信创服务器优化部署教程

1. 服务器整体配置

CPU型号：华为鲲鹏920
CPU架构：Aarch64
CPU核心数：8
内存：32GB
硬盘：
- 系统盘：300GB
- 数据盘：1TB
系统版本：银河麒麟高级服务器操作系统v10 (Lance) Kylin-Server-V10-SP3-General-Release-2303-arm64-2023-03-24 14:51:29

2. SSH远程登录并修改密码

下载MobaXterm远程控制软件：
Releases · RipplePiam/MobaXterm-Chinese-Simplified (github.com)
解压，打开软件，点击左上角会话，在弹出的窗口选择SSH，输入服务器的公网IP地址，登录用户名，SSH端口号，选择OK登录，如图所示：
在终端窗口中输入密码即可登陆成功。
修改密码：
- 输入命令：passwd root 回车，按照提示输入两遍密码即可修改完成。

3. 更新系统

输入命令 dnf -y update 或 yum -y update 更新系统，首次开机更新内容较多，请耐心等待，期间可能会有提示导入gpg密钥或配置文件冲突，按照提示同意即可。

4. 挂载数据盘

fdisk -l 查看分区情况

分区：

fdisk /dev/vdb 
n #添加新分区 
p #主分区 
1 #分1个分区 
回车 #默认2048开始 
回车 #默认分到底 
w #保存分区设置

fdisk -l 再看一遍分区情况

mkfs.ext4 /dev/vdb1 格式化分区

mkdir /data 建立挂载目录

mount /dev/vdb1 /data 挂载分区

设置开机自动挂载：（容易出问题的环节）

1 2	blkid #查看分区UUID echo "UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /data ext4 defaults 0 0" >> /etc/fstab #手动填写也可

5. 配置端口转发

利用SSH的端口转发功能可以无需映射端口访问测试服务，下面是开启及使用步骤

5.1 开启SSH的端口转发功能

打开SSH的配置文件
1
nano /etc/ssh/sshd_config
找到如下条目并修改
1
AllowTcpForwarding yes
重启ssh服务
1
systemctl restart sshd

5.2 通过MobaXterm的MobaSSHTunnel工具开启端口转发

在MobaXterm的工具栏中找到隧道（Tunneling）功能并打开，在弹出的窗口左下角点击新建SSH隧道（New SSH tunnel）按钮。选择本地端口转发（Local port forwarding），输入连接信息，如图所示：

保存配置后，点击列表中的启用即可开启端口转发。

注意：我的计算机部分填写的端口是在本地访问的端口，可以随意设置。SSH服务器填写的信息为服务器的SSH远程连接信息，如果在此之前已经在MobaXterm中保存了服务器的密码或者是利用密钥连接，则不会提示输入密码。Remote Server部分填写的地址是需要访问的服务的远程地址，如果服务在SSH服务器同一台主机上，则为127.0.0.1或 localhost，端口为远程服务器的端口。

假设此时需要访问服务器上的端口port1，本地访问端口为port2，按照上述配置完成后，本地连接localhost:port2即可访问远程服务器的端口port1。

6. 安装Docker容器引擎

检查到服务器已经安装了Podman容器引擎，与Docker冲突，又因为下一步操作中安装的1Panel运维面板需要Docker作为底层服务，故需要先卸载Podman。

6.1 卸载Podman

yum remove podman -y

6.2 安装Docker

配置阿里云Docker安装源

yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
sed -i 's+download.docker.com+mirrors.aliyun.com/docker-ce+' /etc/yum.repos.d/docker-ce.repo

定义 yum 变量并修改 repo修改docker repo文件中的 $releasever 为 centos_version ，原因是在麒麟服务器操作系统V10中 $releasever被修改为了 10，而我们需要使用 centos 8的镜像源，如果你不替换，基本上仓库的每一个地址都是404
```
echo "8" > /etc/yum/vars/centos_version
sed -i 's/$releasever/$centos_version/g' /etc/yum.repos.d/docker-ce.repo
```
建立yum缓存
```
yum makecache
```
安装docker
```
yum install docker-ce -y
```
检查是否安装成功
```
docker version
```

7. 安装1Panel运维面板

一条命令安装：
1
curl -sSL https://resource.fit2cloud.com/1panel/package/quick_start.sh -o quick_start.sh && sh quick_start.sh
按照提示设置安装目录，端口号，访问地址，登录用户名及密码，安装完成后复制并妥善保存配置信息。
利用端口转发访问1Panel运维面板
按照第4节的步骤配置转发1Panel的端口（假设为30352），打开浏览器，访问http://localhost:30352/c507f71df2 即可访问1Panel。

8. 安装Fail2ban

（问题太多，暂不可用）

9. 安装ClamAV病毒扫描工具

安装ClamAV：

1	yum install clamav clamd clamav-update -y

修改 ClamAV 配置文件

sed -i -e "s/^Example/#Example/" /etc/clamd.d/scan.conf
nano /etc/clamd.d/scan.conf 取消下面行注释
LogFile /var/log/clamd.scan
LogFileMaxSize 2M
PidFile /run/clamd.scan/clamd.pid
DatabaseDirectory /var/lib/clamav
LocalSocket /run/clamd.scan/clamd.sock

修改病毒库刷新配置文件

sed -i -e "s/^Example/#Example/" /etc/freshclam.conf
nano /etc/freshclam.conf 取消下面行注释
DatabaseDirectory /var/lib/clamav
UpdateLogFile  /var/log/freshclam.log
PidFile  /var/run/freshclam.pid
DatabaseMirror database.clamav.net
Checks 12

更新病毒库
1
freshclam
启动 ClamAV 服务
1
systemctl start clamd@scan.service

建立病毒库更新服务

1	nano /usr/lib/systemd/system/clamav-freshclam.service

将下列内容粘贴保存

# Run the freshclam as daemon 
[Unit]
Description = freshclam scanner
After = network.target
[Service]
Type = forking
ExecStart = /usr/bin/freshclam -d -c 4
Restart = on-failure
PrivateTmp = true
[Install]
WantedBy=multi-user.target

启动病毒库更新服务

1	systemctl start clamav-freshclam.service

开机自启动

1 2	systemctl enable clamd@scan.service systemctl enable clamav-freshclam.service

查看 ClamAV 服务状态

1 2	systemctl status clamd@scan.service systemctl status clamav-freshclam.service

10. 安装OpenResty

打开1Panel，在应用商店中找到OpenResty，安装，参数默认即可。
安装时如遇到报错为nginx: [crit] ngx_slab_alloc() failed: no memory无法启动，可以从应用商店已安装列表中找到OpenResty，打开安装目录，找到安装目录下的1pwaf/data/conf/waf.conf文件，将lua_shared_dict waf_locks 100k;修改为lua_shared_dict waf_locks 200k;即可。

10.1 建立静态网站测试

安装启动完成后，在网站中选择建立网站，可以选择一键部署、从运行环境部署、反向代理或者静态网站，这里选择建立静态网站做测试
输入主域名为公网IP:端口号，点击保存。
打开左侧主机，防火墙页面，创建端口规则，放行建立静态网站的端口。
打开浏览器访问http://公网IP:端口号测试是否正常访问。

11. 安装MySQL数据库

打开1Panel，在应用商店中找到OpenResty，安装，可以选择需要的版本进行安装，root密码随机生成，也可以手动设置，勾选端口外部访问，点击确认进行安装。
利用端口转发功能转发3306端口，打开Navicat，连接地址为localhost，端口为3306，可以测试数据库是否可以正常访问。

12. 配置VNC远程桌面（作用不大）

输入命令 yum grouplist 可以看到服务器安装的环境为带 UKUI GUI 的服务器，即预装有桌面环境，如图所示，可以配置VNC远程桌面。

12.1 安装 `tigervnc-server` 服务器端，并配置权限

安装 tigervnc-server ：
1
yum -y install tigervnc-server
复制 vnc 启动脚本并更改名称。如， vncserver@:1.service 中的 :1 表示“桌面号” 对应启动的网络端口号就是 5900+桌面号 ，即 5901 。如果再有一个就是 2 ，端口号就是 5902 ，以此类推：
1
cp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:1.service

以 root 用户访问 VNC 为例，编辑刚复制的新文件：

1	nano /etc/systemd/system/vncserver@:1.service

内容修改为：

[Unit]
Description=Remote desktop service (VNC)
After=syslog.target network.target

[Service]
Type=forking

PIDFile=/root/.vnc/%H%i.pid

ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill :1 > /dev/null 2>&1 || :'
ExecStart=/usr/sbin/runuser -l root -c "/usr/bin/vncserver :1"
ExecStop=/bin/sh -c '/usr/bin/vncserver -kill :1 > /dev/null 2>&1 || :'

Restart=on-success
RestartSec=15

[Install]
WantedBy=multi-user.target

设置 VNC 密码（VNC Viewer 连接服务器时需使用的密码）。需要输入两次密码，输入完成后会提示是否设置 view-only password （ “View-only password”密码，只允许查看，无控制权限。）这个可根据需要设置：
1
vncpasswd

12.2 启动VNC服务

重新加载系统配置文件（系统新增或配置文件发生变化时，都需要执行 daemon-reload 子命令）：
1
systemctl daemon-reload

设置开机启动并启动服务：

1 2	systemctl enable vncserver@:1.service systemctl start vncserver@:1.service

查看端口
1
netstat -ltp|grep Xvnc

12.3 防火墙配置

如果系统启用了防火墙，需要配置相应规则，否则连接不上：

1 2	firewall-cmd --add-port=5901/tcp --permanent firewall-cmd --reload

12.4 使用端口转发访问VNC远程桌面

按照第4节的步骤配置转发VNC端口5901，点击MobaXterm工具栏中的会话，选择VNC，输入地址为127.0.0.1，端口为5901，点击OK，即可访问远程桌面，如图所示：

连接成功后如图所示：