如何在 CentOS 7.9 上搭建高效服务器环境？

在 CentOS 7.9 上构建高效服务器环境的终极指南

CentOS 7.9 以其稳定性、安全性和广泛的社区支持，成为了许多企业和个人搭建服务器的首选操作系统。本文将深入探讨如何在 CentOS 7.9 上构建一个高效、稳定且安全的服务器环境，涵盖从基础系统配置到高级性能优化的各个方面。

第一部分：基础系统设置与安全加固

在开始任何高级配置之前，确保操作系统本身是安全和稳定的至关重要。

1.1 系统安装与初步配置

• 选择合适的安装选项： 在安装 CentOS 7.9 时，建议选择“最小安装”以减少不必要的软件包，降低安全风险和资源占用。后续根据需要安装特定服务。

• 配置网络：

  • 静态 IP 地址： 服务器通常需要一个固定的 IP 地址。编辑 /etc/sysconfig/network-scripts/ifcfg-<interface_name> 文件（<interface_name> 通常是 ens33 或 eth0），设置 BOOTPROTO=static，并配置 IPADDR、NETMASK、GATEWAY 和 DNS1 等参数。
  • 主机名： 使用 hostnamectl set-hostname <your_hostname> 命令设置一个有意义的主机名。
  • 防火墙： CentOS 7.9 默认使用 firewalld 作为防火墙。
    • 基本命令：
      • systemctl start firewalld (启动)
      • systemctl enable firewalld (开机自启)
      • systemctl status firewalld (查看状态)
      • firewall-cmd --list-all (列出所有规则)
      • firewall-cmd --zone=public --add-port=80/tcp --permanent (永久开放 TCP 80 端口)
      • firewall-cmd --reload (重新加载配置)
    • 最佳实践： 只开放必要的端口，并根据需要创建自定义区域和规则。

• 更新系统：

  • yum update -y：更新所有软件包到最新版本。定期执行此命令以获取安全补丁和功能改进。
  • 考虑配置自动更新，例如使用 yum-cron。

1.2 用户和权限管理

• 创建非 root 用户： 避免直接使用 root 用户进行日常操作。
  • useradd <username> (创建用户)
  • passwd <username> (设置密码)
  • usermod -aG wheel <username> (将用户添加到 wheel 组，允许使用 sudo)
• 配置 SSH：
  • 修改默认端口： 编辑 /etc/ssh/sshd_config 文件，将 Port 22 改为其他端口（例如 Port 2222）。
  • 禁止 root 登录： 在 /etc/ssh/sshd_config 中设置 PermitRootLogin no。
  • 使用密钥认证：
    • 在客户端生成密钥对：ssh-keygen -t rsa
    • 将公钥复制到服务器：ssh-copy-id -i ~/.ssh/id_rsa.pub <username>@<server_ip>
    • 在 /etc/ssh/sshd_config 中设置 PasswordAuthentication no 以禁用密码登录。
• 设置 sudo 权限：
  • 使用 visudo 命令编辑 /etc/sudoers 文件。
  • 最佳实践是允许 wheel 组的用户执行 sudo 命令，而不是单独配置每个用户。

1.3 安全加固措施

• SELinux：

  • 理解 SELinux： SELinux (Security-Enhanced Linux) 是一种强制访问控制机制，可以限制进程和文件的访问权限。
  • 模式：
    • Enforcing：强制执行策略，拒绝不符合规则的操作。
    • Permissive：记录违反策略的行为，但不阻止。
    • Disabled：禁用 SELinux。
  • 最佳实践： 建议保持 SELinux 处于 Enforcing 模式，并根据需要调整策略。
  • 常用命令：
    • getenforce (查看当前模式)
    • setenforce 0/1 (临时切换模式)
    • semanage (管理 SELinux 策略)
    • audit2allow (根据审计日志生成 SELinux 策略)

• Fail2ban：

  • 防止暴力破解： Fail2ban 通过监视日志文件（如 SSH、FTP）来检测恶意尝试，并在达到一定次数后自动阻止攻击者的 IP 地址。
  • 安装： yum install epel-release -y && yum install fail2ban -y
  • 配置： 编辑 /etc/fail2ban/jail.local 文件，根据需要配置不同的 jail（例如 SSH、HTTP）。
  • 启动： systemctl start fail2ban && systemctl enable fail2ban

• 禁用不必要的服务：

  • 使用 systemctl list-unit-files --type=service 查看所有服务。
  • 使用 systemctl disable <service_name> 禁用不需要的服务。

• 定期审计：

  • 使用 auditd 服务进行系统审计。
  • 配置审计规则以记录关键事件，例如文件访问、用户登录等。

第二部分：Web 服务器环境 (LAMP/LEMP)

根据你的需求，可以选择 LAMP (Linux, Apache, MySQL, PHP) 或 LEMP (Linux, Nginx, MySQL/MariaDB, PHP) 架构。

2.1 LAMP 架构

• Apache (httpd)：

  • 安装： yum install httpd -y
  • 启动： systemctl start httpd && systemctl enable httpd
  • 配置：
    • 主配置文件：/etc/httpd/conf/httpd.conf
    • 虚拟主机：在 /etc/httpd/conf.d/ 目录下创建独立的配置文件（例如 yourdomain.conf）。
    • 优化：
      • 启用 KeepAlive： 减少连接建立的开销。
      • 调整 MaxClients/MaxRequestsPerChild： 根据服务器资源进行调整。
      • 使用 MPM (Multi-Processing Module)： 选择合适的 MPM（prefork、worker 或 event）。
      • 启用压缩： 使用 mod_deflate 模块压缩传输内容。
      • 缓存静态资源： 使用 mod_expires 或 mod_headers 设置缓存策略。

• MySQL (MariaDB)：

  • 安装： yum install mariadb-server -y
  • 启动： systemctl start mariadb && systemctl enable mariadb
  • 安全配置： 运行 mysql_secure_installation 脚本，设置 root 密码、删除匿名用户、禁用远程 root 登录等。
  • 配置：
    • 主配置文件：/etc/my.cnf
    • 优化：
      • 调整缓冲区大小： innodb_buffer_pool_size、key_buffer_size 等。
      • 慢查询日志： 启用慢查询日志以识别性能瓶颈。
      • 查询缓存： 谨慎使用查询缓存，因为它可能在写入频繁的场景下降低性能。
      • 使用连接池： 减少数据库连接的创建和销毁开销。

• PHP：

  • 安装： yum install php php-mysql php-gd php-mbstring php-xml -y (根据需要安装其他扩展)
  • 配置：
    • 主配置文件：/etc/php.ini
    • 优化：
      • 启用 OPcache： 缓存编译后的 PHP 代码，提高执行效率。
      • 调整 memory_limit： 根据应用程序需求设置内存限制。
      • 禁用不必要的扩展： 减少内存占用和安全风险。
      • 使用 PHP-FPM： 提高 PHP 处理性能和稳定性。

2.2 LEMP 架构

• Nginx：

  • 安装： yum install nginx -y
  • 启动： systemctl start nginx && systemctl enable nginx
  • 配置：
    • 主配置文件：/etc/nginx/nginx.conf
    • 虚拟主机：在 /etc/nginx/conf.d/ 目录下创建独立的配置文件（例如 yourdomain.conf）。
    • 优化：
      • 启用 Gzip 压缩： 减少传输内容的大小。
      • 配置缓存： 缓存静态资源和动态内容。
      • 调整 worker_processes 和 worker_connections： 根据服务器 CPU 核心数和并发连接数进行调整。
      • 使用反向代理： 将请求转发到后端服务器（例如 PHP-FPM）。
      • 启用 SSL/TLS： 使用 Let's Encrypt 等工具获取免费证书。

• MySQL/MariaDB 和 PHP： 与 LAMP 架构中的配置类似。 在 LEMP 中，通常使用 PHP-FPM 与 Nginx 配合。

  • PHP-FPM 配置：
    • 配置文件：/etc/php-fpm.d/www.conf
    • 监听方式： 可以使用 Unix socket 或 TCP socket 与 Nginx 通信。
    • 进程管理： 调整 pm、pm.max_children、pm.start_servers、pm.min_spare_servers 和 pm.max_spare_servers 等参数。

第三部分：性能监控与优化

3.1 系统监控工具

• top/htop： 实时查看系统资源使用情况（CPU、内存、进程等）。
• vmstat： 报告虚拟内存统计信息。
• iostat： 报告 CPU 和 I/O 统计信息。
• iotop： 实时查看磁盘 I/O 使用情况。
• nload： 实时查看网络流量。
• netstat/ss： 查看网络连接和统计信息。
• free： 查看内存使用情况。
• df： 查看磁盘空间使用情况。

3.2 日志分析

• 系统日志： /var/log/messages、/var/log/secure 等。
• Web 服务器日志：
  • Apache：/var/log/httpd/access_log、/var/log/httpd/error_log
  • Nginx：/var/log/nginx/access.log、/var/log/nginx/error.log
• 数据库日志：
  • MySQL/MariaDB：/var/log/mariadb/mariadb.log
• 使用工具：
  • grep、awk、sed 等文本处理工具。
  • logrotate：管理日志文件的轮转和压缩。
  • 集中式日志系统：例如 ELK Stack (Elasticsearch, Logstash, Kibana)。

3.3 性能优化技巧

• 内核参数调优：

  • 编辑 /etc/sysctl.conf 文件，调整内核参数。
  • 常见参数：
    • net.core.somaxconn：增加 TCP 监听队列长度。
    • net.ipv4.tcp_tw_reuse：允许 TIME-WAIT 状态的 socket 重新用于新连接。
    • net.ipv4.tcp_tw_recycle：快速回收 TIME-WAIT 状态的 socket（在 NAT 环境下可能导致问题，谨慎使用）。
    • net.ipv4.tcp_fin_timeout：减少 FIN-WAIT-2 状态的超时时间。
    • fs.file-max：增加系统最大打开文件数。
  • 使用 sysctl -p 使更改生效。

• 文件系统优化：

  • 选择合适的文件系统：XFS 通常是 CentOS 7 上的推荐选择。
  • 使用 noatime 和 nodiratime 挂载选项：减少文件访问时间的更新。
  • 启用 TRIM：对于 SSD，定期执行 TRIM 操作可以提高性能和寿命。

• 使用 CDN： 将静态资源（图片、CSS、JavaScript）分发到 CDN，减少服务器负载并提高用户访问速度。

• 数据库优化：
  • 使用索引：为经常查询的列创建索引。
  • 优化查询语句：避免使用低效的查询语句。
  • 定期维护数据库：清理过期数据、优化表结构。
• 代码优化：这是优化的根本，应该尽量写出高效的代码。

第四部分 结论
在 CentOS 7.9 上搭建一个高效的服务器环境，涉及了从系统安全到性能优化的方方面面。本文提供了一个全面的指南，帮助您从零开始配置服务器，并使其能够稳定、安全、高效地运行。请记住，服务器优化是一个持续的过程，需要不断地监控、分析和调整，才能达到最佳效果。