查看完整版本: 小白网络学习系列五：服务器的自我修养

小白网络学习系列五：服务器的自我修养

目录（暂定）

一、网络术语对对碰：[bbs]thread-7857160-1-1.html[/bbs]
二、翻墙的前世今生：[bbs]thread-7861133-1-1.html[/bbs]
三、网络隐匿迷踪术：[bbs]thread-7864123-1-1.html[/bbs]
四、建站需要懂虾米？[bbs]thread-7867459-1-1.html[/bbs]
[b][i]五、服务器的自我修养[/i][/b]
六、论懒癌患者的自我救赎
七、家庭黄色小影院了解一下
八、黑群晖的“盗版”战争
九、这个视频很清晰

[b][color=Red]五、服务器的自我修养[/color][/b]

[b]前言[/b]

在上一节中咱大体说了下关于建站的一些内容，而这一节呢，咱就随便说说一些系统的版本知识，并讲解下基本的服务器安全配置，所以把原本目录中的第五和第六点进行了合并讲解。

本节内容分两部分来说，一个部分是Linux类型服务器，另一个部分是FreeBSD服务器，至于Windows服务器，抱歉，因为真的对Windows不感冒，所以就算了，不说Windows了！

[b]1. Linux[/b]

之前也说过，Linux属于一个系列的系统，各种发行版不一，所以对于服务器的参数不统一，但大体相似，而其中最常见的，也是VPS商家几乎必备的三款Linux发行版系统就是CentOS、Debian、Ubuntu，这里咱们就只挑选CentOS 7.X来说说就行了，其他另外两款大体差不多。

在各种Linux发行版中，都一定要注意一个问题，那就是Linux发行版基本上在不同的版本号发布时，都是有几款带有"Release"标识的，咱们在选用系统时，请选用带有"Release"标识的版本，这是稳定发行版本（之后以发行版本代替说明），也是目前官方支持的版本。

这有什么区别呢？首先，系统一般是分为这样几个版本：发行版、长期支持版、开发版、过期版。

其中发行版就是目前受到官方支持的版本，包含了最新的补丁、更新等；

长期支持版不一定每个系统都有，相对于发行版来说，最大的特色是受到官方的支持时间更长；

开发版是目前正在开发的版本，一般来说包含了最新的特性、功能等，可以享受最新的系统特性，但相对于来说无法保证稳定；

过期版则是已经不再受官方支持，官方已不再提供该版本的相关系统补丁、更新等，属于废弃版本。

了解了这几个区别，那么咱们在选择版本时，请先在谷歌上搜索下，该系统的版本区分标识，是否有长期支持版，有的话最选用最新的长期支持版，没有则选用最新的发行版。

[b]2. FreeBSD[/b]

之前也说过，除了Windows、Linux外，还有一种系统叫做Unix系统，也提到过，Unix系统大多属于商业系统，要花钱的，而其中FreeBSD就是Unix衍生出来的，但又不是真正的Unix，FreeBSD算是形成了一种独特的系统类型，咱们称之为类Unix系统。

FreeBSD与Linux不一样，Linux是通过统一内核进行包装发行，而FreeBSD则属于单纯的、完整的系统，也就是说只有一个发行版，就是FreeBSD，而通过FreeBSD衍生出的其他发行版，则统一称呼为BSD系统。

正如刚才说的，FreeBSD是一个纯净、单纯的系统，没有Linux那种各个发行版内容不统一的问题，所以FreeBSD在使用上会让人觉得更加干净、整齐。

FreeBSD系统带有很浓郁的学院派风格，具体而言，就是FreeBSD更稳定，在FreeBSD圈子中流行着这样的一个小笑话：FreeBSD经常能让你把root密码给忘了……

这个笑话不是说FreeBSD的密码容易忘记，而是因为FreeBSD一旦正常运行，若无外界因素，很多都默默的运行几年而无需维护，导致管理员直接把这台服务器给忘记了，root密码也自然而然的遗忘咯！

目前FreeBSD的最新稳定发行版本是"FreeBSD 12.0"，而网络上很多服务器运行的版本有"4.0"的，甚至"3.0"的或更低的版本，这就是FreeBSD稳定的表现，毕竟，FreeBSD给人的映像就是坚若磐石！

FreeBSD同样也在发行时会有几个版本区别，分别为："RELEASE"、"CURRENT"、"STABLE"。

"RELEASE"为稳定发行版，也就是受官方支持的版本，与Linux的稳定发行版本类似；

"CURRENT"则是相当于Linux的开发版，目前在开发中，有众多新功能、新特性，但不稳定；

"STABLE"在字面上理解容易让人产生误解，以为也是稳定版，但这个稳定版是属于开发版中的稳定版，也就是最新的开发版本，但已经相对来说稳定，不会在里面再增加新内容。

由此可见，咱们在使用时，选择的优先顺序应该是：Release > Stable > Current。

[b]3. Linux/FreeBSD安全配置[/b]

咱们在架设了一台自己的服务器后，除了基本的运行环境外，最重要也是必不可少的基本操作就是安全配置。

而安全配置其实也不像很多人认为的复杂，因为目前的Linux/FreeBSD系统，基本上都是随着发展而一直在修修补补的，这也意味着，一旦发现了什么漏洞，都会在第一时间进行补丁更新的。

所以，一般来说Linux/FreeBSD的最基础的安全配置就三方面：一为系统安全，二为SSH安全，三为防火墙安全。

[b]3.1 系统安全[/b]

系统安全，就是说的打系统补丁什么的，各个系统的更新方式不一致，所以就不讲命令了，只要记得定期更新最新补丁即可。

[b]3.2 SSH安全[/b]

SSH在前面也提到过，就是咱们连接VPS的一种操作，属于一种协议，能够通过该协议管理咱们的服务器系统，是Linux/FreeBSD系统中最重要的一个协议，而黑客一般来说也优先攻击该协议。

在Linux/FreeBSD中，SSH的配置类似，而相关的安全配置也类似，基本上也就是配置文件的保存位置不一致而已。

这里以CentOS及FreeBSD为例（两款系统的文件都一样位置：/etc/ssh/sshd_config）

以"vi"（Linux及FreeBSD）或"ee"（FreeBSD）命令打开该文件，有很多配置选项，咱们需要注意的就是以下几点：

1. Port 22：这是SSH的监听端口，是必须要进行修改的，默认的SSH是监听在22端口，明眼人一看就知道是SSH端口，进行后续的操作就更加容易，咱们首先就得保证别人不知道自己的SSH端口，建议选择一个10000以后的端口号。

2. PermitRootLogin yes：这一条配置是允许root账号登录SSH，咱这通常是不推荐的，推荐的做法是建立一个用户账号，比如：tjma，并给予该账户相应权限，能够运行"sudo"或者"su"命令。

3. AuthorizedKeysFile .ssh/authorized_keys：这一条属于配置登录证书，是推荐的操作模式，配置后能够允许用户通过证书进行访问，而证书相较于密码来说更加的安全。

4. PasswordAuthentication yes：当咱们使用证书登录的时候，推荐把这一选项关闭，也就是关闭密码登录。

5. PermitEmptyPasswords no：请绝对不要允许空密码登录，所以，请保持为"no"。

就是以上五条，属于SSH配置中最应该注意的地方，而一般来说，推荐的做法是这样的：

给root设置一个复杂的密码，原则为包含大小写字母、数字、特殊符号，且长度大于10位，新建一个账号，并赋予"sudo"或"su"命令的使用权限（比如FreeBSD需要将用户加入到wheel组）。

然后咱们配置SSH，修改端口号为一个较大的数字，禁止root账号登录，并开启证书登录，且证书仅仅使用于刚才建立的那个账号（即root账号下不保留证书），并关闭密码登录与空密码登录。

今后要对服务器进行任何操作，使用建立的账号，通过证书登录到SSH中，并使用"sudo"或"su"方式来执行命令。

[b]3.3 防火墙安全[/b]

防火墙这里不说操作，因为每个版本的操作方式不一致，比如CentOS下有firewall和iptables，而FreeBSD下是ipfw。

这里只说下原理就行，咱们的防火墙要遵循着最少开放的原理，就是开放最少的端口，其余不需要的则全部关闭，这里所谓的关闭就是禁止外部访问。

比如咱们作为WEB服务器，那推荐的开放端口只有两个，一个是SSH的管理端口，另一个就是WEB的80端口，当然，若配置了SSL证书，那还需要开放443端口，至于其他的，则统统禁止外部访问。