Вступление
После настройки минимальной конфигурации для нового сервера, есть некоторые дополнительные шаги, которые настоятельно рекомендуется в большинстве случаев. В этом руководстве мы продолжим настройку наших серверов, выполняя некоторые рекомендуемые, но необязательные процедуры.
Предпосылки и цели
Перед тем, как начать это руководство, вы должны просмотреть руководствоUbuntu 14.04 initial server setup. Это необходимо для настройки ваших учетных записей пользователей, настройки повышения привилегий с помощьюsudo и блокировки SSH в целях безопасности.
После того, как вы завершили приведенное выше руководство, вы можете продолжить чтение этой статьи. В этом руководстве мы сконцентрируемся на настройке некоторых дополнительных, но рекомендуемых компонентов. Это будет включать настройку нашей системы с помощью брандмауэра, синхронизации сетевого протокола времени и файлов подкачки.
Настройка базового брандмауэра
Межсетевые экраны обеспечивают базовый уровень безопасности для вашего сервера. Эти приложения отвечают за запрет трафика на каждый порт вашего сервера, за исключением утвержденных вами портов / служб. Ubuntu поставляется с инструментом под названиемufw, который можно использовать для настройки политик вашего брандмауэра. Наша основная стратегия будет заключаться в том, чтобы заблокировать все, что у нас нет веских причин, чтобы оставаться открытыми.
Прежде чем мы включим или перезагрузим наш брандмауэр, мы создадим правила, которые определяют исключения из нашей политики. Во-первых, нам нужно создать исключение для соединений SSH, чтобы мы могли поддерживать доступ для удаленного администрирования.
Демон SSH по умолчанию работает на порту 22, иufw может реализовать правило по имени, если значение по умолчанию не было изменено. Поэтому, если у вас есть модифицированный порт SSHnot, вы можете включить исключение, набрав:
sudo ufw allow sshЕсли вы изменили порт, который слушает демон SSH, вам нужно будет разрешить его, указав фактический номер порта вместе с протоколом TCP:
sudo ufw allow 4444/tcpЭто минимальная конфигурация брандмауэра. Это позволит только трафик на ваш порт SSH и все другие службы будут недоступны. Если вы планируете запускать дополнительные службы, вам нужно будет открыть брандмауэр на каждом необходимом порту.
Если вы планируете запустить обычный веб-сервер HTTP, вам нужно разрешить доступ к порту 80:
sudo ufw allow 80/tcpЕсли вы планируете запустить веб-сервер с включенным протоколом SSL / TLS, вам также следует разрешить трафик на этот порт:
sudo ufw allow 443/tcpЕсли вам нужно включить электронную почту SMTP, нужно открыть порт 25:
sudo ufw allow 25/tcpПосле того как вы закончили добавлять исключения, вы можете просмотреть свой выбор, набрав:
sudo ufw show addedЕсли все выглядит хорошо, вы можете включить брандмауэр, набрав:
sudo ufw enableВам будет предложено подтвердить свой выбор, поэтому, если хотите продолжить, введите «y». Это позволит применить сделанные вами исключения, заблокировать весь другой трафик и настроить брандмауэр на автоматический запуск при загрузке.
Помните, что вам придется явно открывать порты для любых дополнительных служб, которые вы можете настроить позже. Для получения более подробной информации ознакомьтесь с нашей статьей оconfiguring the ufw firewall.
Настройка часовых поясов и синхронизации сетевого протокола времени
Следующим шагом является настройка параметров локализации для вашего сервера и настройка синхронизации NTP.
Первый шаг гарантирует, что ваш сервер работает в правильном часовом поясе. Второй шаг настроит вашу систему на синхронизацию системных часов со стандартным временем, поддерживаемым глобальной сетью NTP-серверов. Это поможет предотвратить некоторые противоречивые действия, которые могут возникнуть из-за несинхронизации часов.
Настроить часовые пояса
Наш первый шаг - установить часовой пояс нашего сервера. Это очень простая процедура, которую можно выполнить, перенастроив пакетtzdata:
sudo dpkg-reconfigure tzdataВам будет представлена система меню, которая позволяет вам выбрать географический регион вашего сервера:
После выбора области у вас будет возможность выбрать часовой пояс, соответствующий вашему серверу:
Ваша система будет обновлена для использования выбранного часового пояса, и результаты будут выведены на экран:
Current default time zone: 'America/New_York'
Local time is now: Mon Nov 3 17:00:11 EST 2014.
Universal Time is now: Mon Nov 3 22:00:11 UTC 2014.Далее мы перейдем к настройке NTP.
Настроить синхронизацию NTP
Теперь, когда у вас установлен часовой пояс, мы должны настроить NTP. Это позволит вашему компьютеру синхронизироваться с другими серверами, что приведет к большей предсказуемости операций, которые зависят от правильного времени.
Для синхронизации NTP мы будем использовать службу под названиемntp, которую мы можем установить из репозиториев Ubuntu по умолчанию:
sudo apt-get update
sudo apt-get install ntpЭто все, что вам нужно сделать, чтобы настроить синхронизацию NTP в Ubuntu. Демон будет запускаться автоматически при каждой загрузке и будет непрерывно регулировать системное время, чтобы оно соответствовало глобальным NTP-серверам в течение дня.
Щелкните здесь, если хотите узнать больше оNTP servers.
Создать файл подкачки
Добавление «подкачки» на сервер Linux позволяет системе перемещать менее часто используемую информацию о запущенной программе из оперативной памяти в место на диске. Доступ к данным, хранящимся на диске, происходит намного медленнее, чем доступ к ОЗУ, но доступность подкачки часто может быть разницей между тем, чтобы ваше приложение оставалось в живых и зависало. Это особенно полезно, если вы планируете разместить какие-либо базы данных в вашей системе.
Note
[.Примечание]##
Несмотря на то, что своп обычно рекомендуется для систем, использующих традиционные вращающиеся жесткие диски, использование свопа с твердотельными накопителями может со временем вызвать проблемы с аппаратным ухудшением. В связи с этим мы не рекомендуем включать обмен в DigitalOcean или любом другом провайдере, который использует хранилище SSD. Это может повлиять на надежность базового оборудования для вас и ваших соседей.
Если вам нужно повысить производительность вашего сервера, мы рекомендуем обновить Droplet. Это приведет к лучшим результатам в целом и снизит вероятность возникновения проблем с оборудованием, которые могут повлиять на вашу службу.
Рекомендации относительно лучшего размера для пространства подкачки значительно различаются в зависимости от источника, к которому обращаются. Как правило, объем, равный или удвоенный объем оперативной памяти в вашей системе, является хорошей отправной точкой.
Выделите место, которое вы хотите использовать для файла подкачки, с помощью утилитыfallocate. Например, если нам нужен файл размером 4 гигабайта, мы можем создать файл подкачки, расположенный в/swapfile, набрав:
sudo fallocate -l 4G /swapfileПосле создания файла нам нужно ограничить доступ к файлу, чтобы другие пользователи или процессы не могли видеть, что там написано:
sudo chmod 600 /swapfileТеперь у нас есть файл с правильными разрешениями. Чтобы указать нашей системе отформатировать файл для подкачки, мы можем набрать:
sudo mkswap /swapfileТеперь скажите системе, что она может использовать файл подкачки, набрав:
sudo swapon /swapfileНаша система использует файл подкачки для этого сеанса, но нам нужно изменить системный файл, чтобы наш сервер делал это автоматически при загрузке. Вы можете сделать это, набрав:
sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'С этим дополнением ваша система должна автоматически использовать ваш файл подкачки при каждой загрузке.
Куда пойти отсюда?
Теперь у вас есть очень неплохая начальная настройка для вашего Linux-сервера. Отсюда довольно много мест, куда можно пойти. Во-первых, вы можете сделать снимок вашего сервера в его текущей конфигурации.
Сделайте снимок вашей текущей конфигурации
Если вы довольны своей конфигурацией и хотите использовать ее в качестве основы для будущих установок, вы можете сделать снимок вашего сервера через панель управления DigitalOcean. Начиная с октября 2016 года, моментальные снимки стоят $ 0,05 за гигабайт в месяц, исходя из количества используемого пространства в файловой системе.
Чтобы подготовиться к моментальному снимку, выключите сервер из командной строки. Хотя можно сделать снимок работающей системы, выключение питания дает лучшие гарантии того, что файловая система будет согласованной:
sudo poweroffТеперь в панели управления DigitalOcean вы можете сделать снимок, посетив вкладку «Снимки» вашего сервера:
Сделав снимок, вы сможете использовать его в качестве основы для будущих установок, выбрав снимок на вкладке «Мои снимки» для изображений в процессе создания:
Дополнительные ресурсы и следующие шаги
Отсюда ваш путь полностью зависит от того, что вы хотите сделать с вашим сервером. Приведенный ниже список руководств ни в коей мере не является исчерпывающим, но представляет некоторые из наиболее распространенных конфигураций, к которым пользователи обращаются:
Заключение
К этому моменту вы должны знать, как настроить надежную основу для ваших новых серверов. Надеюсь, у вас также есть хорошая идея для ваших следующих шагов. Не стесняйтесь исследовать сайт для получения дополнительных идей, которые вы можете реализовать на своем сервере.