Ubuntu Server 22.04.4安装后必做的10件事从基础配置到Docker环境一键部署当你第一次登录到全新的Ubuntu Server系统时面对这个干净但略显陌生的环境可能会感到有些无从下手。作为一款广受欢迎的企业级Linux发行版Ubuntu Server在安装完成后确实需要一些必要的配置才能发挥其最大效能。本文将带你完成从基础系统优化到Docker环境部署的全流程让你的服务器迅速进入生产就绪状态。1. 系统更新与基础工具安装刚安装好的系统首要任务是确保所有软件包都是最新的。这不仅能够获取最新的功能改进更重要的是修补已知的安全漏洞。sudo apt update sudo apt upgrade -y这个命令会先更新本地软件包索引然后升级所有可更新的软件包。-y参数会自动确认所有升级操作适合在脚本中使用。如果你希望手动确认每个升级可以去掉这个参数。接下来安装一些开发者和系统管理员常用的工具sudo apt install -y vim curl wget net-tools htop tree unzipvim- 比默认的nano更强大的文本编辑器curl/wget- 用于从网络下载文件net-tools- 包含ifconfig等传统网络工具htop- 增强型的系统监控工具tree- 以树状结构显示目录内容unzip- 解压zip压缩包提示如果你更喜欢其他文本编辑器如nano或emacs可以相应替换vim。但熟悉vim对于Linux系统管理非常有帮助。2. SSH安全加固SSH是管理远程服务器的首要工具也是攻击者经常尝试入侵的入口。以下配置可以显著提高SSH服务的安全性。首先备份原始配置文件sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak然后编辑SSH配置文件sudo vim /etc/ssh/sshd_config找到并修改以下参数Port 2222 # 改为非标准端口 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes这些修改的含义更改默认端口减少自动化扫描攻击禁止root登录强制使用普通用户登录后再切换禁用密码认证仅允许更安全的密钥认证启用公钥认证使用SSH密钥对进行身份验证应用更改前请确保你已经在本地生成SSH密钥对ssh-keygen将公钥上传到服务器ssh-copy-id -p 22 userserver测试密钥登录是否正常工作确认无误后重启SSH服务sudo systemctl restart sshd重要在关闭当前SSH会话前务必新开一个终端测试新配置是否生效避免被锁在服务器外。3. 网络配置优化生产环境服务器通常需要静态IP地址以确保服务的稳定性。Ubuntu Server 22.04使用netplan进行网络配置。查看当前网络接口ip a编辑netplan配置文件文件名可能略有不同sudo vim /etc/netplan/00-installer-config.yaml示例配置根据你的网络环境调整network: version: 2 renderer: networkd ethernets: ens33: dhcp4: no addresses: [192.168.1.100/24] routes: - to: default via: 192.168.1.1 nameservers: addresses: [8.8.8.8, 1.1.1.1]应用配置sudo netplan apply验证配置ip a ping -c 4 google.com4. 时区与时间同步准确的系统时间对于日志分析、证书验证等操作至关重要。配置NTP服务确保时间同步设置时区sudo timedatectl set-timezone Asia/Shanghai安装并配置chrony比默认ntp更精确sudo apt install -y chrony sudo systemctl enable --now chrony验证时间同步状态chronyc tracking timedatectl5. 防火墙配置Ubuntu自带的UFWUncomplicated Firewall提供了简单易用的防火墙管理接口。基本配置步骤sudo ufw allow 2222/tcp # 允许自定义SSH端口 sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw enable查看规则sudo ufw status numbered如果需要删除某条规则sudo ufw delete 2 # 删除编号为2的规则6. 用户管理与sudo权限遵循最小权限原则为不同任务创建专用用户创建新用户sudo adduser deploy授予sudo权限sudo usermod -aG sudo deploy或者更精细地控制sudo权限sudo visudo在文件末尾添加deploy ALL(ALL) NOPASSWD: /usr/bin/apt, /usr/bin/systemctl这样deploy用户可以在不输入密码的情况下执行apt和systemctl命令。7. 日志与监控配置安装和配置基本监控工具sudo apt install -y fail2ban logrotate配置fail2ban保护SSHsudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo vim /etc/fail2ban/jail.local修改相关参数[sshd] enabled true port 2222 maxretry 3 bantime 1h重启服务sudo systemctl restart fail2ban安装并配置基础监控sudo apt install -y prometheus-node-exporter sudo systemctl enable --now prometheus-node-exporter8. Docker环境部署Docker已经成为现代应用部署的事实标准。在Ubuntu上安装Docker的推荐方法卸载旧版本如有sudo apt remove docker docker-engine docker.io containerd runc设置Docker仓库sudo apt install -y ca-certificates curl gnupg sudo install -m 0755 -d /etc/apt/keyrings curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg sudo chmod ar /etc/apt/keyrings/docker.gpg echo \ deb [arch$(dpkg --print-architecture) signed-by/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \ $(. /etc/os-release echo $VERSION_CODENAME) stable | \ sudo tee /etc/apt/sources.list.d/docker.list /dev/null安装Docker引擎sudo apt update sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin验证安装sudo docker run hello-world将用户加入docker组避免每次使用sudosudo usermod -aG docker $USER newgrp docker9. Docker Compose安装虽然Docker现在包含compose插件但独立版本有时更方便下载最新版本替换为当前最新版本号DOCKER_CONFIG${DOCKER_CONFIG:-$HOME/.docker} mkdir -p $DOCKER_CONFIG/cli-plugins curl -SL https://github.com/docker/compose/releases/download/v2.23.0/docker-compose-linux-x86_64 -o $DOCKER_CONFIG/cli-plugins/docker-compose chmod x $DOCKER_CONFIG/cli-plugins/docker-compose验证安装docker compose version10. 系统性能调优最后是一些可选的性能优化配置调整swappiness减少交换空间使用echo vm.swappiness10 | sudo tee -a /etc/sysctl.conf sudo sysctl -p调整文件描述符限制echo * soft nofile 65535 | sudo tee -a /etc/security/limits.conf echo * hard nofile 65535 | sudo tee -a /etc/security/limits.conf对于生产服务器可能还需要考虑配置日志轮转设置自动安全更新配置备份策略安装监控系统如PrometheusGrafana设置警报通知完成以上所有配置后你的Ubuntu Server 22.04系统已经具备了安全、稳定运行生产工作负载的基础环境。根据具体应用需求你可能还需要安装特定的数据库、Web服务器或其他中间件。