CentOS Stream服务安装实战教程从零开始掌握Web数据库邮件等各类服务的部署与配置技巧

威震华夏关云长

1. CentOS Stream简介

CentOS Stream是CentOS项目的一个新版本，它位于Fedora Linux和RHEL（Red Hat Enterprise Linux）之间，作为一个滚动发布的Linux发行版。CentOS Stream是RHEL的上游开发分支，这意味着它比传统的CentOS更接近RHEL的下一个版本。

CentOS Stream的主要特点包括：

• 滚动发布模式，提供持续的更新和新功能
• 稳定性与可靠性的平衡
• 与RHEL的高度兼容性
• 适合开发者和企业用户使用

2. 系统准备和基础配置

2.1 安装CentOS Stream

首先，我们需要从官方网站下载CentOS Stream的ISO镜像文件。访问CentOS Stream官网（https://centos.org/download/）并选择适合你硬件架构的版本（通常是x86_64）。

下载完成后，创建一个启动盘（如使用Rufus、dd命令等工具），然后从该启动盘启动计算机并按照安装向导完成安装过程。

2.2 系统初始化配置

安装完成后，我们需要进行一些基础配置：

2. sudo dnf update -y

复制代码

2. sudo hostnamectl set-hostname your-server-name

复制代码

编辑网络配置文件：

2. sudo nmcli connection modify ens160 ipv4.addresses 192.168.1.100/24 ipv4.gateway 192.168.1.1 ipv4.dns 8.8.8.8 ipv4.method manual
3. sudo nmcli connection up ens160

复制代码

注意：ens160是网络接口名称，根据你的系统可能不同，可以使用ip a命令查看。

2. sudo systemctl start firewalld
3. sudo systemctl enable firewalld
4. sudo firewall-cmd --permanent --add-service=ssh
5. sudo firewall-cmd --reload

复制代码

2. sudo dnf install -y vim wget curl net-tools

复制代码

SELinux（Security-Enhanced Linux）是一个Linux内核的安全模块，默认情况下是启用的。我们可以检查其状态：

2. sestatus

复制代码

如果需要临时关闭SELinux：

2. sudo setenforce 0

复制代码

永久关闭需要编辑配置文件：

2. sudo vim /etc/selinux/config

复制代码

将SELINUX=enforcing改为SELINUX=disabled，然后重启系统。

注意：在生产环境中，建议保持SELinux启用状态，并学习如何正确配置它。

3. Web服务器安装与配置

3.1 Apache HTTP服务器安装与配置

Apache是最流行的Web服务器软件之一。下面是在CentOS Stream上安装和配置Apache的步骤：

2. sudo dnf install -y httpd

复制代码

2. sudo systemctl start httpd
3. sudo systemctl enable httpd

复制代码

2. sudo firewall-cmd --permanent --add-service=http
3. sudo firewall-cmd --permanent --add-service=https
4. sudo firewall-cmd --reload

复制代码

创建一个新的虚拟主机配置文件：

2. sudo vim /etc/httpd/conf.d/example.com.conf

复制代码

添加以下内容：

2. <VirtualHost *:80>
3.     ServerName www.example.com
4.     ServerAlias example.com
5.     DocumentRoot /var/www/example.com/public_html
6.     ErrorLog /var/www/example.com/logs/error.log
7.     CustomLog /var/www/example.com/logs/access.log combined
8. </VirtualHost>

复制代码

创建网站目录和日志目录：

2. sudo mkdir -p /var/www/example.com/public_html
3. sudo mkdir -p /var/www/example.com/logs

复制代码

设置适当的权限：

2. sudo chown -R apache:apache /var/www/example.com
3. sudo chmod -R 755 /var/www/example.com

复制代码

创建一个测试页面：

2. sudo vim /var/www/example.com/public_html/index.html

复制代码

添加以下内容：

2. <!DOCTYPE html>
3. <html>
4. <head>
5.     <title>Welcome to Example.com!</title>
6. </head>
7. <body>
8.     <h1>Success! The example.com virtual host is working!</h1>
9. </body>
10. </html>

复制代码

检查Apache配置并重启服务：

2. sudo apachectl configtest
3. sudo systemctl restart httpd

复制代码

安装mod_ssl模块：

2. sudo dnf install -y mod_ssl

复制代码

获取SSL证书（这里以Let’s Encrypt为例）：

安装Certbot：

2. sudo dnf install -y certbot python3-certbot-apache

复制代码

获取并安装证书：

2. sudo certbot --apache -d example.com -d www.example.com

复制代码

Certbot会自动修改Apache配置以启用HTTPS。

3.2 Nginx Web服务器安装与配置

Nginx是另一个流行的Web服务器，以其高性能和低内存消耗而闻名。

2. sudo dnf install -y nginx

复制代码

2. sudo systemctl start nginx
3. sudo systemctl enable nginx

复制代码

2. sudo firewall-cmd --permanent --add-service=http
3. sudo firewall-cmd --permanent --add-service=https
4. sudo firewall-cmd --reload

复制代码

创建一个新的虚拟主机配置文件：

2. sudo vim /etc/nginx/conf.d/example.com.conf

复制代码

添加以下内容：

2. server {
3.     listen 80;
4.     server_name example.com www.example.com;
5.     root /var/www/example.com/public_html;
6.     index index.html index.htm;
8.     location / {
9.         try_files $uri $uri/ =404;
10.     }
12.     access_log /var/www/example.com/logs/access.log;
13.     error_log /var/www/example.com/logs/error.log;
14. }

复制代码

创建网站目录和日志目录：

2. sudo mkdir -p /var/www/example.com/public_html
3. sudo mkdir -p /var/www/example.com/logs

复制代码

设置适当的权限：

2. sudo chown -R nginx:nginx /var/www/example.com
3. sudo chmod -R 755 /var/www/example.com

复制代码

创建一个测试页面：

2. sudo vim /var/www/example.com/public_html/index.html

复制代码

添加以下内容：

2. <!DOCTYPE html>
3. <html>
4. <head>
5.     <title>Welcome to Example.com!</title>
6. </head>
7. <body>
8.     <h1>Success! The example.com virtual host is working!</h1>
9. </body>
10. </html>

复制代码

检查Nginx配置并重启服务：

2. sudo nginx -t
3. sudo systemctl restart nginx

复制代码

获取SSL证书（这里以Let’s Encrypt为例）：

安装Certbot：

2. sudo dnf install -y certbot python3-certbot-nginx

复制代码

获取并安装证书：

2. sudo certbot --nginx -d example.com -d www.example.com

复制代码

Certbot会自动修改Nginx配置以启用HTTPS。

4. 数据库服务器安装与配置

4.1 MySQL/MariaDB安装与配置

MariaDB是MySQL的一个分支，完全兼容MySQL，并且在CentOS Stream中是默认的数据库服务器。

2. sudo dnf install -y mariadb-server mariadb

复制代码

2. sudo systemctl start mariadb
3. sudo systemctl enable mariadb

复制代码

运行安全配置脚本：

2. sudo mysql_secure_installation

复制代码

按照提示设置root密码、删除匿名用户、禁止root远程登录等。

登录MariaDB：

2. mysql -u root -p

复制代码

创建数据库和用户：

2. CREATE DATABASE exampledb;
3. CREATE USER 'exampleuser'@'localhost' IDENTIFIED BY 'password';
4. GRANT ALL PRIVILEGES ON exampledb.* TO 'exampleuser'@'localhost';
5. FLUSH PRIVILEGES;
6. EXIT;

复制代码

编辑MariaDB配置文件：

2. sudo vim /etc/my.cnf.d/mariadb-server.cnf

复制代码

在[mariadb]部分添加或修改以下配置：

2. character-set-server = utf8mb4
3. collation-server = utf8mb4_unicode_ci
4. max_connections = 200
5. innodb_buffer_pool_size = 2G

复制代码

重启MariaDB服务：

2. sudo systemctl restart mariadb

复制代码

4.2 PostgreSQL安装与配置

PostgreSQL是一个功能强大的开源对象关系数据库系统。

2. sudo dnf install -y postgresql-server postgresql-contrib

复制代码

2. sudo postgresql-setup --initdb

复制代码

2. sudo systemctl start postgresql
3. sudo systemctl enable postgresql

复制代码

切换到postgres用户并设置密码：

2. sudo -u postgres psql -c "ALTER USER postgres WITH PASSWORD 'your_password';"

复制代码

切换到postgres用户：

2. sudo -u postgres psql

复制代码

创建数据库和用户：

2. CREATE DATABASE exampledb;
3. CREATE USER exampleuser WITH ENCRYPTED PASSWORD 'password';
4. GRANT ALL PRIVILEGES ON DATABASE exampledb TO exampleuser;
5. \q

复制代码

编辑pg_hba.conf文件：

2. sudo vim /var/lib/pgsql/data/pg_hba.conf

复制代码

添加以下行以允许特定IP范围的访问：

2. host    all             all             192.168.1.0/24          md5

复制代码

编辑postgresql.conf文件：

2. sudo vim /var/lib/pgsql/data/postgresql.conf

复制代码

修改以下行：

2. listen_addresses = '*'

复制代码

重启PostgreSQL服务：

2. sudo systemctl restart postgresql

复制代码

配置防火墙允许PostgreSQL流量：

2. sudo firewall-cmd --permanent --add-service=postgresql
3. sudo firewall-cmd --reload

复制代码

5. 邮件服务器安装与配置

5.1 Postfix邮件服务器安装与配置

Postfix是一个流行的邮件传输代理（MTA），用于发送和接收电子邮件。

2. sudo dnf install -y postfix

复制代码

编辑主配置文件：

2. sudo vim /etc/postfix/main.cf

复制代码

修改或添加以下配置：

2. myhostname = mail.example.com
3. mydomain = example.com
4. myorigin = $mydomain
5. inet_interfaces = all
6. inet_protocols = all
7. mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
8. mynetworks = 127.0.0.0/8, 192.168.1.0/24
9. home_mailbox = Maildir/

复制代码

2. sudo systemctl start postfix
3. sudo systemctl enable postfix

复制代码

2. sudo firewall-cmd --permanent --add-service=smtp
3. sudo firewall-cmd --reload

复制代码

5.2 Dovecot邮件服务器安装与配置

Dovecot是一个开源的IMAP和POP3邮件服务器，用于接收邮件。

2. sudo dnf install -y dovecot

复制代码

编辑主配置文件：

2. sudo vim /etc/dovecot/dovecot.conf

复制代码

确保以下配置存在：

2. protocols = imap pop3
3. listen = *

复制代码

编辑邮件位置配置文件：

2. sudo vim /etc/dovecot/conf.d/10-mail.conf

复制代码

修改以下配置：

2. mail_location = maildir:~/Maildir

复制代码

编辑认证配置文件：

2. sudo vim /etc/dovecot/conf.d/10-auth.conf

复制代码

修改以下配置：

2. disable_plaintext_auth = no
3. auth_mechanisms = plain login

复制代码

编辑SSL配置文件：

2. sudo vim /etc/dovecot/conf.d/10-ssl.conf

复制代码

修改以下配置：

2. ssl = required
3. ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
4. ssl_key = </etc/pki/dovecot/private/dovecot.pem

复制代码

如果需要，生成自签名证书：

2. sudo openssl req -new -x509 -days 365 -nodes -out /etc/pki/dovecot/certs/dovecot.pem -keyout /etc/pki/dovecot/private/dovecot.pem
3. sudo chmod 600 /etc/pki/dovecot/private/dovecot.pem

复制代码

2. sudo systemctl start dovecot
3. sudo systemctl enable dovecot

复制代码

2. sudo firewall-cmd --permanent --add-service=imap
3. sudo firewall-cmd --permanent --add-service=imaps
4. sudo firewall-cmd --permanent --add-service=pop3
5. sudo firewall-cmd --permanent --add-service=pop3s
6. sudo firewall-cmd --reload

复制代码

5.3 创建邮件用户

创建一个新的系统用户作为邮件用户：

2. sudo useradd -m user1
3. sudo passwd user1

复制代码

测试邮件发送：

2. echo "Test email body" | mail -s "Test Subject" user1@example.com

复制代码

6. 其他常用服务安装与配置

6.1 FTP服务器安装与配置（vsftpd）

2. sudo dnf install -y vsftpd

复制代码

编辑配置文件：

2. sudo vim /etc/vsftpd/vsftpd.conf

复制代码

修改或添加以下配置：

2. anonymous_enable=NO
3. local_enable=YES
4. write_enable=YES
5. chroot_local_user=YES
6. allow_writeable_chroot=YES
7. pasv_min_port=40000
8. pasv_max_port=50000

复制代码

2. sudo systemctl start vsftpd
3. sudo systemctl enable vsftpd

复制代码

2. sudo firewall-cmd --permanent --add-service=ftp
3. sudo firewall-cmd --permanent --add-port=40000-50000/tcp
4. sudo firewall-cmd --reload

复制代码

6.2 DNS服务器安装与配置（BIND）

2. sudo dnf install -y bind bind-utils

复制代码

编辑主配置文件：

2. sudo vim /etc/named.conf

复制代码

修改以下配置：

2. listen-on port 53 { any; };
3. allow-query     { any; };

复制代码

添加区域定义：

2. zone "example.com" IN {
3.     type master;
4.     file "example.com.zone";
5.     allow-update { none; };
6. };

复制代码

创建区域文件：

2. sudo vim /var/named/example.com.zone

复制代码

添加以下内容：

2. $TTL 86400
3. @   IN  SOA ns1.example.com. admin.example.com. (
4.         2023080101  ; Serial
5.         3600        ; Refresh
6.         1800        ; Retry
7.         604800      ; Expire
8.         86400       ; Minimum TTL
9. )
10. @       IN  NS  ns1.example.com.
11. @       IN  A   192.168.1.100
12. ns1     IN  A   192.168.1.100
13. www     IN  A   192.168.1.100
14. mail    IN  A   192.168.1.100

复制代码

设置适当的权限：

2. sudo chown named:named /var/named/example.com.zone
3. sudo chmod 640 /var/named/example.com.zone

复制代码

2. sudo systemctl start named
3. sudo systemctl enable named

复制代码

2. sudo firewall-cmd --permanent --add-service=dns
3. sudo firewall-cmd --reload

复制代码

6.3 DHCP服务器安装与配置

2. sudo dnf install -y dhcp-server

复制代码

编辑配置文件：

2. sudo vim /etc/dhcp/dhcpd.conf

复制代码

添加以下内容：

2. option domain-name "example.com";
3. option domain-name-servers 192.168.1.100;
4. default-lease-time 600;
5. max-lease-time 7200;
6. authoritative;
7. subnet 192.168.1.0 netmask 255.255.255.0 {
8.     range 192.168.1.150 192.168.1.200;
9.     option routers 192.168.1.1;
10.     option broadcast-address 192.168.1.255;
11. }

复制代码

2. sudo systemctl start dhcpd
3. sudo systemctl enable dhcpd

复制代码

2. sudo firewall-cmd --permanent --add-service=dhcp
3. sudo firewall-cmd --reload

复制代码

7. 服务安全配置与优化

7.1 系统安全加固

定期更新系统以获取最新的安全补丁：

2. sudo dnf update -y

复制代码

安装并配置dnf-automatic：

2. sudo dnf install -y dnf-automatic
3. sudo vim /etc/dnf/automatic.conf

复制代码

修改以下配置：

2. apply_updates = yes

复制代码

启动并启用dnf-automatic服务：

2. sudo systemctl enable --now dnf-automatic.timer

复制代码

编辑SSH配置文件：

2. sudo vim /etc/ssh/sshd_config

复制代码

修改以下配置：

2. PermitRootLogin no
3. PasswordAuthentication no
4. Port 2222

复制代码

重启SSH服务：

2. sudo systemctl restart sshd

复制代码

配置防火墙允许新的SSH端口：

2. sudo firewall-cmd --permanent --add-port=2222/tcp
3. sudo firewall-cmd --permanent --remove-service=ssh
4. sudo firewall-cmd --reload

复制代码

安装fail2ban：

2. sudo dnf install -y fail2ban

复制代码

创建jail.local配置文件：

2. sudo vim /etc/fail2ban/jail.local

复制代码

添加以下内容：

2. [DEFAULT]
3. bantime = 1h
4. findtime = 10m
5. maxretry = 5
7. [sshd]
8. enabled = true
9. port = 2222

复制代码

启动并启用fail2ban服务：

2. sudo systemctl start fail2ban
3. sudo systemctl enable fail2ban

复制代码

7.2 Web服务器安全优化

编辑Apache配置文件：

2. sudo vim /etc/httpd/conf/httpd.conf

复制代码

修改或添加以下配置：

2. ServerTokens Prod
3. ServerSignature Off
4. TraceEnable Off
5. Header always unset X-Powered-By

复制代码

安装并配置mod_security：

2. sudo dnf install -y mod_security
3. sudo systemctl restart httpd

复制代码

编辑Nginx配置文件：

2. sudo vim /etc/nginx/nginx.conf

复制代码

在http部分添加以下配置：

2. server_tokens off;
3. add_header X-Frame-Options "SAMEORIGIN";
4. add_header X-Content-Type-Options "nosniff";
5. add_header X-XSS-Protection "1; mode=block";

复制代码

7.3 数据库安全优化

运行mysql_secure_installation脚本：

2. sudo mysql_secure_installation

复制代码

编辑MariaDB配置文件：

2. sudo vim /etc/my.cnf.d/mariadb-server.cnf

复制代码

在[mariadb]部分添加以下配置：

2. skip-networking = 1
3. bind-address = 127.0.0.1
4. local-infile = 0

复制代码

重启MariaDB服务：

2. sudo systemctl restart mariadb

复制代码

编辑pg_hba.conf文件：

2. sudo vim /var/lib/pgsql/data/pg_hba.conf

复制代码

修改以下行：

2. local   all             all                                     peer

复制代码

改为：

2. local   all             all                                     scram-sha-256

复制代码

编辑postgresql.conf文件：

2. sudo vim /var/lib/pgsql/data/postgresql.conf

复制代码

修改以下行：

2. listen_addresses = 'localhost'

复制代码

重启PostgreSQL服务：

2. sudo systemctl restart postgresql

复制代码

8. 常见问题与解决方案

8.1 服务启动失败

2. sudo systemctl status service-name

复制代码

2. sudo journalctl -u service-name

复制代码

对于Apache：

2. sudo apachectl configtest

复制代码

对于Nginx：

2. sudo nginx -t

复制代码

对于MariaDB：

2. sudo mysqld --check-config

复制代码

8.2 网络连接问题

2. ip a

复制代码

2. ip route

复制代码

2. nslookup example.com

复制代码

2. sudo firewall-cmd --list-all

复制代码

8.3 磁盘空间不足

2. df -h

复制代码

2. sudo find / -type f -size +100M -exec ls -lh {} \;

复制代码

2. sudo dnf clean all

复制代码

8.4 性能问题

2. top
3. htop

复制代码

2. sudo iostat -x 1

复制代码

2. sudo netstat -tuln
3. sudo ss -tuln

复制代码

结论

本教程详细介绍了在CentOS Stream上安装和配置各种常用服务的过程，包括Web服务器（Apache和Nginx）、数据库服务器（MariaDB和PostgreSQL）、邮件服务器（Postfix和Dovecot）以及其他常用服务（FTP、DNS、DHCP）。此外，还介绍了服务安全配置与优化的方法，以及常见问题的解决方案。

通过本教程，你应该能够从零开始在CentOS Stream上部署和配置各种服务，并确保它们的安全性和稳定性。记住，服务器管理是一个持续学习和改进的过程，保持系统的更新和安全是至关重要的。

希望本教程对你有所帮助！如果你有任何问题或建议，请随时提出。