新建VPS并进行一些设置

今年过了一个难忘的年。。。

珠海跨年之旅受疫情影响,提前结束。

回来之后天天在家,天天陪孩子玩。晚上闲下来发现去年整的profit VPS用起来太慢了,看不存在网站视频也就380p,离1080p差远了。。。

想起来之前的评论系统也没整,还有个cn域名也没用,就想着整个vps自建一个静态blog。。。

购买VPS并进行基本设置

其实profit也是够用了,不过眼瞅着快到期了,就想着换一个试试。对比了多家之后选择了Vultr的小VPS,首充送了50美刀,但是只有一个月的有效期,所以干脆买了一堆不同地方的VPS,测试完再删吧。

VPS的具体购买方式网上有很多教程了,各大主机厂商也提供了很多教程,就不赘述了。

Vultr官方提供了很多镜像选择,开始的适合还是和之前一样选择了FreeBSD,后来发现他们家有CenOS 8的官方镜像,就体验了下新版,由于笔记记得都是CentOS下的操作,所以以下介绍都按照CentOS 8来。

1. 修改密码并更新系统

VPS建好之后,用控制面板带的Console登录root账户,进行初步设置。

# Change root passwd
passwd

# Update
yum update

2. 初步设置SSH并添加常用普通用户

更新完系统后就要进行ssh设置以便客户端登录操作了,具体步骤如下:

vim /etc/ssh/sshd_config

首先修改了一部分配置。

# /etc/ssh/sshd_config
Port SSH_PORT_NUMBER  # 修改默认ssh端口
PermitRootLogin no # 禁止root用户登录

注意 修改端口号后需要修改对应的防火墙设置。

# SELinux 设置
semanage port -a -t ssh_port_t -p tcp SSH_PORT_NUMBER #SSH_PORT_NUMBER是上一步设置的ssh端口号
# firewall 设置
firewall-cmd --zone=public --add-port=SSH_PORT_NUMBER/tcp --permanent
# 使能firewall设置
firewall-cmd --reload
# 重启ssh服务
systemctl restart sshd  #restart ssh server

然后添加一个普通用户并设置密码。CentOS的adduser居然和useradd是一样的,囧,还是“小恶魔”的adduser好用 - -

# 添加用户king并添加到wheel组中
useradd king -G wheel -U
passwd king

由于禁止了root通过ssh登录,所以可以安装sudo以便刚才添加的用户进行日常维护。(此步骤不是必须的)

yum install sudo
visudo

参照文件注释编辑sudo的配置文件

# 允许wheel用户组以root身份运行所有命令
%wheel ALL=(ALL)

3. 上传SSH公钥并完善SSH设置

上述设置完成后,即可从客户端上传公钥文件,并用ssh方式登录服务器。

# 上传公钥文件
ssh-copy-id -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER
# ssh登录至服务器
ssh  -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER

上述测试成功后,即可禁用密码登录,并关闭浏览器管理面板登录的Console。

# /etc/ssh/sshd_config
# 禁用密码登录
PasswordAuthentication no

想用密钥+密码登录方式也可自行修改,然后重启ssh服务即可。

systemctl restart sshd

到这里服务器初步设置就基本完成了,之后的所有步骤都从客户端完成。

其他设置

再次提醒 以下的所有操作均在客户端完成,ssh登录方式如下:

ssh  -i .ssh/xxx.pub king@SERVER_IP_ADDRESS -p SSH_PORT_NUMBER

1. 安装fail2ban

安装fail2ban并设置把一切尝试ssh登录错的都给禁半天。

sudo yum install -y epel-release
# 安装fail2ban
sudo yum install fail2ban
# 修改fail2ban设置
sudo vim /etc/fail2ban/jail.local
# /etc/fail2ban/jail.local
[DEFAULT]
# Ban hosts for 12 hour:
bantime = 43200
findtime = 600
maxretry = 2

# Override /etc/fail2ban/jail.d/00-firewalld.conf:
banaction = iptables-multiport

[sshd]
enabled = true

启动fail2ban服务并添加默认启动。

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

2. 安装代理软件并设置

该部分笔记都有记录,不便于发表在blog中,概述如下:

  • 在/etc/yum.repos.d中添加源,需要注意系统版本对应的源不同
  • 更新并安装主程序和混淆插件
  • 修改默认配置文件
  • 测试安装与设置(由于使用多端口设置,不能使用ss-server,应该使用ss-manager)
  • 创建自启动服务(需要修改***.service文件中的User等字段,和ExecStart等)
  • 添加防火墙规则
# Update firewall rule
firewall-cmd --zone=public --add-port=xxx1-xxx3/tcp --permanent
firewall-cmd --zone=public --add-port=xxx1-xxx3/udp --permanent
firewall-cmd --reload
sudo systemctl start YOURSERVICE
sudo systemctl enable YOURSERVICE

3. 添加BBR支持

具体是啥可自行Google,不过Vultr的CenOS 8默认已经开啦。就从之前的笔记粘贴过来啦。

开启BBR详细步骤如下,如果内核版本低于4.9需要更新内核,不想编译的添加源就行,老Gentoo用户表示不想多说什么了,哈哈

uname -r
# 版本号低于4.9需要更新内核并重启
sudo rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
sudo rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
sudo yum --enablerepo=elrepo-kernel install kernel-ml -y
# 默认启动项(grub2)
sudo egrep ^menuentry /etc/grub2.cfg | cut -f 2 -d \'  # 确保第一行就是新版内核并且版本号高于4.9
sudo reboot

版本号高于4.9的可直接开启,具体步骤如下:

# sudo echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo 'net.core.default_qdisc=fq' | sudo tee -a /etc/sysctl.conf
# sudo echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
echo 'net.ipv4.tcp_congestion_control=bbr' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

测试一下吧

sudo sysctl net.ipv4.tcp_available_congestion_control
# output should be:
net.ipv4.tcp_available_congestion_control = reno cubic bbr

sudo sysctl -n net.ipv4.tcp_congestion_control
# output should be:
bbr

lsmod | grep bbr
#output should be
tcp_bbr xxxx xx

后记

此次VPS设置设置说了个七七八八,就当是个记录吧。还有在VPS部署Git服务器等部分笔记,整理整理回头再发吧。。。

Robin King

Robin King
在电气学院学习光学的精密机械专业的毕业生是一名软件爱好者,现在在从事电路设计工作

好久不见-2025新年快乐

## 好久不见看了看记录,确实是好久没有更新了。。。看 VPS 的日志,居然有580多天没有管过这个 VPS 了。趁着有时间,把 VPS 重装了一遍。## 近年来这些年又发生了很多。。。人到中年,家里用洋垃圾折腾了个 NAS ,看了看机箱购买记录,居然已经过去一年多了,淘宝...… Continue reading