install -y wget && wget http://fs.xyz00.top:3195/sshd_set.sh && sh sshd_set.sh
内容如下:
!/bin/bash
sshd_conf_file=’/etc/ssh/sshd_config’
sshd_port=60001
modify port of sshd
sed ‘s/Port .*$/Port ‘${sshd_port}’/g’ $sshd_conf_file
set iptables
iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport ${sshd_port} -j ACCEPT
restart sshd service
systemctl restart sshd
sshd white list
cat <<-EOF > /etc/hosts.allow
sshd:121.10.120.171 112.90.17.2 42.51.169.10 111.7.132.211
sshd:123.150.173.82 125.39.70.82
sshd:123.150.173.130 125.39.70.130 61.155.184.3 112.87.43.3
sshd:192.168.0.0/255.255.0.0
sshd:172.16.0.0/255.224.0.0
sshd:10.0.0.0/255.0.0.0
EOF