内网 Linux 服务器系统初始化标准操作指南
一、环境准备与前置说明
• 适用范围:本文档适用于企业内网新交付的 CentOS 7、Rocky Linux 9 或 Ubuntu 20.04+ 服务器。
- • 前置条件:已通过 ISO 镜像完成系统安装,具备 root 管理员权限。
• 操作建议:建议在系统首次开机联网后立即执行本脚本,以避免后续业务软件对系统配置产生依赖冲突。
二、详细操作步骤
• 操作说明:内网服务器通常需要固定的 IP 以便于其他服务访问和运维管理。
• CentOS/Rocky 操作:编辑网卡配置文件(如 /etc/sysconfig/network-scripts/ifcfg-ens33),将 BOOTPROTO 修改为 static,并添加 IPADDR、NETMASK、GATEWAY 和 DNS。
- • Ubuntu 操作:编辑 Netplan 配置文件(如 /etc/netplan/00-installer-config.yaml),配置 addresses、gateway4 和 nameservers。
• 操作说明:在内网受信任区域,通常在网络边界已部署硬件防火墙,服务器本地防火墙容易造成端口拦截或规则冲突。
• 执行命令:
• CentOS/Rocky:systemctl stop firewalld && systemctl disable firewalld
• 操作说明:彻底关闭系统的强制访问控制机制,防止其对非标准路径的程序运行造成权限拦截。
• 执行命令:
- • 编辑 /etc/selinux/config 文件,将 SELINUX=enforcing 修改为 SELINUX=disabled。
• 执行 setenforce 0 使当前会话立即生效(重启后永久生效需依赖配置文件修改)。
• 操作说明:允许系统在不同网卡间转发数据包,这是 Docker 容器跨主机通信、VPN 拨入以及服务器作为网关转发的底层依赖。
• 执行命令:
- • 编辑 /etc/sysctl.conf,添加或修改 net.ipv4.ip_forward = 1。
• 执行 sysctl -p 加载内核参数使其立即生效。
- • 操作说明:突破系统默认的单进程 1024 个文件句柄的限制,以支持 Nginx、Redis、MySQL 等高并发服务。
• 执行命令:• 编辑 /etc/security/limits.conf,在文件末尾添加:
• 重新登录终端后,使用 ulimit -n 验证是否生效。
- • soft nofile 65535
◦ * hard nofile 65535
- • 操作说明:替换系统默认的国外源,加速后续软件包的安装与更新。
• 执行命令:• CentOS/Rocky:下载阿里云或华为云的 repo 文件覆盖 /etc/yum.repos.d/ 目录下的默认文件,然后执行 yum clean all && yum makecache。
- • Ubuntu:备份 /etc/apt/sources.list,替换为国内源地址,然后执行 apt update。
• 操作说明:补齐最小化安装(Minimal Install)中缺失的常用网络和系统诊断工具。
- • 执行命令:
• CentOS/Rocky:yum install -y wget curl vim net-tools telnet tree lrzsz unzip• Ubuntu:apt install -y wget curl vim net-tools telnet tree lrzsz unzip
• 操作说明:确保服务器时间与内网 NTP 服务器或公网时间源保持一致,避免日志错乱或分布式系统时钟偏移。
• 执行命令:
• 安装 ntpdate 或 chrony。
- • 执行 ntpdate ntp.aliyun.com(若内网有 NTP 服务器则填写内网 IP)。
• 建议配置定时任务(Crontab)每小时同步一次。
- • 操作说明:修改默认端口,禁用 root 直接远程登录,提升系统安全性。
• 执行命令:• 编辑 /etc/ssh/sshd_config,修改 Port 22 为其他高位端口(如 2222),设置 PermitRootLogin no,设置 PasswordAuthentication no(建议使用密钥登录)。
- • 重启 SSH 服务:systemctl restart sshd。
三、初始化验证清单
- 1. 执行 ip addr 确认 IP 地址配置正确且能 Ping 通网关。
- 2. 执行 getenforce 确认输出为 Disabled。
- 3. 执行 systemctl status firewalld 确认状态为 inactive (dead)。
- 4. 执行 sysctl net.ipv4.ip_forward 确认输出为 1。
- 5. 执行 ulimit -n 确认输出为 65535。
四、总结
以上步骤构成了企业内网 Linux 服务器的标准初始化基线。通过关闭干扰项(防火墙/SELinux)、放开限制(文件句柄/IP转发)和基础环境配置,能够为上层业务提供一个稳定、高效且低延迟的运行底座。