liunx服务器安装宝塔和设置

视频地址：
https://www.bilibili.com/video/BV1fiHzz2E2s/

centos 停更 ✖
debian 稳定，安全，但更新缓慢。✔ 本次教程使用这个系统
ubuntu 基于debian源码。优点每年都有更新，更新两次，4月、10月。图形化界面友好。✔

为啥要用 liunx系统，因为占用内存和处理器比较小。

一般VPS安装系统后，都会有root账号和密码，还有SSH端口
SSH就相当于Windows远程桌面连接，但liunx的SHH连接后是黑屏命令行的，像DOS一样。（不过安装上宝塔，管理网站就简单多了）
这里使用虚拟机演示，虚拟机的liunx已经安装好了。安装完就是这样的！

连接SSH
使用DOS或者Windows PowerShell连接SSH管理远程liunx服务器，192.168.35.130是虚拟机上的liunx的IP地址。
ssh 用户名@服务器IP地址 -p 端口号
ssh nihao@192.168.35.130 -p 22
输入密码时不会显示的，输完按回车就可以了。
现在就连接上了，开始安装宝塔。

VPS一般是root用户名，所以用以下命令，VPS使用root登录，可直接可以安装宝塔
ssh root@服务器IP -p 端口



安装宝塔
https://www.bt.cn/

安装命令就是这个，直接输入上去回车即可。
wget -O install_panel.sh https://download.bt.cn/install/install_panel.sh && bash install_panel.sh ed8484bec

虚拟机需要切换到root用户才能安装宝塔。
这个输入y回车。
需要漫长的等待，安装过程时间比较长。
安装好了，把账号密码和登录地址复制下来保存。
内网面板地址: https://192.168.35.130:27360/a77bcd0f
username: ngpxpept
password: 8739ab49
因为是虚拟机，所以只能用内网演示。


这里需要绑定宝塔账号，如果没有的话，需要用手机号注册一下。
好了，宝塔账号绑定好了，现在可以开始安装网站服务器用到的软件

安装软件
Nginx 1.28.0
MySQL 5.7.44
phpMyAdmin 4.9
PHP 5.6.40
Fail2ban 2.1

基本就这几个软件，一般也用不到FTP，直接把网站打包，通过宝塔就可以上传解压。
OK了。
现在先设置一下安全。


这里如果你没有配置告警方式，可以在这里设置。这里配置一个微信就可以了。微信就可以收到告警提示了。

宝塔安全设置
----------------------------------------------------------------------------------
风险描述
在【面板设置】-【通知设置】-【面板登录告警】中开启
解决方案
1、在【面板设置】-【通知设置】-【面板登录告警】中开启
温馨提示
此方案可以加强面板防护，及时发现非法入侵面板行为。

-----------------------------------------------------------------------------------
风险描述
当前MySQL端口: 3306，可被任意服务器访问，这可能导致MySQL被暴力破解，存在安全隐患
解决方案
1、若非必要，在【安全】页面将MySQL端口的放行删除

2、通过【系统防火墙】插件修改MySQL端口的放行为限定IP，以增强安全性

3、使用【Fail2ban防爆破】插件对MySQL服务进行保护

温馨提示
此方案加强的对MySQL数据库的防护，降低服务器被窃取数据的风险。修复之前要根据业务需求开放可访问IP，确保网站运行正常。

----------------------------------------------------------------------------------
风险描述
存在suid特权的文件：/usr/bin/gpasswd、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/bin/mount、/bin/umount
存在sgid特权的文件：/usr/bin/chage
解决方案
chmod u-s /usr/bin/gpasswd
chmod u-s /usr/bin/chfn
chmod u-s /usr/bin/chsh
chmod u-s /usr/bin/newgrp
chmod u-s /bin/mount
chmod u-s /bin/umount
chmod g-s /usr/bin/chage
温馨提示
此方案去除了重要文件的特殊权限，可以防止入侵者利用这些文件进行权限提升。

直接复制到SSH回车就可以了。


---------------------------------------------------------------------------------
风险描述
未关闭错误信息提示的PHP版本有：5.6
解决方案
1、根据风险描述，在【软件商店】-【运行环境】找到对应版本的PHP插件，在【配置修改】页面，将display_errors设置为关闭并保存

温馨提示
PHP错误提示可能会泄露网站程序的敏感信息；此方案通过关闭【display_errors】选项，防止网站信息泄露。

----------------------------------------------------------------------------------

风险描述
未配置命令行超时退出
解决方案
1、在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒

2、执行命令source /etc/profile使配置生效

温馨提示
此方案会使服务器命令行超过一定时间未操作自动关闭，可以加强服务器安全性。

在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒
tmout=300
export TMOUT
执行命令source /etc/profile使配置生效


----------------------------------------------------------------------------------

风险描述
当前未开启【禁Ping】功能，存在服务器被ICMP攻击或被扫的风险
解决方案
1、在【安全】页面中开启【禁Ping】功能

2、注意：开启后无法通过ping通服务器IP或域名，请根据实际需求设置

温馨提示
此方案可以降低服务器真实IP被发现的风险，增强服务器的安全性。
----------------------------------------------------------------------------------

风险描述
未禁用wheel组外的用户su切换为root用户
解决方案
1、在文件【/etc/pam.d/su】中添加auth required pam_wheel.so

2、如需配置用户可以切换为root，则将用户加入wheel组，使用命令添加wheel组【addgroup wheel】，再执行命令【gpasswd -a [用户] wheel】

温馨提示
此方案通过禁止低权限用户切换到root用户，增强对服务器权限的保护。修复前需要确保业务没有切换root的需求，否则忽略此风险项。
----------------------------------------------------------------------------------

风险描述
未开启TCP-SYNcookie保护
解决方案
1、在【/etc/sysctl.conf】文件中添加net.ipv4.tcp_syncookies=1

2、然后执行命令sysctl -p生效配置

温馨提示
此方案可以缓解网络洪水攻击，增强服务器运行的稳定性。


关于SSH的选项可以不设置，直接把SSH关闭就可以了，管理网站直接用宝塔，如果服务器出现问题，VPS里面还有类似SSH的管理，也可以对服务器进行管理。所有不需要用SSH了。





安全-系统防火墙
端口开放：只保留80、443、宝塔系统端口就可以了
端口放扫描-打开

安全-SSH管理
SSH开关-关闭


设置-常用设置
.绑定域名 建议绑定域名，这样安全性更高一点。需要做解析
.面板端口 更改端口，需要提前在【安全】中开放更改的端口。

设置-安全设置
.面板安全告警
.动态口令认证 开启后，需要手机下载宝塔，扫码绑定，建议开启，这里就不演示了。

设置-告警设置
.面板安全告警
.面板登录告警
.SSH登录告警
.面板更新提醒





计划任务
.释放内存

.续签Let's Encrypt证书 一般创建Let's Encrypt证书后会自动建立这个任务。
/www/server/panel/pyenv/bin/python3 -u /www/server/panel/class/acme_v2.py --renew_v2=1
这里没有建立网站，所以这个任务没有自动添加。

.木马查杀[全部]

定时重启
sudo reboot


这样基本就可以了，现在就可以新建网站，上传你的网站啦。

这里用这个SSL证书，直接点击申请证书就可以了，这里就不演示了，可以自动续签。
这里上传网站程序压缩包，然后解压就可以。
这里是数据库，已经创建好了。
安装程序，直接数据库名、用户名、密码复制就可以了。

转载：感谢您对云祈个人博客网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“云祈个人博客”。

很赞哦！