CentOS 8服务器初始安全部署

CentOS 8服务器初始安全部署

开启防火墙

  1. 保证能够远程的前提下开启防火墙,如云服务器需要能够通过VNC方式访问
systemctl start firewalld

创建远程管理员账号

  1. root用户下,创建用户abc
useradd abc
  1. 为用户abc设置密码def
passwd abc
  1. 将用户加入wheel组
usermod -aG wheel abc

禁用root远程

  1. 编辑ssh配置文件
vi /etc/ssh/sshd_config
  1. 找到PermitRootLogin,值修改为no
PermitRootLogin no
  1. 保存重启ssh,该操作可能会造成远程连接断开
systemctl restart sshd

注: 禁用root后,所有操作如未特殊说明,均在新管理员用户下进行

安装MySQL5.7

  1. 禁用MySQL默认的AppStream存储库
sudo dnf remove @mysql

sudo dnf module reset mysql && sudo dnf module disable mysql
  1. 创建一个新的存储库文件,写入MySQL5.7信息
sudo vim /etc/yum.repos.d/mysql-community.repo

加入如下内容

[mysql57-community]
name=MySQL 5.7 Community Server
baseurl=http://repo.mysql.com/yum/mysql-5.7-community/el/7/$basearch/
enabled=1
gpgcheck=0
[mysql-connectors-community]
name=MySQL Connectors Community
baseurl=http://repo.mysql.com/yum/mysql-connectors-community/el/7/$basearch/
enabled=1
gpgcheck=0
[mysql-tools-community]
name=MySQL Tools Community
baseurl=http://repo.mysql.com/yum/mysql-tools-community/el/7/$basearch/
enabled=1
gpgcheck=0
  1. 安装并检查
sudo dnf --enablerepo=mysql57-community install mysql-community-server

检查,会列出MySQL详细信息(略)

rpm -qi mysql-community-server
  1. 修改MySQL配置,防火墙开放MySQL访问(更多防火墙配置可参考https://www.cnblogs.com/architectforest/p/12304219.html)
    编辑MySQL配置文件
sudo vi /etc/my.cnf

在[mysqld]最下方增加或修改如下内容,lower_case_table_names=1表示表名大小写不敏感

lower_case_table_names=1
port=新端口号
character_set_server=utf8mb4

防火墙开放该端口

sudo firewall-cmd --zone=public --add-port=新端口/tcp --permanent

sudo firewall-cmd --reload
  1. 启动MySQL,开机自启,重载服务配置
sudo systemctl start mysqld

sudo systemctl enable mysqld

sudo systemctl daemon-reload
  1. MySQL初次root登录,修改密码
    获取初始密码
sudo grep 'temporary password' /var/log/mysqld.log

获取完整结果如下,则密码为f2y<<aE/k(9a

2021-07-02T01:58:45.783643Z 1 [Note] A temporary password is generated for root@localhost: f2y<<aE/k(9a

登录并根据提示输入密码

mysql -uroot -p

修改密码(登录后 mysql> 执行)

set password for root@localhost = password('新密码');
  1. 创建MySQL远程管理账号并赋权(登录需要证书),本地登录测试
    root下创建账号,'REQUIRE X509'表示必须提供用户名密码和证书才能访问
create user 新用户名@'%' identified by '密码' REQUIRE X509;

创建数据库(可选)

create database 数据库名 character set 'utf8mb4' collate 'utf8mb4_general_ci';

将相应数据库所有权限赋予新用户

grant all privileges on 数据库名.* to '用户名'@'%';

mysql中输入quit退出,在服务器本地登录测试

sudo mysql -u用户名 -p密码 -P 新端口 --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem
  1. 客户端下载证书,远程登录测试
    将客户端用到的证书访问权限赋予管理员abc,并拷贝到用户abc根目录(/home/abc)
sudo chown abc /var/lib/mysql/client-key.pem /var/lib/mysql/client-cert.pem /var/lib/mysql/ca.pem
cp /var/lib/mysql/client-key.pem /var/lib/mysql/client-cert.pem /var/lib/mysql/ca.pem ~

使用SFTP(MobaXterm会话左侧)将用户abc根目录下三个文件client-key.pem,client-cert.pem,ca.pem下载下来(略)
客户端远程登录测试

mysql -u用户名 -p密码 -h 服务器地址 -P 端口 --ssl-ca=D:\mysql-cert\ca.pem --ssl-cert=D:\mysql-cert\client-cert.pem --ssl-key=D:\mysql-cert\client-key.pem

安装启动redis

sudo dnf install redis
sudo systemctl start redis
sudo systemctl enable redis
sudo systemctl daemon-reload

安装nginx

sudo dnf install nginx
sudo systemctl start nginx
sudo systemctl enable nginx
sudo systemctl daemon-reload

安装openjdk,配置环境变量

安装

sudo dnf install java-1.8.0-openjdk java-1.8.0-openjdk-devel

切换为root账号

sudo -s

配置环境变量

touch /etc/profile.d/jdk.sh
sh -c "echo 'export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk' >> /etc/profile.d/jdk.sh"
sh -c "echo 'export PATH=$PATH:$JAVA_HOME/bin' >> /etc/profile.d/jdk.sh"
source /etc/profile

切换回用户abc

su abc

安装tomcat

创建安装目录,这里是用户abc下的tomcat目录,即/home/abc/tomcat

mkdir /home/abc/tomcat
cd /home/abc/tomcat

访问tomcat官网,选择需要的版本,复制下载链接后使用命令下载并解压到当前目录下,这里使用了9.0.55(如果下载很慢,可以去华为云镜像中找相应版本下载链接https://mirrors.huaweicloud.com/apache/tomcat/)

wget https://mirrors.huaweicloud.com/apache/tomcat/tomcat-9/v9.0.55/bin/apache-tomcat-9.0.55.tar.gz
tar -zxf apache-tomcat-9.0.55.tar.gz

创建系统服务文件

sudo vi /usr/lib/systemd/system/tomcat.service

写入内容保存

[Unit]
Description=Tomcat Server
After=network.target

[Service]
Type=forking

ExecStart=/home/abc/tomcat/apache-tomcat-9.0.55/bin/startup.sh
ExecStop=/home/abc/tomcat/apache-tomcat-9.0.55/bin/shutdown.sh

[Install]
WantedBy=multi-user.target

重载服务配置,启用并启动Tomcat服务

sudo systemctl daemon-reload
sudo systemctl enable --now tomcat
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,186评论 6 492
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,858评论 3 387
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,620评论 0 348
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,888评论 1 285
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,009评论 6 385
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,149评论 1 291
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,204评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,956评论 0 268
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,385评论 1 303
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,698评论 2 327
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,863评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,544评论 4 335
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,185评论 3 317
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,899评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,141评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,684评论 2 362
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,750评论 2 351

推荐阅读更多精彩内容