購(gòu)買
因?yàn)槲抑饕目剂坎皇莾r(jià)格,而是主機(jī)的效能與穩(wěn)定性,還有是否有提供備份的機(jī)制,Linode 的穩(wěn)定性大家都說不錯(cuò),還可以加 25% 的費(fèi)用備份整臺(tái)主機(jī),所以我就選擇了 Linode 的 VPS,以下是我在 Linode 注冊(cè)與購(gòu)買 VPS 的過程記錄。
STEP 1
首先到 Linode 的官方網(wǎng)站,填入自己的 E-mail、賬號(hào)名稱與自選的密碼。
填完送出之后,Linode 會(huì)先寄一封確認(rèn)信到自己的 E-mail 信箱。
STEP 2
到自己的 E-mail 信箱收信,點(diǎn)選上面的確認(rèn)連結(jié)。
STEP 3
點(diǎn)選 E-mail 中的確認(rèn)連結(jié)后,就會(huì)開啟注冊(cè)的資料填寫網(wǎng)頁(yè)。
這里除了填入基本資料之外,還要輸入信用卡預(yù)先儲(chǔ)值。而優(yōu)惠代碼的部分,則可以上網(wǎng)搜尋「linode promo code」。
STEP 4
注冊(cè)完成之后,就可以馬上建立 VPS 主機(jī)了,Linode 上面有各種等級(jí)的方案,剛開始用可以選擇最基本的「Linode 1024」,每個(gè)月收費(fèi)是 10 元美金。
Linode 在全球各地有好幾的資料中心,您可以選擇自己想要的地點(diǎn),如果是一般的中文網(wǎng)站,服務(wù)對(duì)象以東亞為主,可以選擇今年四月剛成立的新加坡資料中心。
日本東京的資料中心因?yàn)橹鳈C(jī)售罄,目前無法提供給新的主機(jī)進(jìn)駐,Linode 正在興建第二個(gè)日本資料中心,有興趣的人可以關(guān)注 Linode 的部落格。
STEP 5
建立好一個(gè)虛擬主機(jī)之后,點(diǎn)選它進(jìn)入管理界面。
STEP 6
點(diǎn)選「Deploy an Image」,安裝系統(tǒng)。
STEP 7
選擇 Linux 發(fā)行版,并指定硬盤空間的配置,以及 root 管理者的密碼。
STEP 8
安裝好之后,點(diǎn)選「Boot」開機(jī)。
STEP 9
從「Remote Access」簽頁(yè)中可以看到服務(wù)器的 IP 信息,還有各種遠(yuǎn)端登入的方式。
您可以使用傳統(tǒng)的 SSH 登入,或是使用 Linode 所提供的 Console Access 功能。我是感覺它的「Lish via Ajaxterm」非常好用,只要從網(wǎng)頁(yè)上點(diǎn)選「Launch Lish Ajax Console」,就會(huì)接出現(xiàn)這樣的 console,完全不需要安裝任何東西。
這種從 console 登入的方式跟 SSH 登入是完全不同的(雖然看起來很像),它最棒的地方就是它不是透過主機(jī)的網(wǎng)絡(luò)出來的,所以不會(huì)受到主機(jī)防火墻的影響,這個(gè)在變更防火墻設(shè)定時(shí)非常有用,管理者完全不必?fù)?dān)心自己設(shè)錯(cuò)防火墻規(guī)則把自己擋在門外。
Linode 也有提供簡(jiǎn)單的 CPU 使用量、網(wǎng)絡(luò)流量與硬盤 IO 的統(tǒng)計(jì)圖,這些圖是 Linode 自動(dòng)產(chǎn)生的,不會(huì)影響到主機(jī)的運(yùn)作,當(dāng)然也不需要安裝。
Ubuntu的基本設(shè)定
這里介紹 Linode VPS 在安裝 Ubuntu Linux 系統(tǒng)之后,需要馬上進(jìn)行的一些基本安全性設(shè)定。
在購(gòu)買 Linux VPS 虛擬專屬主機(jī)之后,只要鼠標(biāo)點(diǎn)幾下,花個(gè)幾秒鐘就可以裝好一個(gè) Ubuntu Linux 系統(tǒng),不過后續(xù)還有很多安全性設(shè)定必須自己動(dòng)手處理,以下是各種設(shè)定的步驟教學(xué)。
1.更新系統(tǒng)套件
安裝好 Ubuntu Linux 后,最先要做的就是更新系統(tǒng)套件:
sudo apt-get update
sudo apt-get upgrade
2.主機(jī)名稱與 FQDN
主機(jī)名稱(hostname)可以自己任意取,他跟網(wǎng)址與 E-mail 位址等沒有直接關(guān)系,各主機(jī)的名稱不可以重復(fù),有些人喜歡用星球、動(dòng)物或是偉人的名字來命名,您可以自己想一個(gè)喜歡的名字,不過請(qǐng)避免使用 www 這類太過于一般化的名稱。
Ubuntu Linux 可以下列指令變更主機(jī)名稱:
echo "einstein" > /etc/hostname
hostname -F /etc/hostname
這樣會(huì)將主機(jī)名稱設(shè)定為 einstein。
接著編輯 /etc/hosts,設(shè)定 FQDN(fully qualified domain name)。假設(shè)我們的主機(jī)名稱為 einstein,網(wǎng)功能變量名稱稱(domain name)為 gtwang.org,F(xiàn)QDN 為 einstein.gtwang.org,主機(jī)對(duì)外的 IP 位址為 12.34.56.78,則將 /etc/hosts 設(shè)定為:
127.0.0.1 localhost.localdomain localhost
12.34.56.78 einstein.gtwang.org einstein
如果有使用 IPv6 的話,也要連同 IPv6 的位址一起加入:
127.0.0.1 localhost.localdomain localhost
12.34.56.78 einstein.gtwang.org einstein
2600:3c01::a123:b456:c789:d012 einstein.gtwang.org einstein
這里設(shè)定的 IP 位址與 FQDN 的對(duì)應(yīng)必須跟 DNS 的 A 紀(jì)錄吻合,若有使用 IPv6 的話,DNS 服務(wù)器上也要有對(duì)應(yīng)的 AAAA 紀(jì)錄。
3.時(shí)區(qū)
將時(shí)區(qū)(timezone)調(diào)整為自己所在地的時(shí)區(qū),可以讓系統(tǒng)紀(jì)錄檔上的時(shí)間戳記看起來更直覺。
Linode 的 Linux 時(shí)區(qū)預(yù)設(shè)是使用格林威治標(biāo)準(zhǔn)時(shí)間(UTC),我們可以使用下列指令更改時(shí)區(qū)的設(shè)定:
dpkg-reconfigure tzdata
更改完成后,再用 date 確認(rèn)一下:
date
看看輸出的時(shí)間是否正確。
4.新增使用者
在 Linode 上剛裝好的 Ubuntu Linux 是直接用 root 登入的,沒有一般使用者賬號(hào),但如果所有的動(dòng)作都使用 root 來操作,會(huì)給系統(tǒng)帶來很大的風(fēng)險(xiǎn),通常我們都會(huì)一般賬號(hào)來登入,必要時(shí)才切換成 root 權(quán)限,以避免下錯(cuò)指令等意外發(fā)生。
在 Ubuntu Linux 下新增一個(gè)使用者:
adduser myuser
將 myuser 這個(gè)使用者加入 sudo 群組:
usermod -a -G sudo myuser
這樣設(shè)定好之后,在用這個(gè)賬號(hào)以 SSH 登入:
ssh myuser@12.34.56.78
然后測(cè)試看看是否能使用 sudo:
sudo su
如果能取得 root 權(quán)限就表示沒問題了。
5.SSH 金鑰認(rèn)證登入
SSH 公開金鑰認(rèn)證可以大幅增加服務(wù)器的安全性,我們可以使用 ssh-keygen 在自己的計(jì)算機(jī)中產(chǎn)生金鑰后,再將公鑰放進(jìn)服務(wù)器中:
ssh-keygen
scp ~/.ssh/id_rsa.pub myuser@12.34.56.78:
接著再到服務(wù)器上,建立 .ssh 目錄,把公鑰放置在 .ssh/authorized_keys:
mkdir .ssh
mv id_rsa.pub .ssh/authorized_keys
設(shè)定好檔案權(quán)限:
chown -R myuser:myuser .ssh
chmod 700 .ssh
chmod 600 .ssh/authorized_keys
設(shè)定好之后,記得要測(cè)試 myuser 這個(gè)使用者是否可以不需要密碼登入 SSH。
6.停用 SSH 密碼登入
編輯 /etc/ssh/sshd_config,將密碼登入功能關(guān)閉:
PasswordAuthentication no
同時(shí)也停用 root 登入:
PermitRootLogin no
重新啟動(dòng) SSH 服務(wù)器:
sudo service ssh restart
7.防火墻
防火墻我習(xí)慣使用 ufw 來設(shè)定:
sudo ufw enable
sudo ufw allow ssh
sudo ufw allow http/tcp
sudo ufw allow https/tcp
ufw allow from 12.34.0.0/16
這里開啟 SSH、HTTP 與 HTTPS 這幾個(gè)連接埠,另外對(duì) 12.34.0.0/16 這個(gè)子網(wǎng)域開放所有的連線,用來開發(fā)與測(cè)試用。
8.Fail2Ban
Fail2Ban 可以用來阻擋一些來自網(wǎng)絡(luò)上的惡意攻擊,當(dāng)它偵測(cè)到來自網(wǎng)絡(luò)的某個(gè) IP 不斷嘗試入侵系統(tǒng)時(shí),會(huì)建立一個(gè)暫時(shí)性的防火墻規(guī)則,將攻擊者的 IP 封鎖。Fail2Ban 可以用下列指令安裝:
sudo apt-get install fail2ban
安裝完成后,F(xiàn)ail2Ban 預(yù)設(shè)只會(huì)對(duì) SSH 進(jìn)行監(jiān)控,若要更改設(shè)定可以將自己的設(shè)定寫在 /etc/fail2ban/jail.local 設(shè)定檔中,在這個(gè)檔案中,我們也可以設(shè)定當(dāng)偵測(cè)到幾次登入失敗后才開始阻擋 IP(maxretry),還有每次阻擋 IP 的時(shí)間長(zhǎng)度(bantime)。修改設(shè)定之后,記得重新啟動(dòng) Fail2Ban:
service fail2ban restart