Einführung
Nach dem Einrichten der Mindestkonfiguration für einen neuen Server werden in den meisten Fällen einige zusätzliche Schritte dringend empfohlen. In diesem Handbuch setzen wir die Konfiguration unserer Server fort, indem wir einige empfohlene, aber optionale Verfahren ausführen.
Voraussetzungen und Ziele
Bevor Sie diese Anleitung starten, sollten Sie die AnleitungUbuntu 14.04 initial server setupdurchgehen. Dies ist erforderlich, um Ihre Benutzerkonten einzurichten, die Erhöhung von Berechtigungen mitsudo zu konfigurieren und SSH aus Sicherheitsgründen zu sperren.
Nachdem Sie den obigen Leitfaden ausgefüllt haben, können Sie mit diesem Artikel fortfahren. In diesem Handbuch konzentrieren wir uns auf die Konfiguration einiger optionaler, aber empfohlener Komponenten. Dies beinhaltet die Einrichtung unseres Systems mit einer Firewall, einer Network Time Protocol-Synchronisierung und einer Auslagerungsdatei.
Konfigurieren einer Basisfirewall
Firewalls bieten eine grundlegende Sicherheitsstufe für Ihren Server. Diese Anwendungen sind dafür verantwortlich, den Datenverkehr zu jedem Port auf Ihrem Server mit Ausnahme der von Ihnen genehmigten Ports / Dienste zu verweigern. Ubuntu wird mit einem Tool namensufw ausgeliefert, mit dem Sie Ihre Firewall-Richtlinien konfigurieren können. Unsere grundlegende Strategie wird darin bestehen, alles zu sperren, was uns keinen guten Grund gibt, offen zu bleiben.
Bevor wir unsere Firewall aktivieren oder neu laden, erstellen wir die Regeln, die die Ausnahmen von unserer Richtlinie definieren. Zunächst müssen wir eine Ausnahme für SSH-Verbindungen erstellen, damit der Zugriff für die Remoteverwaltung beibehalten werden kann.
Der SSH-Daemon wird standardmäßig auf Port 22 ausgeführt, undufw kann eine Regel nach Namen implementieren, wenn der Standard nicht geändert wurde. Wenn Sie also den geänderten SSH-Port vonnothaben, können Sie die Ausnahme aktivieren, indem Sie Folgendes eingeben:
sudo ufw allow sshWenn Sie den Port geändert haben, den der SSH-Dämon überwacht, müssen Sie ihn zulassen, indem Sie die tatsächliche Portnummer zusammen mit dem TCP-Protokoll angeben:
sudo ufw allow 4444/tcpDies ist die minimale Firewall-Konfiguration. Es wird nur Datenverkehr auf Ihrem SSH-Port zugelassen, und auf alle anderen Dienste kann nicht zugegriffen werden. Wenn Sie weitere Dienste ausführen möchten, müssen Sie die Firewall an jedem erforderlichen Port öffnen.
Wenn Sie einen herkömmlichen HTTP-Webserver ausführen möchten, müssen Sie den Zugriff auf Port 80 zulassen:
sudo ufw allow 80/tcpWenn Sie einen Webserver mit aktiviertem SSL / TLS ausführen möchten, sollten Sie auch den Datenverkehr zu diesem Port zulassen:
sudo ufw allow 443/tcpWenn Sie SMTP-E-Mail aktivieren müssen, muss Port 25 geöffnet werden:
sudo ufw allow 25/tcpNachdem Sie die Ausnahmen hinzugefügt haben, können Sie Ihre Auswahl überprüfen, indem Sie Folgendes eingeben:
sudo ufw show addedWenn alles gut aussieht, können Sie die Firewall aktivieren, indem Sie Folgendes eingeben:
sudo ufw enableSie werden aufgefordert, Ihre Auswahl zu bestätigen. Geben Sie daher "y" ein, wenn Sie fortfahren möchten. Dadurch werden die von Ihnen vorgenommenen Ausnahmen angewendet, der gesamte andere Datenverkehr blockiert und die Firewall so konfiguriert, dass sie beim Start automatisch gestartet wird.
Denken Sie daran, dass Sie die Ports für zusätzliche Dienste, die Sie später konfigurieren, explizit öffnen müssen. Weitere Informationen finden Sie in unserem Artikel zuconfiguring the ufw firewall.
Konfigurieren Sie die Synchronisierung von Zeitzonen und Netzwerkzeitprotokollen
Der nächste Schritt besteht darin, die Lokalisierungseinstellungen für Ihren Server festzulegen und die NTP-Synchronisierung (Network Time Protocol) zu konfigurieren.
Der erste Schritt stellt sicher, dass Ihr Server in der richtigen Zeitzone arbeitet. Im zweiten Schritt wird Ihr System so konfiguriert, dass die Systemuhr mit der Standardzeit synchronisiert wird, die von einem globalen Netzwerk von NTP-Servern verwaltet wird. Dies hilft, ein inkonsistentes Verhalten zu vermeiden, das durch nicht synchronisierte Uhren entstehen kann.
Zeitzonen konfigurieren
Der erste Schritt besteht darin, die Zeitzone unseres Servers festzulegen. Dies ist eine sehr einfache Prozedur, die durch Neukonfiguration destzdata-Pakets durchgeführt werden kann:
sudo dpkg-reconfigure tzdataSie erhalten ein Menüsystem, mit dem Sie die geografische Region Ihres Servers auswählen können:
Nachdem Sie einen Bereich ausgewählt haben, können Sie die für Ihren Server geeignete Zeitzone auswählen:
Ihr System wird aktualisiert, um die ausgewählte Zeitzone zu verwenden, und die Ergebnisse werden auf dem Bildschirm gedruckt:
Current default time zone: 'America/New_York'
Local time is now: Mon Nov 3 17:00:11 EST 2014.
Universal Time is now: Mon Nov 3 22:00:11 UTC 2014.Als nächstes werden wir NTP konfigurieren.
Konfigurieren Sie die NTP-Synchronisierung
Nachdem Sie Ihre Zeitzone festgelegt haben, sollten wir NTP konfigurieren. Auf diese Weise kann Ihr Computer mit anderen Servern synchronisiert werden, was zu einer besseren Vorhersehbarkeit bei Vorgängen führt, bei denen die richtige Zeit erforderlich ist.
Für die NTP-Synchronisation verwenden wir einen Dienst namensntp, den wir aus den Standard-Repositorys von Ubuntu installieren können:
sudo apt-get update
sudo apt-get install ntpDies ist alles, was Sie tun müssen, um die NTP-Synchronisation unter Ubuntu einzurichten. Der Dämon wird bei jedem Start automatisch gestartet und passt die Systemzeit kontinuierlich an, damit sie den ganzen Tag über mit den globalen NTP-Servern übereinstimmt.
Klicken Sie hier, wenn Sie mehr überNTP servers erfahren möchten.
Erstellen Sie eine Auslagerungsdatei
Durch das Hinzufügen von "Swap" zu einem Linux-Server kann das System die Informationen, auf die seltener zugegriffen wird, eines laufenden Programms aus dem RAM an einen Speicherort auf der Festplatte verschieben. Der Zugriff auf auf der Festplatte gespeicherte Daten ist viel langsamer als der Zugriff auf den Arbeitsspeicher. Die Verfügbarkeit von Swap kann jedoch häufig den Unterschied zwischen der Beibehaltung und dem Absturz Ihrer Anwendung ausmachen. Dies ist besonders nützlich, wenn Sie vorhaben, Datenbanken auf Ihrem System zu hosten.
Note
[.Hinweis]##
Obwohl Swap generell für Systeme empfohlen wird, die herkömmliche rotierende Festplatten verwenden, kann die Verwendung von Swap mit SSDs zu Problemen mit der Verschlechterung der Hardware im Laufe der Zeit führen. Aus diesem Grund empfehlen wir nicht, Swap für DigitalOcean oder einen anderen Anbieter zu aktivieren, der SSD-Speicher verwendet. Dies kann die Zuverlässigkeit der zugrunde liegenden Hardware für Sie und Ihre Nachbarn beeinträchtigen.
Wenn Sie die Leistung Ihres Servers verbessern müssen, empfehlen wir Ihnen, Ihr Droplet zu aktualisieren. Dies führt im Allgemeinen zu besseren Ergebnissen und verringert die Wahrscheinlichkeit, zu Hardwareproblemen beizutragen, die sich auf Ihren Service auswirken können.
Die Empfehlungen zur besten Größe für einen Swap Space variieren je nach Quelle erheblich. Im Allgemeinen ist eine Menge gleich oder doppelt so viel RAM auf Ihrem System ein guter Ausgangspunkt.
Weisen Sie mit dem Dienstprogrammfallocateden Speicherplatz zu, den Sie für Ihre Auslagerungsdatei verwenden möchten. Wenn wir beispielsweise eine 4-Gigabyte-Datei benötigen, können wir eine Auslagerungsdatei erstellen, die sich bei/swapfile befindet, indem wir Folgendes eingeben:
sudo fallocate -l 4G /swapfileNach dem Erstellen der Datei müssen wir den Zugriff auf die Datei einschränken, damit andere Benutzer oder Prozesse nicht sehen können, was dort geschrieben steht:
sudo chmod 600 /swapfileWir haben jetzt eine Datei mit den richtigen Berechtigungen. Um unserem System mitzuteilen, dass die Datei für den Austausch formatiert werden soll, können wir Folgendes eingeben:
sudo mkswap /swapfileTeilen Sie dem System nun mit, dass es die Auslagerungsdatei verwenden kann, indem Sie Folgendes eingeben:
sudo swapon /swapfileUnser System verwendet die Auslagerungsdatei für diese Sitzung, aber wir müssen eine Systemdatei so ändern, dass unser Server dies beim Booten automatisch tut. Sie können dies tun, indem Sie Folgendes eingeben:
sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'Mit diesem Zusatz sollte Ihr System Ihre Auslagerungsdatei bei jedem Start automatisch verwenden.
Wohin soll es von hier aus gehen?
Sie haben jetzt ein sehr anständiges Setup für Ihren Linux-Server. Von hier aus gibt es einige Orte, an die Sie gehen können. Zunächst möchten Sie möglicherweise einen Snapshot Ihres Servers in der aktuellen Konfiguration erstellen.
Machen Sie einen Schnappschuss Ihrer aktuellen Konfiguration
Wenn Sie mit Ihrer Konfiguration zufrieden sind und diese als Basis für zukünftige Installationen verwenden möchten, können Sie über das DigitalOcean-Bedienfeld einen Schnappschuss Ihres Servers erstellen. Ab Oktober 2016 kosten Snapshots 0,05 US-Dollar pro Gigabyte und Monat, je nachdem, wie viel Speicherplatz im Dateisystem belegt ist.
Fahren Sie den Server über die Befehlszeile herunter, um den Snapshot vorzubereiten. Obwohl es möglich ist, einen Schnappschuss eines laufenden Systems zu machen, führt das Herunterfahren zu besseren Garantien dafür, dass das Dateisystem konsistent ist:
sudo poweroffJetzt können Sie in der DigitalOcean-Systemsteuerung einen Schnappschuss erstellen, indem Sie die Registerkarte „Schnappschüsse“ Ihres Servers aufrufen:
Nachdem Sie Ihren Schnappschuss aufgenommen haben, können Sie dieses Image als Basis für zukünftige Installationen verwenden, indem Sie den Schnappschuss auf der Registerkarte "Meine Schnappschüsse" für Bilder während des Erstellungsprozesses auswählen:
Zusätzliche Ressourcen und nächste Schritte
Ab hier hängt Ihr Pfad ganz davon ab, was Sie mit Ihrem Server tun möchten. Die folgende Liste von Handbüchern erhebt keinen Anspruch auf Vollständigkeit, zeigt jedoch einige der gebräuchlichsten Konfigurationen, an die sich Benutzer als Nächstes wenden:
Fazit
Zu diesem Zeitpunkt sollten Sie wissen, wie Sie eine solide Grundlage für Ihre neuen Server konfigurieren. Hoffentlich haben Sie auch eine gute Idee für Ihre nächsten Schritte. Sie können die Site nach weiteren Ideen durchsuchen, die Sie auf Ihrem Server implementieren können.