1. 获取并核对服务器信息
- 拿到服务商提供的控制面板、控制台地址、服务器公网IP、临时root密码或SSH公钥上传入口。
- 核对是否有“高防开关/转发端口/清洗阈值”等高防面板选项,记录客服联系方式和应急流程。
2. 首次登录与安全基础配置
- 使用SSH登录:ssh root@服务器IP(如有端口:ssh -p 端口 root@IP)。
- 修改root密码:passwd;建议创建普通管理员用户并配置sudo:adduser admin && usermod -aG sudo admin。
- 配置SSH密钥登录:在本地生成ssh-keygen,上传公钥到~/.ssh/authorized_keys,禁止密码登录并重启sshd(编辑/etc/ssh/sshd_config:PermitRootLogin no、PasswordAuthentication no)。
3. 更新系统与安装基础软件
- Debian/Ubuntu:apt update && apt upgrade -y;CentOS:yum update -y。
- 安装常用工具:apt install -y nginx certbot curl unzip vim;或yum install -y nginx certbot curl。
- 启动并设置开机自启:systemctl enable --now nginx。
4. 在高防面板完成防护配置
- 在服务商面板开启高防并绑定你的公网IP或使用高防IP段。
- 若服务商提供“清洗转发”模式,确认转发端口(通常80/443)和清洗阈值,启用后会有中转IP或代理IP,记录真实回源IP设置方式。
- 测试清洗:向中转IP发送流量并观察是否被清洗(联系商家协助做模拟攻击测试)。
5. 配置防火墙与更改SSH端口
- 推荐使用ufw(Ubuntu):ufw allow OpenSSH; ufw allow 80/tcp; ufw allow 443/tcp; ufw enable。
- 或使用iptables/firewalld:示例(iptables)iptables -A INPUT -p tcp --dport 你的SSH端口 -j ACCEPT; iptables -A INPUT -p tcp --dport 80 -j ACCEPT; 保存规则。
- 更改SSH端口后在防火墙放行新端口并重启sshd以避免锁死。
6. 部署网站并配置Nginx虚拟主机
- 在/var/www/下创建站点目录并上传代码:/var/www/example.com/html;设置权限chown -R www-data:www-data。
- 新建Nginx配置文件/etc/nginx/sites-available/example.com:示例server块包括server_name、root、location等;启用并测试:ln -s ... && nginx -t && systemctl reload nginx。
- 若通过高防中转,注意配置real_ip模块接收真实客户端IP(见下一段)。
7. 真实IP与反向代理设置
- 高防或CDN通常会把真实IP替换为中转IP,Nginx需开启real_ip模块并添加:set_real_ip_from 中转IP段; real_ip_header X-Forwarded-For;。
- 在Nginx日志格式中使用$http_x_forwarded_for或$remote_addr来确认真实来源。测试:curl -I http://yourdomain --header 'X-Forwarded-For:1.2.3.4'。
8. 域名DNS绑定与TTL设置
- 在域名控制面板添加A记录:主机记录 @ 或 www -> 指向你需要解析到的IP(若使用高防中转,指向高防提供的IP)。
- 设置TTL为600或更低以便快速生效;若使用CNAME指向CDN则按CDN要求配置。
- 使用dig/nslookup检查生效:dig A yourdomain +short。
9. 配置SSL证书与自动续期
- 若能直接对公网IP申请证书并且域名解析指向该IP,可用Certbot自动配置:certbot --nginx -d example.com -d www.example.com。
- 若通过高防中转且不支持直接验证,使用DNS验证或在控制面板申请证书并手动安装。确保证书自动续期:certbot renew --dry-run,并设置定时任务cron。
- 部署完成后访问https://yourdomain 并检查安全锁与证书链。
10. 测试、常见问题排查
- 基本测试命令:curl -I https://yourdomain; nginx -t; systemctl status nginx; tail -f /var/log/nginx/error.log。
- 常见问题:502/504检查上游(php-fpm/后端)与高防转发设置;证书错误检查域名是否正确解析到验证IP;SSH被锁定可通过控制台恢复。
11. 问:高防服务器是否还需要本地防火墙设置?
- 答:是的。本地防火墙(如ufw/iptables)与高防面板互补,可限制不必要端口、限制管理IP白名单并防止内网服务被滥用,建议只开放必要端口并定期审计规则。
12. 问:如何保证Nginx在高防透传时记录真实客户端IP?
- 答:在Nginx配置中启用real_ip模块,添加set_real_ip_from 指定高防中转IP段并使用real_ip_header X-Forwarded-For,然后重载Nginx,这样日志与应用可拿到真实IP。
13. 问:DNS解析后如何快速确认绑定成功与全球生效?
- 答:使用dig +short yourdomain 在不同公共DNS(8.8.8.8, 1.1.1.1)查询,或用在线工具(dnschecker.org)检查多地域解析;若TTL较低,修改后通常几分钟到数小时内生效。
来源:租用日本高防服务器后如何快速完成部署与域名绑定