Ubuntu Server 22.04.4安装后必做的10件事:从基础配置到Docker环境一键部署
Ubuntu Server 22.04.4安装后必做的10件事:从基础配置到Docker环境一键部署
当你第一次登录到全新的Ubuntu Server系统时,面对这个干净但略显陌生的环境,可能会感到有些无从下手。作为一款广受欢迎的企业级Linux发行版,Ubuntu Server在安装完成后确实需要一些必要的配置才能发挥其最大效能。本文将带你完成从基础系统优化到Docker环境部署的全流程,让你的服务器迅速进入生产就绪状态。
1. 系统更新与基础工具安装
刚安装好的系统首要任务是确保所有软件包都是最新的。这不仅能够获取最新的功能改进,更重要的是修补已知的安全漏洞。
sudo apt update && sudo apt upgrade -y这个命令会先更新本地软件包索引,然后升级所有可更新的软件包。-y参数会自动确认所有升级操作,适合在脚本中使用。如果你希望手动确认每个升级,可以去掉这个参数。
接下来安装一些开发者和系统管理员常用的工具:
sudo apt install -y vim curl wget net-tools htop tree unzip- vim- 比默认的nano更强大的文本编辑器
- curl/wget- 用于从网络下载文件
- net-tools- 包含ifconfig等传统网络工具
- htop- 增强型的系统监控工具
- tree- 以树状结构显示目录内容
- unzip- 解压zip压缩包
提示:如果你更喜欢其他文本编辑器,如nano或emacs,可以相应替换vim。但熟悉vim对于Linux系统管理非常有帮助。
2. SSH安全加固
SSH是管理远程服务器的首要工具,也是攻击者经常尝试入侵的入口。以下配置可以显著提高SSH服务的安全性。
首先备份原始配置文件:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak然后编辑SSH配置文件:
sudo vim /etc/ssh/sshd_config找到并修改以下参数:
Port 2222 # 改为非标准端口 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes这些修改的含义:
- 更改默认端口:减少自动化扫描攻击
- 禁止root登录:强制使用普通用户登录后再切换
- 禁用密码认证:仅允许更安全的密钥认证
- 启用公钥认证:使用SSH密钥对进行身份验证
应用更改前,请确保你已经:
- 在本地生成SSH密钥对(
ssh-keygen) - 将公钥上传到服务器(
ssh-copy-id -p 22 user@server) - 测试密钥登录是否正常工作
确认无误后重启SSH服务:
sudo systemctl restart sshd重要:在关闭当前SSH会话前,务必新开一个终端测试新配置是否生效,避免被锁在服务器外。
3. 网络配置优化
生产环境服务器通常需要静态IP地址以确保服务的稳定性。Ubuntu Server 22.04使用netplan进行网络配置。
查看当前网络接口:
ip a编辑netplan配置文件(文件名可能略有不同):
sudo vim /etc/netplan/00-installer-config.yaml示例配置(根据你的网络环境调整):
network: version: 2 renderer: networkd ethernets: ens33: dhcp4: no addresses: [192.168.1.100/24] routes: - to: default via: 192.168.1.1 nameservers: addresses: [8.8.8.8, 1.1.1.1]应用配置:
sudo netplan apply验证配置:
ip a ping -c 4 google.com4. 时区与时间同步
准确的系统时间对于日志分析、证书验证等操作至关重要。配置NTP服务确保时间同步:
设置时区:
sudo timedatectl set-timezone Asia/Shanghai安装并配置chrony(比默认ntp更精确):
sudo apt install -y chrony sudo systemctl enable --now chrony验证时间同步状态:
chronyc tracking timedatectl5. 防火墙配置
Ubuntu自带的UFW(Uncomplicated Firewall)提供了简单易用的防火墙管理接口。
基本配置步骤:
sudo ufw allow 2222/tcp # 允许自定义SSH端口 sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw enable查看规则:
sudo ufw status numbered如果需要删除某条规则:
sudo ufw delete 2 # 删除编号为2的规则6. 用户管理与sudo权限
遵循最小权限原则,为不同任务创建专用用户:
创建新用户:
sudo adduser deploy授予sudo权限:
sudo usermod -aG sudo deploy或者更精细地控制sudo权限:
sudo visudo在文件末尾添加:
deploy ALL=(ALL) NOPASSWD: /usr/bin/apt, /usr/bin/systemctl这样deploy用户可以在不输入密码的情况下执行apt和systemctl命令。
7. 日志与监控配置
安装和配置基本监控工具:
sudo apt install -y fail2ban logrotate配置fail2ban保护SSH:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo vim /etc/fail2ban/jail.local修改相关参数:
[sshd] enabled = true port = 2222 maxretry = 3 bantime = 1h重启服务:
sudo systemctl restart fail2ban安装并配置基础监控:
sudo apt install -y prometheus-node-exporter sudo systemctl enable --now prometheus-node-exporter8. Docker环境部署
Docker已经成为现代应用部署的事实标准。在Ubuntu上安装Docker的推荐方法:
卸载旧版本(如有):
sudo apt remove docker docker-engine docker.io containerd runc设置Docker仓库:
sudo apt install -y ca-certificates curl gnupg sudo install -m 0755 -d /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg sudo chmod a+r /etc/apt/keyrings/docker.gpg echo \ "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \ "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \ sudo tee /etc/apt/sources.list.d/docker.list > /dev/null安装Docker引擎:
sudo apt update sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin验证安装:
sudo docker run hello-world将用户加入docker组(避免每次使用sudo):
sudo usermod -aG docker $USER newgrp docker9. Docker Compose安装
虽然Docker现在包含compose插件,但独立版本有时更方便:
下载最新版本(替换为当前最新版本号):
DOCKER_CONFIG=${DOCKER_CONFIG:-$HOME/.docker} mkdir -p $DOCKER_CONFIG/cli-plugins curl -SL https://github.com/docker/compose/releases/download/v2.23.0/docker-compose-linux-x86_64 -o $DOCKER_CONFIG/cli-plugins/docker-compose chmod +x $DOCKER_CONFIG/cli-plugins/docker-compose验证安装:
docker compose version10. 系统性能调优
最后是一些可选的性能优化配置:
调整swappiness(减少交换空间使用):
echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf sudo sysctl -p调整文件描述符限制:
echo '* soft nofile 65535' | sudo tee -a /etc/security/limits.conf echo '* hard nofile 65535' | sudo tee -a /etc/security/limits.conf对于生产服务器,可能还需要考虑:
- 配置日志轮转
- 设置自动安全更新
- 配置备份策略
- 安装监控系统(如Prometheus+Grafana)
- 设置警报通知
完成以上所有配置后,你的Ubuntu Server 22.04系统已经具备了安全、稳定运行生产工作负载的基础环境。根据具体应用需求,你可能还需要安装特定的数据库、Web服务器或其他中间件。