我的阿里云 ECS 云服务器上原本运行的是 openSUSE 42,是我在官方提供的 openSUSE 13 镜像的基础上升级的,需要手动修改所有软件源的配置文件,总之是很麻烦。

好在 openSUSE 提供的 zypper 软件包管理命令与 YaST 图形化系统管理工具都非常好用,加之人民群众对 SUSE 这款来自德国的 Linux 发行版在品质基因上的推崇,这系统我用了好一阵子。

前几天翻译了几篇关于 Linux 云服务器安全初始化的文章,随后,毅然决定将 ECS 换回 Ubuntu Server 16.04 LTS,并按照最佳实践的建议创建普通用户,采用 SSH key 认证登录,禁用密码登录,同时禁用 root 用户远程登录。

使用 KeePassX 生成并管理密码,把密码这个最薄弱环节做进一步加强。启用 UFW 防火墙,除必须使用的端口外禁用其他所有端口的入站请求。

GetNAS 网站以动态请求为主,所以我不再迷信 Nginx 的高并发能力(处理静态资源),换回 Apache,请求超时问题再没有出现。

GetNAS 原来使用的赛门铁克 SSL 证书被换成 Let's encrypt,全自动配置方便的不止一点点。

经过这一系列的改动,我对 ECS 的系统安全增添了不少自信,虽然仍旧存在被偷袭的风险,起码能保证比以前安全。

对 ECS 服务器的这一系列变更用了一上午时间,全部使用 Ubuntu 系统自带的命令,所有软件包均使用 APT 进行安装管理,全程感受就是两个字“清爽”。

不用再纠结对比哪个 web 服务器软件的性能更好,也不用再纠结如何去做性能优化,遵照广泛认同的设置规则,信任软件包维护者提供的默认配置。

没有自己的干预,服务器似乎运行的更稳定,网站访问速度似乎也更快了。