云计算HECS在 CentOS 8 新服务器首次启动后,为了提高安全性、稳定性和性能,建议进行以下更新和配置操作:
✅ 一、系统更新
1. 更新系统软件包(重要)
sudo dnf update -y这会更新所有已安装的软件包到最新版本,修复安全漏洞和 bug。
2. 安装 dnf-utils(增强 DNF 功能)
sudo dnf install dnf-utils -y✅ 二、基础工具安装
1. 安装常用工具
sudo dnf install vim net-tools curl wget git bash-completion lsof telnet iproute -y2. 安装 EPEL 仓库(扩展软件源)
sudo dnf install epel-release -y✅ 三、安全加固
1. 配置防火墙(firewalld)
启用并启动 firewalld:
sudo systemctl enable --now firewalld
sudo systemctl start firewalld查看状态:
sudo firewall-cmd --state添加允许的服务(如 SSH):
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload2. 禁用 root 登录(通过 SSH)
编辑 SSH 配置文件:
sudo vim /etc/ssh/sshd_config修改为:
PermitRootLogin no重启 SSH 服务:
sudo systemctl restart sshd3. 创建普通用户并赋予 sudo 权限
sudo adduser your_username
sudo passwd your_username
sudo usermod -aG wheel your_username✅ 四、系统优化与监控
1. 安装并配置 SELinux(默认已启用)
检查 SELinux 状态:
sestatus建议保持 SELinux 启用,可设置为 permissive 模式测试兼容性:
sudo setenforce 0永久修改需修改 /etc/selinux/config 文件。
2. 安装 Fail2Ban(防止暴力破解)
sudo dnf install fail2ban -y
sudo systemctl enable --now fail2ban✅ 五、时间同步(NTP)
安装 chrony 时间同步服务:
sudo dnf install chrony -y
sudo systemctl enable --now chronyd
timedatectl✅ 六、内核升级(可选)
CentOS 8 默认内核可能较旧,可考虑使用 ELRepo 仓库升级内核:
sudo dnf install https://www.elrepo.org/elrepo-release-8.el8.noarch.rpm -y
sudo dnf --enablerepo=elrepo-kernel install kernel-ml -y然后更新 GRUB 并重启:
sudo grubby --set-default /boot/vmlinuz-$(rpm -q kernel-ml --qf "%{VERSION}-%{RELEASE}.%{ARCH}")
sudo reboot✅ 七、其他推荐设置
1. 设置静态 IP 地址(如果需要)
编辑网络配置文件(路径根据网卡名称不同而变化):
sudo nmcli connection modify 'System eth0' ipv4.method manual ipv4.addresses 192.168.1.100/24 ipv4.gateway 192.168.1.1 ipv4.dns 8.8.8.8
sudo nmcli connection up 'System eth0'2. 安装日志审计工具(auditd)
sudo dnf install audit -y
sudo systemctl enable --now auditd3. 安装 logwatch 或 logrotate 做日志管理
✅ 八、备份计划(cron + rsync)
可以配置定期备份脚本或使用 rsync + cron 实现数据备份。
✅ 九、关闭不必要的服务
查看开机启动项:
systemctl list-unit-files | grep enabled禁用不需要的服务:
sudo systemctl disable cups bluetooth avahi-daemon✅ 十、监控与告警(可选)
安装 Prometheus Node Exporter 监控服务器硬件资源:
sudo dnf install prometheus-node-exporter -y
sudo systemctl enable --now prometheus-node-exporter🧾 总结:建议执行顺序
dnf update- 安装基础工具和 EPEL
- 配置防火墙、SELinux、SSH 安全
- 安装 Fail2Ban 和审计工具
- 时间同步配置
- 可选:升级内核、设置静态 IP
- 关闭无用服务
- 配置监控和备份策略
如果你是用于生产环境,请务必关注官方支持周期(CentOS 8 的维护截止时间为 2021年底,建议迁移至 CentOS Stream 或 Rocky Linux、AlmaLinux 等替代发行版)。
如需我帮你写一个自动化初始化脚本,也可以告诉我你的用途(Web 服务器、数据库、开发环境等),我可以定制化生成。