Ubuntu 24.04 Server最小化安装后的5项关键配置：安全与效率优化实战

刚完成Ubuntu 24.04 Server的最小化安装，系统虽然能运行，但距离生产环境或高效开发状态还有不小差距。作为长期使用Linux系统的开发者，我总结了一套必做的安全与效率配置清单，帮你快速搭建稳定可靠的工作环境。

1. SSH安全加固：从第一道防线开始

SSH是服务器管理的生命线，但默认配置存在诸多安全隐患。我们先解决三个核心问题：禁用密码登录、限制root远程访问、更改默认端口。

密钥认证配置步骤：

1. 本地生成密钥对（如果已有可跳过）：

   bash复制ssh-keygen -t ed25519 -C "your_email@example.com"
   

2. 将公钥上传到服务器：

   bash复制ssh-copy-id -i ~/.ssh/id_ed25519.pub username@your_server_ip
   

3. 修改SSH服务端配置：

   bash复制sudo nano /etc/ssh/sshd_config
   

   关键参数修改为：

   code复制Port 2222  # 改为非标准端口
   PermitRootLogin no
   PasswordAuthentication no
   

4. 重启SSH服务并测试：

   bash复制sudo systemctl restart sshd
   # 测试连接
   ssh -p 2222 username@your_server_ip -i ~/.ssh/id_ed25519
   

重要提示：修改端口前确保防火墙已放行新端口，测试连接成功后再关闭原22端口访问

2. 系统源优化：加速软件安装与更新

Ubuntu默认源在国内访问速度较慢，更换为国内镜像源可显著提升效率。以下是主流源的对比：

更换源操作：

bash复制sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak
sudo sed -i 's|http://.*archive.ubuntu.com|https://mirrors.aliyun.com|g' /etc/apt/sources.list
sudo sed -i 's|http://.*security.ubuntu.com|https://mirrors.aliyun.com|g' /etc/apt/sources.list
sudo apt update && sudo apt upgrade -y

3. 基础工具链安装：开发者的瑞士军刀

最小化安装缺少许多实用工具，这些是提高效率的关键：

• 系统监控类：

  bash复制sudo apt install -y htop iotop iftop nmon ncdu
  

• 网络工具包：

  bash复制sudo apt install -y net-tools traceroute telnet dnsutils
  

• 开发辅助工具：

  bash复制sudo apt install -y git curl wget zip unzip tree jq
  

• 文本处理三剑客：

  bash复制sudo apt install -y vim nano bat
  

对于开发环境，建议额外安装：

bash复制sudo apt install -y build-essential python3-pip python3-venv

4. 系统安全基线配置

基础安全加固清单：

1. 防火墙配置（UFW）：

   bash复制sudo ufw allow 2222/tcp  # 放行自定义SSH端口
   sudo ufw enable
   

2. 自动安全更新：

   bash复制sudo apt install -y unattended-upgrades
   sudo dpkg-reconfigure -plow unattended-upgrades
   

3. 关键目录权限加固：

   bash复制sudo chmod 700 /root
   sudo chmod 600 /etc/shadow
   

4. 登录失败限制：

   bash复制sudo apt install -y fail2ban
   sudo systemctl enable --now fail2ban
   

注意：生产环境建议定期进行漏洞扫描和安全审计，可使用OpenVAS等工具

5. 性能调优与系统监控

内核参数优化（/etc/sysctl.conf）：

code复制vm.swappiness=10
net.ipv4.tcp_fin_timeout=30
net.core.somaxconn=1024

应用修改：sudo sysctl -p

安装并配置Prometheus Node Exporter：

bash复制wget https://github.com/prometheus/node_exporter/releases/download/v1.6.1/node_exporter-1.6.1.linux-amd64.tar.gz
tar xvfz node_exporter-*
sudo mv node_exporter-*/node_exporter /usr/local/bin/
sudo useradd -rs /bin/false node_exporter

创建systemd服务：

bash复制sudo nano /etc/systemd/system/node_exporter.service

内容如下：

code复制[Unit]
Description=Node Exporter
After=network.target

[Service]
User=node_exporter
Group=node_exporter
ExecStart=/usr/local/bin/node_exporter

[Install]
WantedBy=multi-user.target

启动服务：

bash复制sudo systemctl daemon-reload
sudo systemctl enable --now node_exporter

现在可以通过http://your_server_ip:9100/metrics访问监控数据，配合Grafana可构建完整的监控看板。