ubuntu18服务器配置
mysql
sudo apt install mysql-server-5.7
设置root用户密码
sudo mysql
输入ubuntu密码后,进入mysql命令行,执行(设置root用户密码为root):
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 't#hWZnZ6@M';
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'yjh@Admin123';
开启远程访问
1.
修改配置文件/etc/mysql/mysql.conf.d/mysqld.cnf
将bind-address = 127.0.0.1 这行注释掉改为 bind-address = 0.0.0.0
2.
mysql -u root -p
输入密码后,分别执行以下指令:
use mysql;
update user set host = '%' where user = 'root';
FLUSH PRIVILEGES;
安装openjdk
sudo apt install openjdk-17-jdk-headless
vim /etc/profile
在末尾添加:
# Java Env
export JAVA_HOME=/alidata/server/java/jdk17
export PATH=$PATH:$JAVA_HOME/bin
步骤四:使profile生效
source /etc/profile
cd /etc/ssh/
sudo vim sshd_config
Port改成911
sudo systemctl restart sshd
nginx
安装依赖包
sudo apt-get update
sudo apt-get install build-essential
sudo apt-get install libtool
sudo apt-get install libpcre3 libpcre3-dev -y
sudo apt-get install zlib1g-dev -y
sudo apt-get install libssl-dev -y
安装nginx
wget http://nginx.org/download/nginx-1.20.2.tar.gz
tar -xvf nginx-1.20.2.tar.gz
useradd nginx
编译nginx
进入nginx目录
/usr/local/nginx/nginx-1.20.2
执行命令
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx --with-http_gzip_static_module --with-http_flv_module --with-http_ssl_module --with-http_realip_module --with-http_v2_module --with-http_sub_module --with-http_mp4_module --with-http_stub_status_module --with-http_gzip_static_module --with-pcre --with-stream --with-stream_ssl_module --with-stream_realip_module --add-module=/root/ngx_http_geoip2_module
执行make命令
make && make install
ln -s /usr/local/nginx/sbin/nginx /usr/bin/
sudo vim /etc/systemd/system/nginx.service
[Unit]
Description=Nginx HTTP Server
After=network.target
[Service]
Type=forking
ExecStartPre=/usr/local/nginx/sbin/nginx -t
ExecStart=/usr/local/nginx/sbin/nginx
ExecReload=/usr/local/nginx/sbin/nginx -s reload
ExecStop=/usr/local/nginx/sbin/nginx -s stop
PrivateTmp=true
[Install]
WantedBy=multi-user.target
sudo chmod 644 /etc/systemd/system/nginx.service
sudo systemctl daemon-reload
sudo systemctl enable nginx
sudo systemctl start nginx
mq
unzip rocketmq-all-4.9.7-bin-release.zip
nohup sh /usr/local/rocketmq-all-4.9.7-bin-release/bin/mqnamesrv -n 43.137.1.142:9876 &
nohup sh /usr/local/rocketmq-all-4.9.7-bin-release/bin/mqbroker -n 43.137.1.142:9876 -c /usr/local/rocketmq-all-4.9.7-bin-release/conf/broker.conf autoCreateTopicEnable=true &
启动不了的时候,store删除一下
nohup sh mqbroker -n 43.137.1.142:9876 -c ../conf/broker.conf autoCreateTopicEnable=true &
sudo vim ~/.bashrc
export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64
export PATH=$PATH:$JAVA_HOME/bin
export ROCKETMQ_HOME=/usr/local/rocketmq-all-4.9.7-bin-release
export PATH=$PATH:$ROCKETMQ_HOME/bin
source ~/.bashrc
sudo vim /etc/systemd/system/rocketmq.service
[Unit]
Description=RocketMQ Name Server and Broker
After=network.target
[Service]
ExecStart=/usr/local/rocketmq-all-4.9.7-bin-release/bin/mqnamesrv && /usr/local/rocketmq-all-4.9.7-bin-release/bin/mqbroker -n localhost:9876
Restart=always
RestartSec=3
User=root
Group=root
[Install]
WantedBy=multi-user.target
sudo chmod 644 /etc/systemd/system/rocketmq.service
sudo systemctl daemon-reload
sudo systemctl enable rocketmq
sudo systemctl start rocketmq
sudo systemctl status rocketmq
redis6.2.5
redis
sudo apt update
sudo apt install build-essential tcl
wget http://download.redis.io/releases/redis-6.2.5.tar.gz
tar xzf redis-6.2.5.tar.gz
cd redis-6.2.5
make
sudo make install
redis-server
redis-server --daemonize yes
sudo vim /etc/systemd/system/redis.service
[Unit]
Description=Redis
After=network.target
[Service]
ExecStart=/usr/local/bin/redis-server /etc/redis/redis.conf
ExecStop=/usr/local/bin/redis-cli shutdown
Restart=always
[Install]
WantedBy=multi-user.target
nohup sh /usr/local/rocketmq-all-4.9.4-bin-release/bin/mqnamesrv &
nohup sh /usr/local/rocketmq-all-4.9.4-bin-release/bin/mqbroker -n 43.137.1.142:9876 &
要配置 Redis 的密码访问,您需要按照以下步骤进行操作:
-
打开 Redis 配置文件:
sudo vim /etc/redis/redis.conf -
在配置文件中找到并取消注释
requirepass指令,并在其后面设置您想要的密码:requirepass your_redis_password将
your_redis_password替换为您要设置的实际密码。 -
保存并关闭文件。
-
重启 Redis 服务以使配置生效:
sudo systemctl restart redis
现在,Redis 已经配置了密码访问。
请注意,配置 Redis 密码后,您需要在连接 Redis 时提供相应的密码。例如,在使用 Redis 命令行客户端 redis-cli 连接 Redis 时,可以使用以下命令:
redis-cli -a your_redis_password
将 your_redis_password 替换为您设置的实际密码。
此外,您还可以通过其他方式配置 Redis 的安全性,如限制访问地址、使用 SSL 加密等。详细的 Redis 安全性配置请参阅 Redis 的官方文档或其他相关资源。
要在CentOS上安装Redis 6.2.5,可以按照以下步骤进行操作:
-
更新系统:
sudo yum update -
安装必要的依赖项:
sudo yum install gcc make wget -
下载Redis源代码:
wget http://download.redis.io/releases/redis-6.2.5.tar.gz -
解压源代码:
tar xzf redis-6.2.5.tar.gz -
进入Redis源代码目录:
cd redis-6.2.5 -
编译和安装Redis:
make sudo make install -
创建Redis配置文件目录:
sudo mkdir /etc/redis -
将Redis配置文件复制到配置文件目录:
sudo cp redis.conf /etc/redis/ -
打开Redis配置文件以进行编辑:
sudo vi /etc/redis/redis.conf -
在配置文件中找到并修改以下行(如果需要):
- 将
bind 127.0.0.1修改为bind 0.0.0.0允许从外部访问Redis - 如果需要设置密码,在
# requirepass foobared的下一行添加requirepass YourPassword并将 "YourPassword" 替换为您的密码
- 将
-
保存并关闭配置文件。
-
创建Redis启动脚本:
sudo vim /etc/systemd/system/redis.service -
在启动脚本中添加以下内容:
[Unit] Description=Redis After=network.target [Service] ExecStart=/usr/local/bin/redis-server /etc/redis/redis.conf ExecStop=/usr/local/bin/redis-cli shutdown Restart=always [Install] WantedBy=multi-user.target -
保存并关闭启动脚本。
-
启动Redis服务:
sudo systemctl start redis -
配置Redis开机自启动:
sudo systemctl enable redis
现在,您已经成功安装并启动了Redis 6.2.5。您可以通过连接到Redis服务器来访问它。如果您设置了密码,请使用以下命令连接到Redis:
redis-cli -h your_server_ip -p your_redis_port -a YourPassword
请确保将 "your_server_ip" 替换为您的服务器 IP 地址,"your_redis_port" 替换为您的Redis端口号,以及 "YourPassword" 替换为您设置的密码(如果有)。
希望这可以帮助到您!如有任何疑问,请随时提问。
Ubuntu服务器启用root用户登录
如果您在Ubuntu服务器中想要启用root用户登录,可以按照以下步骤进行操作:
-
远程登录到服务器或在服务器本地打开终端。
-
输入以下命令以设置root用户的密码:
sudo passwd root系统会要求您输入当前用户的密码。
-
输入当前用户的密码并按下回车。
-
系统会提示您输入新的root密码两次。请按照要求输入密码,并确保密码足够强大和安全。
-
输入以下命令以编辑SSH配置文件:
sudo nano /etc/ssh/sshd_config -
在打开的文件中,找到并注释掉以下行(将行前的
#去掉):#PermitRootLogin prohibit-password并将其修改为如下所示:
PermitRootLogin yes -
保存文件并关闭编辑器。
-
输入以下命令以重启SSH服务:
sudo service ssh restart
完成上述步骤后,您将能够通过SSH远程登录服务器时使用root用户进行登录。
请注意,启用root用户登录存在一定的安全风险。在服务器上启用root用户登录时,请确保采取适当的安全措施,并仅使用必要的权限来进行操作。使用root用户时请谨慎操作,以保护服务器的安全性。
新增用户
在Ubuntu 18.04中,您可以使用以下步骤创建新用户并管理其权限:
-
打开终端(Terminal)。
-
输入以下命令以创建新用户(将
new_username替换为您要创建的用户名):sudo adduser new_username -
系统会提示您输入新用户的密码和其他详细信息。按照要求输入密码和其他信息。
-
完成后,新用户将被创建,并且可以使用其用户名和密码进行登录。
-
若要授予新用户管理员(sudo)权限,可以将其添加到
sudo用户组。输入以下命令:sudo usermod -aG sudo new_username -
新用户现在具有管理员权限,可以使用sudo命令执行特权操作。
-
若要删除用户的管理员权限,可以从
sudo用户组中移除该用户。输入以下命令:sudo deluser new_username sudo -
如果要删除用户及其相关文件,请使用以下命令(谨慎操作,此操作无法撤销):
sudo deluser --remove-home new_username
以上步骤将帮助您在Ubuntu 18.04中创建新用户并管理其权限。请确保在赋予用户管理员权限时谨慎操作,并仅将管理员权限授予可信任的用户。
CREATE USER 'yijiahe'@'%' IDENTIFIED BY 'yijiahe@n100TEST!!!';
GRANT ALL PRIVILEGES ON . TO 'new_user'@'%';
GRANT SELECT, INSERT, UPDATE, DELETE ON . TO 'yijiahe'@'%';
CREATE USER 'yijiahe'@'localhost' IDENTIFIED BY 'yijiahe@n100TEST!!!';
grant all privileges ON . TO 'yijiahe'@'%';
要在MySQL中创建一个新用户并授予其增删改查权限以及远程访问权限,可以按照以下步骤进行操作:
-
以root用户登录到MySQL服务器。
-
创建一个新用户并设置密码:
CREATE USER 'octest'@'%' IDENTIFIED BY 'yijiahe@##TEST123';这将创建一个名为"new_user"的用户,并设置其密码为"password"。
'%'表示允许该用户从任何主机以远程方式连接到MySQL服务器。 -
赋予新用户在所有数据库上的增删改查权限:
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO 'octest'@'%';这将为"new_user"用户在所有数据库上授予查询、插入、更新和删除的权限。
如果你只想给予特定数据库的权限,可以将
*.*替换为database_name.*,其中"database_name"是你要授权的数据库的名称。 -
授予新用户远程访问权限:
GRANT ALL PRIVILEGES ON *.* TO 'octest'@'%' WITH GRANT OPTION;这将为"new_user"用户在所有数据库上授予远程访问权限,并允许其授予其他用户权限。
-
刷新权限:
FLUSH PRIVILEGES;这将刷新MySQL的权限,使新授权的权限生效。
现在,新用户"new_user"将具有在所有数据库上进行增删改查操作的权限,并能以远程方式连接到MySQL服务器。请确保使用安全的密码,并根据实际需求修改权限的范围。
ng默认
server
{
listen 80;
listen 443 ssl http2;
server_name ywctest.yijiahe.com;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/ywctest.yijiahe.com;
#SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
#error_page 404/404.html;
ssl_certificate /www/server/panel/vhost/cert/ywctest.yijiahe.com/fullchain.pem;
ssl_certificate_key /www/server/panel/vhost/cert/ywctest.yijiahe.com/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
add_header Strict-Transport-Security "max-age=31536000";
error_page 497 https://$host$request_uri;
#SSL-END
#ERROR-PAGE-START 错误页配置,可以注释、删除或修改
#error_page 404 /404.html;
#error_page 502 /502.html;
#ERROR-PAGE-END
#PHP-INFO-START PHP引用配置,可以注释或修改
include enable-php-00.conf;
#PHP-INFO-END
#REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
include /www/server/panel/vhost/rewrite/ywctest.yijiahe.com.conf;
#REWRITE-END
#禁止访问的文件或目录
location ~ ^/(\.user.ini|\.htaccess|\.git|\.env|\.svn|\.project|LICENSE|README.md)
{
return 404;
}
#一键申请SSL证书验证目录相关设置
location ~ \.well-known{
allow all;
}
#禁止在证书验证目录放入敏感文件
if ( $uri ~ "^/\.well-known/.*\.(php|jsp|py|js|css|lua|ts|go|zip|tar\.gz|rar|7z|sql|bak)$" ) {
return 403;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
error_log /dev/null;
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
expires 12h;
error_log /dev/null;
access_log /dev/null;
}
access_log /www/wwwlogs/ywctest.yijiahe.com.log;
error_log /www/wwwlogs/ywctest.yijiahe.com.error.log;
}
user www www;
worker_processes auto;
error_log /www/wwwlogs/nginx_error.log crit;
pid /www/server/nginx/logs/nginx.pid;
worker_rlimit_nofile 51200;
http
{
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 4096;
include mime.types;
server
{
listen 80;
server_name ywctest.yijiahe.com;
rewrite ^(.*)$ https://$host$1 permanent; # http转https
}
server
{
listen 443 ssl;
server_name ywctest.yijiahe.com;
client_max_body_size 200m;
proxy_send_timeout 180s;
proxy_read_timeout 180s;
#证书文件名称
ssl_certificate ywctest.yijiahe.com_bundle.crt;
#私钥文件名称
ssl_certificate_key ywctest.yijiahe.com.key;
ssl_session_timeout 5m;
#请按照以下协议配置
ssl_protocols TLSv1 TLSv1.2 TLSv1.3;
#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/oc_access.log;
#运营平台入口工程
location / {
root /home/oc/dist;
index index.html index.htm;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_ssl_session_reuse off;
charset utf-8;
if ($request_filename ~* .*\.(?:htm|html)$)
{
add_header Cache-Control "private, no-store, no-cache, must-revalidate, proxy-revalidate";
}
}
location /oc-app
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9091;
}
location /oc-admin
{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9092;
}
location /oc-platform
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9093;
}
location /oc-upgrade
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9094;
}
location /dashboard
{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9080;
}
location /xxl-job-admin {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9000;
}
}
include /www/server/panel/vhost/nginx/*.conf;
}
user www www;
worker_processes auto;
error_log /www/wwwlogs/nginx_error.log crit;
pid /www/server/nginx/logs/nginx.pid;
worker_rlimit_nofile 51200;
events
{
use epoll;
worker_connections 51200;
multi_accept on;
}
http
{
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 4096;
include mime.types;
server
{
listen 80;
server_name ywctest.yijiahe.com;
rewrite ^(.*)$ https://$host$1 permanent; # http转https
}
geoip2 /www/Country.mmdb {
$geoip2_data_country_code country iso_code;
}
# 映射 MM
map $geoip2_data_country_code $allowed_country {
default yes;
CN yes;
}
server
{
listen 443 ssl;
server_name ywctest.yijiahe.com;
client_max_body_size 200m;
proxy_send_timeout 180s;
proxy_read_timeout 180s;
#证书文件名称
ssl_certificate ywctest.yijiahe.com_bundle.crt;
#私钥文件名称
ssl_certificate_key ywctest.yijiahe.com.key;
ssl_session_timeout 5m;
#请按照以下协议配置
ssl_protocols TLSv1 TLSv1.2 TLSv1.3;
#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/oc_access.log;
#运营平台入口工程
location / {
root /home/oc/dist;
index index.html index.htm;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_ssl_session_reuse off;
charset utf-8;
if ($request_filename ~* .*\.(?:htm|html)$)
{
add_header Cache-Control "private, no-store, no-cache, must-revalidate, proxy-revalidate";
}
}
location /oc-app
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9091;
}
location /oc-admin
{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9092;
}
location /oc-platform
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9093;
}
location /oc-upgrade
{
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9094;
}
location /dashboard
{
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9080;
}
location /xxl-job-admin {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9000;
}
}
include /www/server/panel/vhost/nginx/*.conf;
}
外国ip禁止访问
1、下载IP地址段文件
访问网址 http://www.ipdeny.com/ipblocks/data/countries/cn.zone ,另存为国内IP地址段,然后将文件上传到服务器;
也可以直接在服务器上执行如下命令直接下载文件到服务器:(一般是下载不了的 国外网站)
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
2、将IP地址段转换为Ipset指令
执行如下脚本,将IP地址段中的记录转换为Ipset指令,保存在 ipset_result.sh 可执行文件中
for i in `cat cn.zone`; do echo "ipset add china $i" >>ipset_result.sh; done
chmod +x ipset_result.sh
3、Ipset写入地址段数据
首先,创建一个名字叫 china 的Ipset的链
然后,执行前面生成的 ipset_result.sh 脚本,为 china 链添加国内地址段
ipset create china hash:net hashsize 10000 maxelem 1000000
sh ipset_result.sh
接着,添加局域网IP地址段,防止局域网IP地址被拦截
ipset add china 10.0.0.0/8
ipset add china 172.16.0.0/12
ipset add china 192.168.0.0/16
ipset add china 127.0.0.1
ipset add china 104.171.225.41
我们来检查一下china 链的数据,大概8000多条数据
ipset list china
ipset list china | wc -l
最后,为了性能考虑,Ipset数据保存在内存中。
如果服务器重启,将会导致Ipset中的IP地址段数据失效。
我们需要将数据持久化到 /etc/ipset.conf 这个文件中。
ipset save china > /etc/ipset.conf
ipset restore < /etc/ipset.conf
让服务器重启时,通过脚本在加载 /etc/ipset.conf 中的数据。
chmod +x /etc/rc.d/rc.local
echo "ipset restore < /etc/ipset.conf" >> /etc/rc.d/rc.local
在Iptables中调用Ipset的 china 链完成拦截国外IP
1、调整或建立Iptables规则
Iptables中的指令有从上到下匹配顺序的,我们需要注意拦截指令顺序
假设我们已经有Iptables指令,需要通过 iptables -I 指令插件到现有INPUT链中
注意:需要修改下面指令中的数值,即插入到INPUT链中的第几个位置
iptables -I INPUT 5 -m set ! --match-set china src -j DROP
使用:
iptables -A INPUT -m set ! --match-set china src -j DROP
删除
iptables -D INPUT -m set ! --match-set china src -j DROP
iptables -A INPUT -m set ! --match-set china src -j DROP
如果之前没有启用Iptables,可以通过如下脚本清除重建Iptables
注意:不同服务器需要开放的端口和服务不同,请修改和调整如下udp或tcp端口规则
iptables -F # 清除预设链中规则
iptables -X # 清除自定义链中规则
iptables -A INPUT -i lo -j ACCEPT # 允许来自本机的全部连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许已建立的连接不中断
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # 允许icmp协议,即允许ping服务器
iptables -A INPUT -p tcp -m set ! --match-set china src -j DROP # 匹配china链,非国内IP则直接丢弃包
iptables -A INPUT -p udp --dport 1:65535 -j ACCEPT # 允许UDP协议的20000-30000端口
iptables -A OUTPUT -j ACCEPT
iptables -I INPUT 1 -d epay.cmbc.com.cn -j ACCEPT
iptables -A INPUT -p tcp -m set ! --match-set CN src -j DROP
iptables -A INPUT -p tcp -m set ! --match-set china src -j LOG --log-prefix "CHINA"
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 6379 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -p tcp --dport 9991 -j ACCEPT
iptables -A INPUT -p tcp --dport 9876 -j ACCEPT
iptables -A INPUT -p tcp --dport 10909 -j ACCEPT
iptables -A INPUT -p tcp --dport 10911 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -I INPUT 1 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许TCP协议的80端口
iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许TCP协议的443端口
iptables -A INPUT -j DROP # 未匹配以上规则的请求直接丢弃
iptables -A OUTPUT -j ACCEPT # 允许全部出网数据包
iptables -A FORWARD -j DROP # 不允许Iptables的FORWARD转发
2、持久化Iptables规则
让服务器重启时,通过脚本在加载 /etc/sysconfig/iptables 中的数据。
iptables-save > /etc/sysconfig/iptables # 持久化Iptables规则
chmod +x /etc/rc.d/rc.local
echo "/usr/sbin/iptables-restore < /etc/sysconfig/iptables" >> /etc/rc.d/rc.local
最终配置
iptables -A INPUT -i lo -j ACCEPT # 允许来自本机的全部连接
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许已建立的连接不中断
iptables -A INPUT -m set ! --match-set china src -j DROP
iptables -A INPUT -p udp --dport 1:65535 -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables-save > /etc/sysconfig/iptables # 持久化Iptables规则
chmod +x /etc/rc.d/rc.local
echo "/usr/sbin/iptables-restore < /etc/sysconfig/iptables" >> /etc/rc.d/rc.local
centos7配置
修改centos的默认ssh端口
要修改CentOS 7上的默认SSH端口,您需要编辑SSH服务器配置文件并更改端口设置。请按照以下步骤操作:
-
以root用户身份登录到CentOS 7服务器。
-
打开SSH服务器配置文件
/etc/ssh/sshd_config,可以使用任何文本编辑器,比如vi或nano。sudo vi /etc/ssh/sshd_config -
在配置文件中查找以下行:
#Port 22这是默认的SSH端口设置(端口22)。取消注释并将其更改为您想要的新端口号。例如,将其更改为端口号2222:
Port 2222 -
保存并关闭文件。
-
重新启动SSH服务,使更改生效:
sudo systemctl restart sshd -
如果您的服务器上有防火墙(比如iptables或firewalld),您需要更新防火墙规则以允许新的SSH端口。以下是使用firewalld的示例命令:
sudo firewall-cmd --zone=public --add-port=2222/tcp --permanent sudo firewall-cmd --reload如果您使用的是iptables,请使用适当的iptables命令来打开新端口。
-
确保您的服务器上的网络安全组或路由器也允许新端口的入站连接。
现在,您已成功修改了CentOS 7上SSH的默认端口。请确保在SSH客户端上使用新端口号连接到服务器。例如,使用以下命令:
ssh username@your_server_ip -p 2222
请注意,将SSH端口更改为非默认值有助于增加服务器的安全性,但也需要相应地更新您的防火墙和其他网络配置。
mysql
wget https://dev.mysql.com/get/mysql57-community-release-el7-11.noarch.rpm
yum -y localinstall mysql57-community-release-el7-11.noarch.rpm
rpm --import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022
yum -y install mysql-community-server
systemctl start mysqld
systemctl enable mysqld
systemctl daemon-reload
- 修改root登陆密码
由于MySQL安装后会在
/var/log/mysqld.log
中给root生成临时密码,需要我们修改,有关更多关于此密码的解释,可以查看这个博主的博客
https://blog.csdn.net/muziljx/article/details/81541896
查看生成的默认密码
grep "password" /var/log/mysqld.log
1
使用默认密码登录root
mysql -u root -p
1
此时会显示Enter password: 将前面显示的密码输入(最好自己打进去,我自己复制进去显示Error),enter。
修改密码,mysql5.7默认密码策略要求密码必须是大小写字母数字特殊字母的组合,至少8位。ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'yjh@Admin123';
开启远程访问
1.
修改配置文件/etc/mysql/mysql.conf.d/mysqld.cnf
将bind-address = 127.0.0.1 这行注释掉改为 bind-address = 0.0.0.0
2.
mysql -u root -p
输入密码后,分别执行以下指令:
use mysql;
update user set host = '%' where user = 'root';
FLUSH PRIVILEGES;
- 设置远程登陆
GRANT ALL PRIVILEGES ON . TO 'root'@'%' IDENTIFIED BY 'yjh@Admin123' WITH GRANT OPTION;
1
exit
1 - 防火墙开放3306端口
firewall-cmd --zone=public --add-port=3306/tcp --permanent
1
firewall-cmd --reload
1 - 配置MySQL默认uft-8编码
vim /etc/my.cnf
1
使用vim编辑配置文件:
键入 i 进入插入(编辑)模式
在[mysqld]下面一行编辑插入:
character_set_server=utf8
init_connect='SET NAMES utf8'
1
2
按esc 退出
键入 :wq! 强制保存退出
- 重启MySQL
systemctl restart mysqld
jdk
进入安装目录
cd /usr/local/
新建Java安装目录,并进入此目录
mkdir java
cd java/
下载JDK
wget https://download.oracle.com/java/17/latest/jdk-17_linux-x64_bin.tar.gz
将安装包解压缩到java目录
tar -zxvf /root/jdk-17_linux-x64_bin.tar.gz
进入目录
cd jdk-17.0.4.1/
vim /etc/profile
JAVA_HOME=/usr/local/jdk-17.0.7
PATH=$PATH:$JAVA_HOME/bin
export JAVA_HOME PATH
source /etc/profile