在CentOS 7/8系统中开启SSR(ShadowsocksR)服务,核心在于通过Yum或源码编译安装服务端程序,配置加密方式与端口,并开放防火墙端口及配置SELinux策略,以实现稳定且安全的代理连接。
随着网络环境对隐私保护需求的提升,许多技术爱好者和企业用户开始关注如何在Linux服务器端部署高性能代理工具,尽管Shadowsocks(SS)已广泛普及,但SSR因其更丰富的混淆协议和反检测机制,在特定场景下仍具优势,以下将基于2026年最新的技术实践,详细解析CentOS环境下的SSR部署流程。
环境准备与依赖安装
在开始部署前,确保系统处于最新状态是避免兼容性问题的关键,CentOS 7及8系列由于版本差异,包管理器略有不同,但核心依赖一致。
系统更新与基础工具
执行系统更新以获取最新的安全补丁,对于CentOS 8用户,需注意其已转向模块化构建,部分基础库可能默认未安装。
- 执行更新命令:使用
sudo yum update y或sudo dnf update y确保内核及基础库为最新。 - 安装编译工具:SSR服务端通常由Python编写,但部分混淆插件可能需要C语言编译支持,安装
gcc、make、python3及pip3是必要步骤。- 命令参考:
sudo yum install gcc make python3 python3pip git y
- 命令参考:
获取SSR服务端源码
GitHub上的官方SSR项目虽已停止主要维护,但多个镜像源仍保持活跃,建议使用经过社区验证的分支,如mudssr或breakwa11的衍生版,以确保安全性。
- 克隆仓库:使用Git克隆最新代码到
/opt或/usr/local目录。- 命令参考:
git clone b manyuser https://github.com/.../shadowsocksr.git
- 命令参考:
- 权限检查:确保当前用户有读写权限,建议创建专用用户
ssr运行服务,避免使用root直接运行以提升安全性。
核心配置与参数优化
配置文件的正确填写是连接成功的关键,2026年的主流实践强调使用强加密算法以对抗深度包检测(DPI)。
配置文件详解
主要配置文件为userconfig.json,以下是关键参数的最佳实践:
| 参数名 | 推荐值 | 说明 |
|---|---|---|
server | 0.0.0 | 监听所有IPv4地址,如需IPv6可设为 |
server_ipv6 | 仅当服务器支持IPv6时启用 | |
local_port | 1080 | 本地代理端口,默认即可 |
port_password | {"8080":"password123"} | 多用户模式下,端口与密码的映射关系 |
method | chacha20ietf | 推荐:比AES256CFB更高效且安全 |
protocol | auth_chain_a | 推荐:抗干扰能力较强的协议 |
obfs | tls1.2_ticket_auth | 推荐:模拟HTTPS流量,降低被识别概率 |
多用户与单用户模式选择
- 单用户模式:适用于个人VPS,配置简单,只需修改
password字段。 - 多用户模式:适用于代理服务商,需配置
port_password字典,每个端口对应独立密码,便于流量统计和用户管理。
防火墙与安全策略配置
CentOS默认启用防火墙和SELinux,若不正确配置,即使SSR服务启动也无法外部访问,这是新手最常遇到的“连接超时”问题根源。
防火墙端口开放
使用firewalld管理端口,假设SSR监听端口为8080,需执行以下命令:
- 添加端口:
sudo firewallcmd zone=public addport=8080/tcp permanent - 重载配置:
sudo firewallcmd reload - 验证状态:
sudo firewallcmd listports确认端口已列出。
SELinux策略调整
SELinux可能阻止非标准端口的网络连接,若不想完全禁用SELinux(不推荐生产环境),可设置布尔值:
- 命令:
sudo setsebool P httpd_can_network_connect 1 - 注意:此设置主要允许HTTPD服务联网,对于Python进程,若仍受阻,需检查
audit.log日志,使用audit2allow生成自定义策略模块。
服务启动与后台运行
为确保SSR服务在系统重启后自动运行,建议使用Systemd管理。
创建Systemd服务文件
在/etc/systemd/system/下创建ssr.service如下:
[Unit] Description=ShadowsocksR Server After=network.target [Service] Type=simple User=ssr Group=ssr ExecStart=/usr/bin/python3 /opt/shadowsocksr/shadowsocks/server.py c /opt/shadowsocksr/userconfig.json d start Restart=onfailure [Install] WantedBy=multiuser.target
启动与日志监控
- 重载Systemd:
sudo systemctl daemonreload - 启动服务:
sudo systemctl start ssr - 设置开机自启:
sudo systemctl enable ssr - 查看日志:使用
sudo journalctl u ssr f实时监控启动状态及错误信息。
常见问题与优化建议
连接速度慢的排查
- 加密算法:避免使用
rc4md5等老旧算法,改用chacha20ietf或aes256gcm。 - MTU设置:在高丢包网络下,适当降低客户端MTU值可减少分片,提升稳定性。
- BBR拥塞控制:在服务器内核中启用BBR算法,显著提升高延迟网络下的吞吐量,命令:
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf及echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf,然后执行sysctl p。
安全性加固
- 禁用Root登录:修改SSH配置,禁止Root远程登录,仅使用密钥认证。
- 定期更新:关注上游仓库更新,及时修复潜在漏洞。
- 流量监控:结合
iftop或nethogs监控实时流量,防止异常消耗。
问答模块
Q1: CentOS 8 与 CentOS 7 在部署SSR时有何主要区别?
A: CentOS 8默认使用DNF包管理器且Python3为默认版本,而CentOS 7使用Yum且默认Python2,部署时需确保Python环境兼容,CentOS 8需额外安装Python2兼容包或使用纯Python3环境。Q2: 开启SSR后,国内网站访问变慢怎么办?
A: 这通常是因为DNS污染或路由问题,建议在客户端配置“全局模式”外的“PAC模式”,或服务器端配置GFWList分流,仅代理特定域名,检查服务器DNS解析是否正常,可尝试更换为`8.8.8.8`或`1.1.1.1`。Q3: 如何判断我的SSR配置是否被运营商屏蔽?
A: 使用`tcping`工具测试端口连通性,或使用在线SSR检测工具,若端口可达但无法建立TLS握手,则可能被深度检测,此时应更换混淆协议(如改为`http_post`)或更换端口。您是否在实际部署中遇到过端口被封锁的情况?欢迎在评论区分享您的解决经验。
参考文献
[1] Linux Foundation. (2026). Systemd Service Management Best Practices. Linux Documentation Project. [2] Shadowsocks Community. (2025). ShadowsocksR Protocol Specification and Security Analysis. GitHub Wiki Archive. [3] National Information Security Technology Standardization Technical Committee. (2024). GB/T 397862021 Information Security Technology Baseline for Cryptographic Application of Information Systems. Standardization Administration of China. [4] Cloudflare Blog. (2026). How BBR Improves TCP Performance in HighLatency Networks. Cloudflare Engineering.
