《Linux操作系统》课件-Linux系统初始化配置最佳实践

Linux系统初始化配置最佳实践从入门到精通的服务器基础配置指南系统更新更新软件包

更换国内源用户安全创建新用户

配置sudo权限网络配置设置静态IP

修改主机名安全加固配置防火墙规则

优化SSH服务💡提示：遵循初始化配置的最佳实践，是构建安全、稳定、高效Linux服务器的第一步。目录01系统更新与源配置更新软件包，更换国内源02用户与权限管理创建用户，配置sudo权限03网络配置配置静态IP，修改主机名04防火墙配置ufw与firewalld管理05SSH服务配置开启服务，安全加固06时间同步配置配置NTP服务07内核参数优化使用sysctl优化性能08服务管理systemd服务管理基础09综合练习综合配置任务实战10总结与回顾关键知识点梳理系统更新与源配置功能说明新系统安装后，第一步是更新软件包并更换国内源，以确保系统安全、稳定运行，并显著提高后续软件的下载速度。基本语法使用`apt`(Debian系)或`dnf`(RHEL系)命令进行系统更新，并通过编辑源列表文件来更换国内镜像源。核心操作•更新:`aptupdate&&upgrade`或`dnfupdate`•换源:编辑`/etc/apt/sources.list`或yum.repos.d目录实战演练1.Ubuntu/Debian系统操作$sudoaptupdate&&sudoaptupgrade-y#备份源文件:sudocpsources.listsources.list.bak#编辑文件，替换为阿里/清华源后保存2.CentOS/RHEL系统操作$sudodnfupdate-y#备份:sudomvCentOS-Base.repoBase.repo.bak#下载新的repo文件覆盖，完成源替换💡提示：更换源文件后，务必执行`aptupdate`或`dnfmakecache`命令来重新生成软件包索引，否则新源不会生效。用户与权限管理核心功能创建普通用户并授予其必要的管理权限，避免直接使用root用户，严格遵循最小权限原则。基本语法使用useradd/passwd/usermod命令进行用户生命周期管理；使用visudo安全配置sudo提权权限。常用用法速查创建用户：sudouseradd-m-s/bin/bashnewuser(创建并指定家目录与Shell)设置密码：sudopasswdnewuser(交互式为用户设置登录密码)加入sudo组：sudousermod-aGsudonewuser(Ubuntu/Debian系统通用)配置提权：sudovisudo(安全编辑/etc/sudoers文件，避免语法错误)实战演练场景场景一：创建运维用户useradd-mdevops&&usermod-aGsudodevops场景二：配置免密提权visudo添加:devopsALL=(ALL)NOPASSWD:ALL网络配置功能描述配置静态IP地址以保证服务地址稳定；修改主机名，便于在网络中快速识别和统一管理服务器。核心工具Netplan/nmcli(网络)|Hostnamectl(主机名)关键配置项📶配置静态IP地址编辑Netplan的YAML配置文件，或使用nmcli命令行工具直接修改网络连接属性。🏷️永久修改主机名使用hostnamectl命令直接设置，无需重启即可生效。格式：sudohostnamectlset-hostname<新名称>实战演练(CheatSheet)Ubuntu/Debian(Netplan)sudonano/etc/netplan/*.yaml

sudonetplanapplyCentOS/RHEL(nmcli)nmcliconmodeth0ipv4.addressesIP/24

nmcliconupeth0修改主机名(通用)sudohostnamectlset-hostname

prod-server-01防火墙配置UFW(Ubuntu/Debian)轻量级、易用的防火墙配置工具，默认规则为拒绝所有外部连接，仅放行指定服务。启用服务：sudoufwenable放行端口：sudoufwallowssh/http/8080Firewalld(CentOS/RHEL)动态防火墙管理器，支持运行时配置与永久配置分离，适合企业级复杂规则管理。开机自启：sudosystemctlenable--nowfirewalld添加规则：firewall-cmd--add-service=http--permanent💻实战演练：Web服务最小化配置Ubuntu环境配置sudoufwenable&&sudoufwallow22/tcp&&sudoufwallow80/tcp

sudoufwstatusnumbered#检查规则是否生效CentOS环境配置sudofirewall-cmd--add-service={ssh,http}--permanent

sudofirewall-cmd--reload&&sudofirewall-cmd--list-allSSH服务配置功能说明开启SSH服务以实现远程管理，并通过修改端口、禁用密码等一系列配置加固其安全性。基本语法安装软件包→编辑/etc/ssh/sshd_config→重启服务核心安全配置•修改端口:Port2222|禁用Root:PermitRootLoginno•禁用密码:PasswordAuthenticationno•白名单用户:AllowUsersyour_username实战演练：部署与加固01.安装软件并启动服务$sudoaptinstallopenssh-server-y$sudosystemctlenable--nowsshd#设置开机自启并立即启动02.编辑配置&上传公钥$sudonano/etc/ssh/sshd_config#修改上述核心参数$ssh-copy-idyour_username@server_ip#上传本地公钥#测试登录成功后，再重启sshd服务生效配置⚠️重要提示：在禁用密码登录前，务必确保密钥登录已经测试成功，否则可能导致无法远程连接服务器。时间同步配置核心功能配置NTP服务确保时间准确，这对日志记录、证书验证及定时任务的正确执行至关重要。基本语法使用timedatectl命令查询和设置系统时间状态。

使用chronyc命令配置和管理Chrony时间同步服务。常用用法Ubuntu/Debian：推荐使用内置的systemd-timesyncd轻量级服务进行时间同步。CentOS/RHEL：默认使用chrony服务，相比NTP具有更快的同步速度和更好的网络适应性。配置优化：建议编辑配置文件，将服务器指向国内NTP源（如阿里云）以获得更低延迟。实战演练开启同步(Ubuntu)sudotimedatectl

set-ntpon安装启动(CentOS)sudodnfinstall

chrony-y&&enable配置国内NTP源Server

iburst内核参数优化功能描述通过sysctl工具动态调整内核运行时参数，无需重启系统即可显著提升网络性能与系统安全性。基本配置流程1.编辑配置：/etc/sysctl.conf或/etc/sysctl.d/*.conf2.加载生效：sysctl--system核心优化方向📡网络并发优化somaxconn：增大TCP监听队列上限(如:1024)tcp_tw_reuse：开启TIME_WAIT套接字复用，提升并发🛡️系统安全加固rp_filter：开启反向路径过滤，防止IP欺骗icmp_echo_ignore：忽略广播ping包，防扫描探测💻实战演练三步曲1.创建自定义配置文件sudonano/etc/sysctl.d/99-custom.conf2.写入优化参数(示例)net.core.somaxconn=1024net.ipv4.tcp_syncookies=13.重载配置使其生效sudosysctl--system#验证:sysctl-p服务管理Systemd简介Systemd是现代Linux系统的系统和服务管理器，负责系统的启动、服务监控与管理。systemctl是与其交互的核心命令行工具。高频核心指令状态:status|启停:start/stop|重启:restart|自启:enable/disable服务管理核心价值取代传统SysV启动脚本，提供并行启动能力，显著提高开机速度。同时支持服务的实时监控、日志集成与依赖管理。实战演练：管理SSH服务01.配置并管理SSH守护进程$sudosystemctlenablesshd#开机自启

$sudosystemctlrestartsshd#重启服务生效02.查看系统中运行的所有服务$systemctlstatussshd#检查单一服务状态

$systemctllist-units-tservice--state=running综合练习：融会贯通，学以致用任务目标：Ubuntu22.04配置配置一台新服务器，满足以下安全与基础要求：•IP地址：00•主机名称：prod-server-01•用户管理：创建devops用户并授予免密sudo•防火墙：放行SSH(2222)与HTTP(80)•SSH加固：端口改2222，禁用root/密码登录实战演练—Terminal#1.创建用户并配置免密sudosudouseradd-m-s/bin/bashdevops&&passwddevopssudovisudo#添加:devopsALL=(ALL)NOPASSWD:ALL#2.配置防火墙(启用&放行端口)sudoufwenable&&sudoufwallow2222/tcp&&sudoufwallow80/tcp#3.修改SSH配置(sshd_config)sudonano/etc/ssh/sshd_config#Port2222|PermitRootLoginnosudosystemctlrestartsshd&&ssh-copy-iddevops@00-p2222Tips:完成所有配置后，请务必打开一个新的终端窗口进行SSH登录测试，确保端口、用户权限及密钥认证均配置生效。总结与回顾系统基础更新系统内核