0.说在前面
- 服务器系统版本:centos 7.0
- window系统可以使用xshell工具登录root用户,mac系统通过命令ssh root@服务器ip登录root用户
登录服务器后先用 'yum -y update' 来升级一下
1. 设置非root用户
- 新增用户
useradd 用户名
passwd 用户名
如:
useradd xn
passwd xn
新建一个用户,然后输入密码即可。
- 设置root为非ssh登录
新增用户之后就设置root为非ssh登录的,修改/etc/ssh/sshd_config,然后重新启动服务systemctl restart sshd.service
PermitRootLogin:yes --> PermitRootLogin:no
这样就可以禁止root用户登录了,以增强系统的安全性。
- 允许新用户可以ssh登录
vim /etc/ssh/sshd_config
在sshd_config文件的末尾下面这样一行:
AllowUsers 用户名1 用户名2
做到这一步,就可以新开一个一个窗口尝试登入root和刚才创建的普通账号,可以发现不能通过root登录了,而刚新建的普通用户可以登录,则说明操作成功(先不要关掉原来的窗口)。
你不允许root用户通过SSH登陆,因为这是一个巨大的不必要的安全风险,如果一个攻击者获得root权限登陆到你的系统,相对他获得一个普通用户权限能造成更大的破坏。创建一个没有实际权限的虚拟用户是一个明智的选择,用这个用户登陆SSH,即使这个用户遭到破解也不会引起什么破坏,当创建这个用户时,确保它属于wheel组,因为那样你才能切换到特权用户。
- 将用户添加到wheel组
在Linux下,wheel组就类似于一个管理员的组,只有被加入了wheel组的用户,才能够通过su命令来登录为root,这样就进一步增强了系统的安全性。
usermod -G wheel 用户名
然后,在上面普通用户登录的新开窗口基础上,并执行su - root登录为root用户。这时,输入了正确的root密码可以正常的登录为root用户。但是,如果换成一个不属于wheel组的用户时,执行了su命令后,即使输入了正确的root密码,也无法登录为root用户,普通用户登录为root用户的权限被完全剥夺了~(会收到“密码错误”的提示)
如果想再root上切回普通用户,只要执行
su - 用户名即可
- 附上一些命令
useradd //添加用户
passwd //为用户设置密码
userdel //删除用户
usermod //修改用户信息
groupadd //添加用户组
groupdel //删除用户组
groupmod //修改用户组信息
groups //显示当前进程用户所属的用户组
2. 配置git
- 思路
如果我们能够创建一个共享的仓库,就可以在电脑本地或者服务器用户上提交和拉取代码。这样,我们在电脑本地写的代码就可以push到git服务器,到上线的时候,服务器用户也可以pull下来。搭建一个git服务器,其实就是新增一个git用户。
useradd git
passwd git
//以下为升级git的,centos的yum能安装的git最多去到1.7
//因此需要安装2.X 的git的话,先卸载,再下载源码编译安装,如果是新安装的就跳过这一步
yum remove git
//在https://www.kernel.org/pub/software/scm/git上选择你要的版本
一般下载的压缩包,都会惯性放在一个专门的目录
cd /usr/local/src
wget https://www.kernel.org/pub/software/scm/git/git-2.10.0.tar.gz
//安装必要工具包
yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel
yum install gcc perl-ExtUtils-MakeMaker
//解压
tar xzf git-2.10.0.tar.gz
tar [-cxtzjvfpPN] 文件与目录
参数:
-c :建立一个压缩文件的参数指令(create 的意思);
-x :解开一个压缩文件的参数指令!
-t :查看 tarfile 里面的文件!
特别注意,在参数的下达中, c/x/t 仅能存在一个!不可同时存在!
因为不可能同时压缩与解压缩。
-z :是否同时具有 gzip 的属性?亦即是否需要用 gzip 压缩?
-j :是否同时具有 bzip2 的属性?亦即是否需要用 bzip2 压缩?
-v :压缩的过程中显示文件!这个常用,但不建议用在背景执行过程!
-f :使用档名,请留意,在 f 之后要立即接档名喔!不要再加参数!
例如使用『 tar -zcvfP tfile sfile』就是错误的写法,要写成
『 tar -zcvPf tfile sfile』才对喔!
-p :使用原文件的原来属性(属性不会依据使用者而变)
-P :可以使用绝对路径来压缩!
-N :比后面接的日期(yyyy/mm/dd)还要新的才会被打包进新建的文件中!
--exclude FILE:在压缩的过程中,不要将 FILE 打包!
cd git-2.10.0
编译:
make prefix=/usr/local/git all
安装:
make prefix=/usr/local/git install
配置环境变量:echo可以使用重定向符来将字符输出到一个文件
echo "export PATH=$PATH:/usr/local/git/bin" >> /etc/bashrc
立即启用配置后的环境变量:
source /etc/bashrc
- 搭建
2.1 配置
設置git可以ssh登录,git需要设置,否则不能够git clone:
vim /etc/ssh/sshd_config
在sshd_config文件的末尾我添加下面这样一行:
AllowUsers git
// 在/srv下创建git文件夹,再在git里面创建空仓库
cd /srv
mkdir git
cd git
git init --bare project.git // project为项目名字,自定义的
//成功就会显示:Initialized empty Git repository in /srv/git/project.git/
// 把所有权给git 用户,Git就会创建一个裸仓库,裸仓库没有工作区,因为服务器上的Git仓库纯粹是为了共享,所以不让用户直接登录到服务器上去改工作区,并且服务器上的Git仓库通常都以.git结尾。然后,把owner改为git:
cd ../
chown -R git:git git
//在自己电脑上:
git clone git@服务器IP:/srv/git/project.git
/*以上的文字很不幸的出现了很多git ,看清楚git其实分别对应了git账号拥有者,git群组,git文件夹名字三个东西就好了*/
此步完成就可以使用git来共享代码了,无论在什么地方,都可以把代码拉下来修改再提交回git服务器,只要记住git用户的密码就可。
1.命令格式:
chown [选项]... [所有者][:[组]] 文件...
2.命令功能:
通过chown改变文件的拥有者和群组。在更改文件的所有者或所属群组时,可以使用用户名称和用户识别码设置。普通用户不能将自己的文件改变成其他的拥有者。其操作权限一般为管理员。
3.命令参数:
必要参数:
-c 显示更改的部分的信息
-f 忽略错误信息
-h 修复符号链接
-R 处理指定目录以及其子目录下的所有文件
-v 显示详细的处理信息
-deference 作用于符号链接的指向,而不是链接文件本身
2.2 安全
出于安全考虑,我们应该禁用git用户的shell登陆。
vim /etc/passwd
//找到这一行
git:x:1001:1001::/home/git:/bin/bash
//改成
git:x:1001:1001::/home/git:/usr/bin/git-shell
这样,git用户可以正常通过ssh使用git,但无法登录shell,因为我们为git用户指定的git-shell每次一登录就自动退出。
- 作业
有兴趣的童鞋不妨试一试在服务器配置一下免密码提交或者拉取代码到git服务器,这样就不用每次提交代码都要输入一次密码了。
3.安装node
- node安装
//该方法是源码编译安装,比较慢
//确保gcc和g++安装
yum -y install gcc
yum -y install gcc-c++
//下载node 这里可以去官网看看你要的版本号
cd /usr/local/src
wget https://nodejs.org/dist/v5.6.0/node-v5.6.0.tar.gz
//解压
tar -zvxf node-v5.6.0.tar.gz
// 开启配置,编译
cd node-v5.6.0
./configure
make && make install
//要能业务化的话 pm2 && express 都不可少
npm i -g n //升级node用的
npm i -g express //express框架
npm i -g pm2 //node进程管理器
pm2 是一个带有负载均衡功能的Node应用的进程管理器.
当你要把你的独立代码利用全部的服务器上的所有CPU,并保证进程永远都活着,0秒的重载, PM2是完美的。
//pm2开机启动
pm2 startup centos
//在自己的node项目目录下创建一个processes.json文件
{
"apps": [
{
"name": "xxx", //自己定义好的进程标识,到时候通过此标识查看是哪个进程
"script": "./bin/www", //pm2启动的程序目录
"log_date_format": "YYYY-MM-DD HH:mm Z",
"log_file" : "./logs/log_file.log",//nodejs输出的后台日志
"error_file" : "./logs/error_file.log",//当后台有错误时输出的日志
"out_file" : "./logs/out_file.log",//log_file和error_file合并输出的日志
"merge_logs": true,
}
]
}
//保存退出后如果node项目已经部署好则启动项目,否则这一步可以放到下一篇博客中进行
pm2 start processes.json
关于pm2的操作,将在下一篇博客部署node项目中详细说明。
4. 安装配置nginx
- 安装
yum install nginx
cd /etc/nginx
//这里开始修改配置
vim nginx.conf
//-> 这里不细说明配置:只需要找到conf里面有没有这一段:include /etc/nginx/conf.d/*.conf;
// 退出之后进入/etc/nginx/conf.d目录,新建一个配置文件
vim xxx.com.conf //xxx.com是你的域名名字
- 配置文件
//xxx.com.conf
upstream node {
server 127.0.0.1:3000;
}
server {
listen 80 default_server;
server_name xx.com www.xx.com; //你的域名
include /etc/nginx/default.d/*.conf;
location / {
proxy_pass http://node;
}
access_log xx/access.log main; //可以参考下nginx.conf文件配置
}
这一步是为了部署node项目做准备的,也将在下一篇博客部署node项目中详细说明。
- nginx的一些命令
//测试配置文件是否出错,没问题的话在本机输入wget http://127.0.0.1,看能否访问本地服务器
nginx -t -c /etc/nginx/nginx.conf //这一步在调试的时候用处很大
//启动
service nginx start
//重启
service nginx restart
此时,在网页上输入自己的的服务器ip,应该还不能连上,因为还没有开通安全组和防火墙设置,可以看下面第5点。
补充: 安装完nginx后,可以在浏览器中打开自己的服务器网址,如果看到一个默认的nginx欢迎页面则代表安装成功了。nginx的文件默认放在 /usr/share/nginx/html这个路径下面,只要把普通的html放到这个路径下,就可以通过路径访问到。
- 新增SSL配置文件实例
upstream node {
server 127.0.0.1:3000;
}
server {
listen 443 ssl;
server_name ***; #你的域名
ssl on;
ssl_certificate ***.pem; #pem文件路径
ssl_certificate_key ***.key; #key文件路径
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
# 禁止爬虫!如果你要做SEO的话!这个最好就不要咯
if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot"){return 403;}
location / {
deny 123.126.113.134;
deny 111.251.93.84;
proxy_pass http://node;
}
access_log *.log main;
}
- 开通安全组设置
5.1 到服务器开通安全组
| 授权策略 | 协议类型 | 端口范围 | 授权类型 | 授权对象 | 描述 | 优先级 |
|---|---|---|---|---|---|---|
| 允许 | 自定义 TCP | 80/80 | 地址段访问 | 0.0.0.0/0 | - | 1 |
5.2 服务器也要开通设置防火墙
CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。
1、关闭firewall:
systemctl stop firewalld.service
systemctl disable firewalld.service
systemctl mask firewalld.service
2、安装iptables防火墙
yum install iptables-services -y
3.启动设置防火墙
# systemctl enable iptables
# systemctl start iptables
4.查看防火墙状态
systemctl status iptables
5编辑防火墙,增加端口
vi /etc/sysconfig/iptables #编辑防火墙配置文件
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT //开通80端口
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT // 后面安装mysql需要开通3306端口
:wq! #保存退出
6.重启配置,重启系统
systemctl restart iptables.service #重启防火墙使配置生效
systemctl enable iptables.service #设置防火墙开机启动
5.安装配置Redis
- 安装
yum install gcc-c++
yum install -y tcl
yum install wget
//在官网http://redis.io/拿到下载链接 http://download.redis.io/releases/redis-4.0.1.tar.gz
wget 链接
//解压 进入目录 编译 安装
tar -xzvf redis
mv redis /usr/local/redis
cd /usr/local/redis
make
make install
- 配置
mkdir /etc/redis
mkdir /var/redis
mkdir /var/redis/log
mkdir /var/redis/run
mkdir /var/redis/6379
//在redis解压根目录中找到配置文件模板,复制到如下位置。
cp /usr/local/redis/redis.conf /etc/redis/6379.conf
//通过vim命令修改/etc/redis/6379.conf文件 ,使redis可以在后台进行
daemonize yes
requirepass 密码 (如果要实现redis服务的话,不能配置密码,可看下第4点)
pidfile /var/redis/run/redis_6379.pid
logfile /var/redis/log/redis.log
dir /var/redis/6379
//最后运行redis:(每次启动都要切去/etc/reids目录下启动下面的命令)
redis-server /etc/redis/6379.conf (可以去/var/redis/log下查看redis.log日志文件)
//另开一个窗口进行测试链接
redis-cli -h 127.0.0.1 -p 6379 -a ''
//开关
service redis_6379 stop
service redis_6379 start
Redis (error) NOAUTH Authentication required.解决方法
出现认证问题,应该是设置了认证密码,即上面设置了requirepass ,输入密码既可以啦
注意密码是字符串形式!
127.0.0.1:6379> auth "yourpassword"
127.0.0.1:6379> set name "hello" (error) NOAUTH Authentication required. 127.0.0.1:6379> (error) NOAUTH Authentication required. (error) ERR unknown command '(error)' 127.0.0.1:6379> auth "root" OK
开机启动
确定已经执行了第二步的配置,保证daemonize yes
echo "/usr/local/redis/src/redis-server /etc/redis/6379.conf &" >> /etc/rc.local选做:将Redis做成服务
可以看到如果我们启动redis服务的话,每次都要进入到安装目录,这样就很繁琐,所以我们将redis做成一个服务,我们直接启动。(设置服务前如果redis服务在开着,要先关闭redis服务,不然后面生成不了redis-6379.pid,可以查看redis服务进程 ps -ef | grep redis 关闭杀死redis服务,然后执行kill - 9 进程号)
//首先将utils/redis_init_script文件复制到/etc/init.d下,同时易名为redis
cp /usr/local/redis-3.0.2/utils/redis_init_script /etc/rc.d/init.d/redis
vi /etc/rc.d/init.d/redis
//并在文档第二行添加下面语句
# chkconfig: 2345 80 90
//并且可以看到下面这两句,如果/usr/local/redis/bin中没有redis-server和redis-cli文件的话,我们要在我们的安装目录下复制一个过来。否则服务启动时找不到redis-server。
EXEC=/usr/local/bin/redis-server
CLIEXEC=/usr/local/bon/redis-cli
//在下一行找到PIDFILE=...这句,将路径修改成我们放置redis_6379.pid的路径,否则会找不到,redis_6379.pid其实放置了redis的进程id,所以执行service redis stop时才会从里面拿到id并杀掉进程。
PIDFILE=/var/redis/run/redis_${REDISPORT}.pid
//下一句中,可以看到 ->CONF="/etc/redis/${REDISPORT}.conf",需要将redis配置文件拷贝到/etc/redis下(这一步在上面其实已经做好了,可以忽略)
cp /usr/local/redis/redis.conf /etc/redis/6379.conf
//最后在start作用域中找到**$EXEC $CONF**,在后面添加**&**,表示让redis作为后台服务启动,否则该服务会独占输入屏
$EXEC $CONF &
//修改完成,保存退出
:wq
//完成上面的操作之后,即可注册服务:
chkconfig --add redis
//然后启动redis服务
service redis start
//开关
service redis stop
service redis start
如果service redis stop ,你会发现他提示:
Redis (error) NOAUTH Authentication required
说明你在上面的/etc/redis/6379.conf中配置了requirepass,如果要实现redis服务的话,不能配置密码。否则只能手动启动。
这样我们重启服务后systemctl restart sshd.service,在用service redis stop关闭就可以了。
到这里我们的redis服务就做好了。
6.安装配置数据库MySQL
- 简单的安装
1.1 服务器端
阿里云上的centos7.0系统。因为在centos直接搜索mysql是木有这个软件的(原因自己百度),只有mariadb,名字不同,本质一样。
//安装
yum install mariadb mariadb-server
//启动
systemctl start mariadb
//开机启动
systemctl enable mariadb
//设置mysql的root密码等相关配置,需要记住root的密码,如果需要远程连接服务器数据库的话,这一步需要设置允许远程登录连接数据库
mysql_secure_installation
//登录root
mysql -u root -p
//创建新用户,注意:每条执行的sql语句都需要加上分号“;”作为结束符
create user '用户名'@'localhost' identified by '密码';
1.2 开发机器上
在自己电脑上可以下载一个图形界面工具:mysqlWorkBench ,Mysql安装后会弹窗给你一个初始化密码的,这个密码需要记住。
- 远程登录
由于我们刚才在服务器新建的用户的host定义了localhost,所以在开发机器上是没办法登陆的。因此需要用调整一下
//用root登陆
mysql -u root -p
//进入mysql数据库
use mysql;
// 修改host为通配符%
update user set host='%' where user='用户名';
// 查看一下
select host, user from user;
//更新
flush privileges;
- 分配权限
这时候我们能在开发机器上登陆新建的用户了,当时确发现没啥权限,做啥都做不了,所以应该分配一些权限给他。
//用root登陆
mysql -u root -p
//创建一个数据库
create database 数据库名;
//授予用户操作这个数据库的所有权限
grant all on 数据库名.* to 用户名@'%';
flush privileges;
注意:在mysqlWorkBench中远程登录数据库,只要新建一个链接,填上服务器ip,远程服务器mysql的用户及其密码即可。
- mysql忘记密码
systemctl stop mariadb ==>停止mariadb数据库
mysqld_safe --skip-grant-table & ==>进入单机模式
打开另一个窗口执行:
mysql
use mysql;==>进入mysql库
update user set password=password(新密码) where user='root' and host='localhost';==>设置新密码(也可以设为空密码然后用mysql_secure_installation命令设置)
flush privileges;==>刷新
新开窗口 mysqladmin -u root -p shutdown ==>新密码测试关掉数据库,成功关闭就证明修改成功
systemctl restart mariadb ==>重启服务
7.总结
如果你是服务器小白,经过上述一系列配置后,估计你已经基本掌握了服务器部署node环境的搭建,以及学到了搭建过程中接触到的新知识。作为一名前端开发程序猿,除了学习前端,后端也是很值得去细细研究一番的。
