阿里云 CentOS 服务器配置实战指南

创建阿里云 ECS 实例：坚实的第一步

在阿里云控制台，选择 "云服务器 ECS"，点击 "创建实例",关键配置决定后续体验：

• 地域与可用区： 根据目标用户地理位置选择（如国内用户优先华北2、华东2），提升访问速度,多可用区部署可增强高可用性。
• 实例规格： 个人博客/轻量应用可选 ecs.t6-c1m1.large（1核1G）；流量较高的网站或应用建议 ecs.c7.large（2核4G）起步,务必结合业务负载评估。
• 镜像选择： 在 "镜像市场" 或 "公共镜像" 中，筛选并选择所需 CentOS 版本（推荐 CentOS 7.9 或 CentOS Stream 8/9，兼顾稳定与更新）。
• 系统盘： 默认 40GB ESSD云盘，对普通网站足够；数据库或大型应用建议 100GB 以上,并选择高效云盘或SSD。
• 网络与安全组：
  • 分配公网 IP（带宽按需选择，初期 3-5Mbps 足够）。
  • 安全组是核心： 新建安全组，初期仅开放必要端口：SSH(22)、HTTP(80)、HTTPS(443)，严格限制来源IP（如仅限办公IP访问22端口）。
• 登录凭证：强烈推荐使用密钥对，安全性远超密码，在阿里云控制台创建或导入已有公钥，下载并妥善保管 .pem 私钥文件（权限设为 400：chmod 400 your-key.pem）。

确认配置无误，提交创建，几分钟后，实例状态变为 "运行中"。

首次连接与基础系统配置

1. SSH 连接服务器：

   ssh -i /path/to/your-key.pem root@your_server_public_ip

   首次连接需确认主机指纹。

2. 立即更新系统： 连接后首要任务。

   yum update -y && yum upgrade -y

   更新包含重要的安全补丁。

   

3. 创建管理用户 (推荐)： 避免长期使用 root。

   adduser yourusername  # 创建用户
   passwd yourusername   # 设置强密码
   usermod -aG wheel yourusername  # 加入 sudo 组 (CentOS 7)
   # CentOS 8/9 可能需要: usermod -aG sudo yourusername

   退出当前会话，使用新用户重新登录：ssh -i your-key.pem yourusername@server_ip

4. 强化 SSH 安全：

   sudo vi /etc/ssh/sshd_config

   修改关键参数：

   Port 29222                  # 改为非标准端口 (示例)
   PermitRootLogin no          # 禁用 root 登录
   PasswordAuthentication no   # 强制使用密钥登录
   PubkeyAuthentication yes    # 确保启用公钥认证

   保存退出，重启 SSH：sudo systemctl restart sshd。务必在新端口测试登录成功后再关闭原终端！

5. 配置基础防火墙 (firewalld)：

   

   sudo systemctl enable firewalld --now  # 启用并启动
   sudo firewall-cmd --permanent --add-port={80/tcp,443/tcp,29222/tcp} # 开放端口
   sudo firewall-cmd --reload  # 重载生效
   sudo firewall-cmd --list-all # 验证

安装必备软件环境 (LAMP 示例)

1. 安装 Apache Web 服务器：

   sudo yum install httpd -y
   sudo systemctl enable httpd --now

   浏览器访问 http://服务器公网IP，应看到 Apache 测试页。

2. 安装 MariaDB 数据库：

   sudo yum install mariadb-server mariadb -y
   sudo systemctl enable mariadb --now
   sudo mysql_secure_installation  # 运行安全脚本：设置 root 密码、移除匿名用户等

3. 安装 PHP：

   # CentOS 7:
   sudo yum install epel-release yum-utils -y
   sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
   sudo yum-config-manager --enable remi-php74  # 选择所需版本 (如74, 80, 81)
   sudo yum install php php-mysqlnd php-gd php-mbstring php-xml -y
   # CentOS Stream 8/9:
   sudo dnf install php php-mysqlnd php-gd php-mbstring php-xml php-fpm -y
   sudo systemctl enable php-fpm --now  # 如使用 PHP-FPM

   重启 Apache：sudo systemctl restart httpd，创建 info.php 测试：

   echo "" | sudo tee /var/www/html/info.php

   访问 http://服务器公网IP/info.php 查看 PHP 信息。完成后务必删除此文件！

关键安全加固措施

1. 配置 Fail2Ban： 防御暴力破解。

   sudo yum install fail2ban -y
   sudo systemctl enable fail2ban --now
   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

   编辑 jail.local，配置 SSH 端口和封禁策略。

2. 自动安全更新：

   sudo yum install yum-cron -y  # CentOS 7
   sudo dnf install dnf-automatic -y  # CentOS 8/9

   编辑对应配置文件 (/etc/yum/yum-cron.conf 或 /etc/dnf/automatic.conf),启用自动下载并应用安全更新。

3. 文件系统权限： Web 目录权限应严格。

   sudo chown -R apache:apache /var/www/html/  # Apache 用户
   sudo find /var/www/html/ -type d -exec chmod 755 {} \;  # 目录权限
   sudo find /var/www/html/ -type f -exec chmod 644 {} \;  # 文件权限

4. 定期备份： 阿里云提供快照功能，但应用数据建议额外异地备份（如 rsync 到另一存储桶或服务器）,制定并测试恢复流程。

服务器维护与管理

• 监控： 阿里云云监控提供基础指标（CPU、内存、带宽、磁盘），复杂需求可部署 Prometheus+Grafana 或 Zabbix。
• 日志： 定期检查 /var/log/secure (SSH日志)、/var/log/httpd/ (Apache日志)、/var/log/mariadb/ (数据库日志)，使用 logrotate 管理日志大小。
• 性能优化： 根据负载调整 Web 服务器（Apache Worker/Event MPM 或 Nginx）、PHP-FPM 进程数、MySQL 缓冲区设置。top, htop, vmstat, iostat 是基础工具。
• 软件更新： 定期执行 yum update 或 dnf upgrade，关注核心组件（如 OpenSSL）的安全公告。

可靠的服务器配置是网站稳定运行的基石，阿里云提供了强大的基础设施，而细致的安全加固与规范的系统管理，才是保障业务持续在线、数据安全无忧的关键，每一次登录操作、每一条安全规则设定，都直接关系到线上服务的健壮性。