服务器操作系统初始设置指南

在操作系统安装完成后，通常需要进行一些初始化配置以确保系统的安全性、稳定性和性能优化。以下是一些常见的初始化类型及其对应的命令，供参考。

1 设置登录提示

登录提示（Message of the Day, MOTD）是用户登录系统时显示的消息。通过设置 MOTD，可以向用户传递欢迎信息或重要通知。

cat > /etc/motd <<EOF

Welcome to Astralor Server !

EOF

说明：

• /etc/motd 文件用于存储登录提示信息。

• 使用 cat 命令将欢迎信息写入该文件。

2 设置国内时区

时区设置对于日志记录、时间同步和应用程序运行非常重要。以下命令将系统时区设置为亚洲/上海（北京时间）。

timedatectl set-timezone Asia/Shanghai

说明：

• timedatectl 是用于管理系统时间和日期的工具。

• Asia/Shanghai 是中国的标准时区。

3 优化内核参数

内核参数的优化可以显著提升系统的网络性能、内存管理和文件系统效率。以下是一些常见的内核参数配置。

# 优化内核参数
cat > /etc/sysctl.conf <<EOF
vm.swappiness = 0
kernel.sysrq = 1

net.ipv4.neigh.default.gc_stale_time = 120

net.core.somaxconn=32768
net.core.netdev_max_backlog=16384
net.core.rmem_max=2500000
net.core.wmem_max=2500000

net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.lo.arp_announce = 2
net.ipv4.conf.all.arp_announce = 2

net.ipv4.tcp_max_tw_buckets = 1048576
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_slow_start_after_idle = 0

net.ipv4.ip_local_port_range=1024 65535

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.ip_nonlocal_bind = 1

fs.file-max = 1048576
fs.nr_open = 1048576
vm.max_map_count=1048576

net.ipv4.neigh.default.base_reachable_time_ms = 600000
net.ipv4.neigh.default.delay_first_probe_time = 1
net.ipv4.neigh.default.mcast_solicit = 20
net.ipv4.neigh.default.retrans_time_ms = 250
net.ipv4.conf.all.rp_filter=0
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
net.ipv4.tcp_fastopen=3

fs.inotify.max_user_watches=1048576
fs.inotify.max_queued_events=1048576
fs.inotify.max_user_watches=1048576
fs.inotify.max_user_instances=1048576
EOF
sysctl -p

说明：

• /etc/sysctl.conf 文件用于存储内核参数。

• sysctl -p 命令用于立即应用配置。

4 优化文件打开数

文件打开数的优化可以防止系统因文件描述符不足而崩溃。以下命令将文件打开数限制设置为 1048576。

# 优化文件打开数
cat >> /etc/security/limits.conf <<EOF
root soft nofile 1048576
root hard nofile 1048576
* soft nofile 1048576
* hard nofile 1048576
* soft nproc 1048576
* hard nproc 1048576
EOF
sed -i s/^\\#DefaultLimitNOFILE=.*$/DefaultLimitNOFILE=1048576/ /etc/systemd/system.conf
systemctl daemon-reload

说明：

• /etc/security/limits.conf 文件用于设置用户级别的资源限制。

• systemctl daemon-reload 用于重新加载 systemd 配置。

5 注入登录密钥

通过注入 SSH 公钥，可以实现免密登录，提升操作便捷性和安全性。

# 注入密钥
cat >> ~/.ssh/authorized_keys <<EOF
ssh-rsa xxxxxx key_name
EOF

说明：

• ~/.ssh/authorized_keys 文件用于存储允许登录的 SSH 公钥。

6 安装常用工具

6.1 Debian 系统

在 Debian 系统中，安装常用工具可以提高系统的可用性和管理效率。

# 更新本地元数据
apt update

# 安装时间同步服务
apt -y install chrony

# 安装常见排查工具
apt -y install curl wget bind9-dnsutils htop nmon sysstat net-tools telnet iftop

# 安装常见工具
apt -y install tree sudo vnstat rsync lrzsz rsyslog bash-completion zip unzip jq

# 安装存储相关
apt -y install parted open-iscsi nfs-common cryptsetup
modprobe iscsi_tcp

说明：

• apt update 用于更新软件包列表。

• chrony 是时间同步服务。

• htop 和 nmon 是系统监控工具。

7 优化 SSH 设置

通过优化 SSH 配置，可以提升远程连接的安全性和稳定性。

# 备份原始配置文件
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup

# 配置 SSH 使用 29118 端口
sed -i 's/^\\(#\\?\\)Port 22/Port 29118/' /etc/ssh/sshd_config

# 配置允许 root 用户登录
sed -i 's/^#\\?PermitRootLogin .*/PermitRootLogin yes/' /etc/ssh/sshd_config

# 配置允许密码验证
sed -i 's/^PasswordAuthentication no/PasswordAuthentication yes/' /etc/ssh/sshd_config

# 优化登录时间
sed -i "s/#ClientAliveInterval 0/ClientAliveInterval 60/g" /etc/ssh/sshd_config
sed -i "s/#ClientAliveCountMax 3/ClientAliveCountMax 10/g" /etc/ssh/sshd_config

# 清理注入的多余配置
rm -f /etc/ssh/sshd_config.d/*

systemctl restart sshd

说明：

• 修改 SSH 端口可以降低被攻击的风险。

• ClientAliveInterval 和 ClientAliveCountMax 用于保持 SSH 会话。

8 配置 bashrc

通过配置 ~/.bashrc 文件，可以自定义命令行环境，提升操作效率。

cat << 'EOF' > /root/.bashrc
# .bashrc

# Source global definitions
if [ -f /etc/bashrc ]; then
    . /etc/bashrc
fi

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.
if [ -f ~/.bash_aliases ]; then
    . ~/.bash_aliases
fi

# Enable color support of ls and also add handy aliases
if [ -x /usr/bin/dircolors ]; then
    test -r ~/.dircolors && eval "$(dircolors -b ~/.dircolors)" || eval "$(dircolors -b)"
    alias ls='ls --color=auto'
    alias ll='ls --color=auto -lh'
    alias la='ls --color=auto -lah'
    alias l='ls --color=auto -l'
    alias dir='dir --color=auto'
    alias vdir='vdir --color=auto'

    alias grep='grep --color=auto'
    alias fgrep='fgrep --color=auto'
    alias egrep='egrep --color=auto'
fi

# Colored GCC warnings and errors
export GCC_COLORS='error=01;31:warning=01;35:note=01;36:caret=01;32:locus=01:quote=01'

# Some aliases to prevent mistakes
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# User-specific environment settings
# Basic environment
# Set system language to en_US.UTF-8 to avoid Chinese character display issues in the terminal
export LANG="en_US.UTF-8"
export LC_ALL="en_US.UTF-8"

# User-specific aliases, configures and functions
EOF

source /root/.bashrc

说明：

• ~/.bashrc 文件用于定义用户登录时的 Shell 环境。

• alias 命令用于创建命令别名，简化操作。

以上是操作系统安装完成后常见的初始化配置及其详细说明。通过这些配置，可以确保系统的高效运行和安全性。