CentOS 7 个性化配置指南

0x00 前言

该教程主要安装了如下软件包

iptables
MySQL
PHP
PHP 相关模块
Nginx

主要配置实现了以下功能

修改软件源
修改 PS1,更改配色
SSH 每隔 30 秒发送一个心跳包
修改 iptables 规则,开放端口
修改 MySQL 密码
修改 PHP-FPM 的工作模式
使 Nginx 支持解析 .php 文件

大部分软件的配置文件被修改后需要重启进程才能应用更改

为了配置方便我个人习惯先切换到 root 权限,使用如下命令并输入密码

注意:这是一种错误的,不良的习惯,在 root 权限下任何行为都不会受到系统的限制,因此导致的任何后果需要自己承担

sudo -s

注意:这是一种错误的,不良的习惯,在 root 权限下任何行为都不会受到系统的限制,因此导致的任何后果需要自己承担

注意:在 linux 中被要求输入的密码都是不可见的

正确的做法应该是以用户权限执行如下命令

sudo 命令

注意:这是一种错误的,不良的习惯,使用 -y 参数执行的命令会直接跳过用户确认的流程,因此导致的任何后果需要自己承担

本文中大部分命令使用了 -y 这一参数,该参数的含义是在执行命令的过程中默认确认所有需要用户手动确认的提示,例如安装或卸载软件包时明确告知用户该动作涉及哪些依赖包

注意:这是一种错误的,不良的习惯,使用 -y 参数执行的命令会直接跳过用户确认的流程,因此导致的任何后果需要自己承担

正确的做法是执行命令后等待系统提示确认,再根据提示手动输入类似 y/yes/n/no 的关键词,然后按下 回车 执行

0x01 SSH

使 SSH 服务每隔30秒发送一个心跳包,用来保持 SSH 连接

echo "ClientAliveInterval 30" >> /etc/ssh/sshd_config

重启 sshd

systemctl restart sshd

0x02 修改 PS1 配色

自带的配色实在太难看了

将 PS1 也就是控制配色的变量写入 ~/.bashrc

bash 在每次启动时都会加载 .bashrc 文件的内容

echo "PS1='\${debian_chroot:+(\$debian_chroot)}\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\\$ '" >> ~/.bashrc

应用更改后的 ~/.bashrc

source ~/.bashrc

0x03 修改源

由于大家都懂的原因,CentOS 的默认源访问速度贼慢或者根本无法访问,所以替换成国内服务商的源,这里用的是阿里云的

wget 下载源列表到 /etc/yum.repos.d/ 并重命名为 CentOS-AliCloud.repo

wget -O /etc/yum.repos.d/CentOS-AliCloud.repo http://mirrors.aliyun.com/repo/Centos-7.repo

如果这一步发生错误,可能是因为没有安装 wget 使用如下命令安装

> yum install -y wget

安装 epel 源

> EPEL 全称 Extra Packages for Enterprise Linux,是由 Fedora 社区为 RHEL 系 Linux 打造的软件源,比官方发布的源更新,质量更高

> yum 全称 Yellow dog Updater, Modified,是 RHEL 系 Linux 上的软件包管理工具

yum install -y epel-release

清除并重建 yum 缓存

yum clean all
yum makecache

检查并应用已安装软件包的可用升级

yum update -y

0x04 小工具

一些我自己经常用到的工具类软件包

yum install -y bash-completion curl git unzip htop yum-utils lsof tree

具体用法请移步如下链接

[Baidu](https://www.baidu.com/ "Baidu")
[Google](https://www.google.com/ "Google")

0x05 开发/编译工具

一些我自己经常用到的用于开发或编译的软件包,同时也作为很多第三方软件的依赖包,建议安装

yum install -y vim gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel

0x06 卸载 firewalld

> firewalld 是系统自带的防火墙,很强大,可以动态管理规则,如果有能力尽量使用firewalld,在 CentOS7 之后的版本中 iptables 的启动脚本会被忽略掉,不过写这篇文档的时候个人比较习惯用iptables,现在已换firewalld

停止 firewalld 服务

systemctl stop firewalld

关闭 firewalld 的开机自启

systemctl disable firewalld

卸载 firewalld

yum remove -y firewalld

0x07 安装 iptables-servers

这是一个我自己用着比较舒服的防火墙

yum install -y iptables-services

启动 iptables

systemctl start iptables

设置 iptables 开机自启

systemctl enable iptables

0x08 systemctl

单独说一下 systemctl

systemctl 是一个 systemd 工具,主要负责控制 systemd 系统和服务管理器

systemd 是一个系统管理守护进程、工具和库的集合,用于取代 system V 初始进程,systemd 的功能是用于集中管理和配置类 UNIX 系统

在 Linux 生态系统中,systemd 被部署到了大多数的标准 Linux 发行版中,只有为数不多的几个发行版尚未部署

在平时的工作中主要会用到以下几种参数,以 iptables 为例,其中服务名可以简写为 iptables,也可以写全称 iptables.service

启动 iptables 服务

systemctl start iptables

停止 iptables 服务

systemctl stop iptables

重载 iptables 服务

如果修改了服务的配置文件,建议重启而不是重载

systemctl reload iptables

重启 iptables 服务

systemctl restart iptables

开启 iptables 开机自启

systemctl enable iptables

关闭 iptables 开机自启

systemctl disable iptables

0x09 配置 iptables 规则

该规则主要控制可以从外部访问哪些端口,默认应该只有 22 端口,用于 SSH 访问,请勿删除,删除 22 端口访问权限会导致无法通过 SSH 登陆服务器

这里直接用 sed 添加到 iptables 的配置文件里,常规的做法是使用 vim 打开配置文件,并手动添加

sed -i '/-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT/a-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT' /etc/sysconfig/iptables
sed -i '/-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT/a-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT' /etc/sysconfig/iptables
sed -i '/-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT/a-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT' /etc/sysconfig/iptables

这里添加了三条规则,对应三个端口

> 80:web 服务
> 443:web 服务中的 https
> 3306:MySQL

重启 iptables

systemctl restart iptables

0x10 导入 MySQL 5.7 镜像源

这个是 MySQL 自己的源,用着比较舒服,直接安装这一个就可以解决所有依赖项

目前 MySQL 5.7 是稳定版本中最新的,虽然现在已经有 MySQL 8.0 了,但 8.0 还不成熟,而且他的上一个版本就是 5.7,中间没有 6.0 和 7.0

yum install -y http://repo.mysql.com/mysql57-community-release-el7.rpm

安装 mysql-server

yum install -y mysql-server

启动 MySQL 并设置开机自启

systemctl start mysqld
systemctl enable mysqld

0x11 查询 MySQL 默认密码

MySQL 在安装后会设置一个默认密码,使用 grep 工具查询安装日志中包含 password 关键词的行并输出

grep "password" /var/log/mysqld.log

应该会输出这样一行日志

> 时间 [Note] A temporary password is generated for root@localhost:

不管后边的字符有多奇怪,那个就是密码

登录 mysql

mysql -u root -p

输入密码后进入 MySQL 控制台

0x12 修改 MySQL 密码

MySQL 要求密码至少符合以下条件

> 数字、小写字母、大写字母 、特殊字符、长度至少8位

但这种要求可能不适合一些记不住密码的人,所以直接写出来修改规则的方式

注意:这是一种错误的,不良的习惯,低安全等级的密码可能遭到攻击甚至意料之外的访问、修改及数据泄露,因此导致的任何后果需要自己承担

设置密码安全等级为 0

mysql> SET GLOBAL VALIDATE_PASSWORD_POLICY = 0;

设置密码最小长度为 1

mysql> SET GLOBAL VALIDATE_PASSWORD_LENGTH = 1;

注意:这是一种错误的,不良的习惯,低安全等级的密码可能遭到攻击甚至意料之外的访问、修改及数据泄露,因此导致的任何后果需要自己承担

更改密码为 passwd

注意:passwd 是个示例密码,安全度极低,请自己修改

mysql> ALTER USER USER() IDENTIFIED BY 'passwd';

允许 root 使用 passwd 从任意主机连接

注意:passwd 是个示例密码,安全度极低,请自己修改

mysql> GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'passwd' WITH GRANT OPTION;

退出 mysql 控制台

mysql> exit

0x13 安装 nginx

yum install -y nginx

启动 nginx 并设置开机自启

systemctl start nginx
systemctl enable nginx

0x14 修改 nginx 基础配置

备份 nginx.conf 为 nginx.conf.bak,并将 nginx.conf.default 复制为nginx.conf

mv /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
cp /etc/nginx/nginx.conf.default /etc/nginx/nginx.conf

nginx 配置文件中使用 { } 来标识配置文件块,本文中只修改使其支持 php 的部分

打开 nginx 配置文件

vim /etc/nginx/nginx.conf

i 键进入编辑模式

http -> server 块中添加如下配置

location ~ \.php(.*)$ {
	root           html;
	fastcgi_pass   127.0.0.1:9000;
	fastcgi_index  index.php;
	fastcgi_split_path_info ^(.+\.php)(.*)$;
	fastcgi_param PATH_INFO $fastcgi_path_info;
	fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
	fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
	include        fastcgi_params;
        }

按键盘左上角的 ESC 键退出编辑模式,直接输入如下命令保存并退出

:wq

重启 nginx

systemctl restart nginx

0x15 mv 命令

mv 命令全称 move

常用的功能如下

将文件 test 更名为 abc

mv test abc

将文件 test 移动到 /home/ 目录下

mv test /home

0x16 修改网站根目录

默认的网站根目录位于 /usr/share/,我个人不太习惯,所以修改到 /var/www/html/

建立 /var/www/ 文件夹

mkdir -p /var/www

将 /usr/share/nginx/html/ 下的 html/ 目录移动到 /var/www/

mv /usr/share/nginx/html/ /var/www/

在 /usr/share/nginx/ 处建立 /var/www/html/ 的软链接并命名为 html

ln -s /var/www/html /usr/share/nginx/html

重启nignx

systemctl restart nginx

0x17 安装 PHP 7.2

安装 remi 源

> remi 是一个包含 PHP、MySQL 等工具的软件源

yum install -y http://rpms.remirepo.net/enterprise/remi-release-7.rpm

启用 PHP 7.2 仓库

该命令属于 yum-utils

yum-config-manager --enable remi-php72

安装 PHP 7.2

yum install -y php72

安装 PHP 模块

使用 remi 安装的 PHP 7.2 在安装模块时的前缀均为 php72-php-

yum install -y php72-php-fpm php72-php-gd php72-php-json php72-php-mbstring php72-php-mysql php72-php-mysqlnd php72-php-xml php72-php-xmlrpc php72-php-opcache

启动 PHP-FPM 并设置开机自启

> PHP-FPM 是一个 PHP FastCGI 进程管理器,并且直接被整合进 PHP 中

systemctl start php72-php-fpm
systemctl enable php72-php-fpm

修改 PHP-FPM 进程保留设置

php-fpm 的进程在创建后并不会直接退出,并且会占用大量内存,修改配置文件中的运行方式可以节省大量内存

sed -i 's/^pm = dynamic/pm = ondemand/' /etc/opt/remi/php72/php-fpm.d/www.conf

重启 PHP-FPM

systemctl restart php72-php-fpm
LICENSED UNDER CC BY-NC-SA 4.0
Comment