Ubuntu新服务器安装流程整理

Ubuntu新服务器安装流程整理小白参考文，从拿到服务器安全设置到安装面板一个比较简单的流程，反面会持续更新。
1、修改计算机名

1. # 将文件中的旧主机名替换为新主机名(这里可以跳过)
2. sudo vi /etc/hostname
3. # 保持和hostname名称一致
4. sudo vi /etc/hosts
5. # 重启服务器应用更改
6. sudo reboot

复制代码

2、修改DNS

1. sudo vi /etc/resolv.conf
2. # 选择以下其中一个DNS即可，主要针对的是海外服务器。
3. # Cloudflare DNS
4. nameserver 1.1.1.1
5. nameserver 1.0.0.1
6. # Google DNS
7. nameserver 8.8.8.8
8. nameserver 8.8.4.4

复制代码

3、更新软件包列表

1. sudo apt-get update

复制代码

4、升级所有软件包

1. sudo apt-get upgrade -y

复制代码

5、分发版升级（可选）

1. sudo apt-get dist-upgrade -y

复制代码

6、清理不再需要的软件包和

1. sudo apt-get autoremove -y

复制代码

7、清理缓存

1. sudo apt-get clean

复制代码

8、更换内核

1. # 检查当前内核版本
2. uname -r
3. # 重新安装内核，在Ubuntu的LTS版本（如Ubuntu 20.04 LTS或Ubuntu 22.04 LTS）中使用。
4. sudo apt-get install linux-image-5.15.0-72-generic -y
5. # 更新GRUB配置
6. sudo update-grub
7. # 重启服务器
8. sudo reboot
9. # 再次验证内核版本
10. uname -r

复制代码

9、设置SSH空闲超时时间

1. # 编辑SSH配置文件
2. sudo vi /etc/ssh/sshd_config
3. # 设置空闲超时时间，按照以下进行修改
4. ClientAliveInterval 600
5. ClientAliveCountMax 0
6. # 设置登录超时时间
7. LoginGraceTime 60
8. # 确保SSH远程管理使用加密协议（SSH协议版本2）
9. #查找 Protocol 相关的配置行。如果没有找到，添加以下行。
10. # 大概在# Authentication:下方即可
11. Protocol 2
12. # 重启SSH服务
13. sudo systemctl restart sshd
14. # 验证配置ClientAlive相关设置。
15. sudo sshd -T | grep clientalive
16. # 确认SSH服务正在使用协议版本2
17. ssh -Q protocol-version

复制代码

10、设置SSH暗码最小间隔天数

1. # 编辑/etc/login.defs文件
2. sudo vi /etc/login.defs
3. # 设置 PASS_MIN_DAYS，在文件中找到或添加以下一行
4. # 如果已经存在，修改其值；如果不存在，添加这一行
5. PASS_MIN_DAYS 7
6. # 设置root用户的密码最小间隔天数
7. # 使用chage命令来设置root用户的密码最小间隔天数
8. sudo chage --mindays 7 root

复制代码

11、配置GRUB引导加载程序文件权限

1. # 检查/boot/grub/grub.cfg文件的当前权限
2. ls -l /boot/grub/grub.cfg
3. # 将`grub.cfg`文件的权限设置为`600`
4. sudo chmod 600 /boot/grub/grub.cfg
5. # 确保`grub.cfg`文件的所有者是`root`
6. sudo chown root:root /boot/grub/grub.cfg
7. # 验证配置
8. ls -l /boot/grub/grub.cfg
9. # 输出结果应类似于
10. # -rw------- 1 root root 12345 Jul  5 14:52 /boot/grub/grub.cfg

复制代码

12、处置惩罚具有SUID和SGID权限的文件以防止潜在的权限提升风险

1. ls -l /usr/bin/chage /usr/bin/gpasswd /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /bin/mount /bin/umount
2. # 移除`SUID`和`SGID`权限
3. # 使用`chmod`命令来移除这些文件的SUID和SGID位：
4. sudo chmod u-s /usr/bin/chage
5. sudo chmod u-s /usr/bin/gpasswd
6. sudo chmod u-s /usr/bin/chfn
7. sudo chmod u-s /usr/bin/chsh
8. sudo chmod u-s /usr/bin/newgrp
9. sudo chmod u-s /bin/mount
10. sudo chmod u-s /bin/umount
11. # 如果这些文件也具有SGID位，可以使用以下命令移除：
12. sudo chmod g-s /usr/bin/chage
13. sudo chmod g-s /usr/bin/gpasswd
14. sudo chmod g-s /usr/bin/chfn
15. sudo chmod g-s /usr/bin/chsh
16. sudo chmod g-s /usr/bin/newgrp
17. sudo chmod g-s /bin/mount
18. sudo chmod g-s /bin/umount
19. # 再次检查这些文件的权限，以确保SUID和SGID位已被移除：
20. ls -l /usr/bin/chage /usr/bin/gpasswd /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /bin/mount /bin/umount

复制代码

13、限制核心转储（core dumps）、禁Ping、开启TCP-SYNcookie保护

1. # 检查当前的核心转储设置，如果输出结果为1或2则表示核心转储未被限制。
2. sysctl fs.suid_dumpable
3. # 使用sysctl命令临时设置核心转储限制。
4. sudo sysctl -w fs.suid_dumpable=0
5. # 编辑 /etc/sysctl.conf
6. sudo vi /etc/sysctl.conf
7. # 在末尾添加以下行三行，分别是禁用 SUID 程序生成 core dump、禁止Ping、开启TCP-SYNcookie保护
8. fs.suid_dumpable = 0
9. net.ipv4.icmp_echo_ignore_all = 1
10. net.ipv4.tcp_syncookies=1
11. # 运行以下命令以立即应`用/etc/sysctl.conf`文件中的设置。
12. sudo sysctl -p

复制代码

14、会话会话超时设置

1. # 编辑/etc/profile文件,设置命令行超时。
2. sudo vi /etc/profile
3. # 在文件末尾添加以下行，以设置超时时间为300秒（5分钟）
4. TMOUT=300
5. export TMOUT
6. # 执行以下命令，立即使配置生效。
7. source /etc/profile

复制代码

15、rm下令配置别名

让ls下令列出更具体的文件信息以及低落rm下令误删文件的风险
编辑 ~/.bashrc 文件

1. vi ~/.bashrc
2. # 在文件末尾添加或修改以下行
3. alias ls='ls -alh'
4. alias rm='rm -i'
5. # 保存并退出编辑器
6. source ~/.bashrc

复制代码

16、禁用wheel组外的用户

编辑/etc/pam.d/su文件

1. sudo vi /etc/pam.d/su
2. # 删除以下的注释
3. auth required pam_wheel.so
4. # 创建 wheel 组（如果未存在）
5. sudo addgroup wheel
6. # 将需要切换为 root 的用户添加到 wheel 组：
7. sudo gpasswd -a [用户] wheel

复制代码

将[用户]更换为实际的用户名。
17、安装和配置安全工具

1. sudo apt install chkrootkit rkhunter -y
2. sudo chkrootkit
3. sudo rkhunter --check
4. # 中断后重新运行检查，非中断或重新检查这步直接跳过。
5. sudo rkhunter --checkall

复制代码

碰到 Press <ENTER> to continue 按下回车即可，可能需要按多次。
18、挂载磁盘

挂载磁盘时安装aaPanel或宝塔使用官方提供的挂载脚本，不是可使用下面的脚本。
具体挂载到什么位置根据使用情况输入，建议在确定好位置后在挂载磁盘以及安装面板。
宝塔面板和aaPanel挂载到/www、小皮面板挂载到/xp。

1. wget https://gitee.com/seots/disk/raw/master/disk.sh -O disk.sh && chmod +x disk.sh && ./disk.sh

复制代码

19、选择安装（直接跳过）

Fail2Ban、ufw、Supervisor
120、面板安装

以下面板安装下令仅支持Ubuntu/Deepin

1. # 宝塔
2. wget -O install.sh https://download.bt.cn/install/install-ubuntu_6.0.sh && sudo bash install.sh ed8484bec
3. # 1Panel
4. curl -sSL https://resource.fit2cloud.com/1panel/package/quick_start.sh -o quick_start.sh && sudo bash quick_start.sh
5. # Amh
6. wget https://dl.amh.sh/amh.sh && bash amh.sh
7. # 小皮
8. sudo wget -O install.sh https://dl.xp.cn/dl/xp/install.sh && sudo bash install.sh
9. # 护卫神
10. wget -O install.sh http://d.hws.com/linux/master/install.sh && sudo bash install.sh
11. # aaPanel
12. URL=https://www.aapanel.com/script/install_6.0_en.sh && if [ -f /usr/bin/curl ];then curl -ksSO "$URL" ;else wget --no-check-certificate -O install_6.0_en.sh "$URL";fi;bash install_6.0_en.sh aapanel

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。