17. 安装 Webmin

Webmin 是基于 Web 的 Linux 配置工具。它像一个中央系统，用于配置各种系统设置，比如用户、磁盘分配、服务以及 HTTP 服务器、Apache、MySQL 等的配置。

# wget http://prdownloads.sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm
# rpm -ivh webmin-*.rpm

安装 Webmin

安装完 webmin 后，你会在终端上得到一个消息，提示你用 root 密码在端口 10000 登录你的主机 (http://ip-address:10000)。 如果运行的是无用户界面服务器你可以转发端口然后从有用户界面的机器上访问它。（LCTT 译注：无用户界面[headless]服务器指没有监视器和鼠标键盘等外设的服务器，在此次场景，你可以用其他有显示器和键盘鼠标的机器上访问它。）

18. 启用第三方库

添加不受信任的库并不是一个好主意，尤其是在生产环境中，这可能导致致命的问题。但仅作为例子在这里我们会添加一些社区证实可信任的库，以安装第三方工具和软件包。

为企业版 Linux（EPEL）库添加额外的软件包。

# yum install epel-release

添加社区企业版 Linux （Community Enterprise Linux）库：

# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm

安装 Epel 库

注意！ 添加第三方库的时候尤其需要注意。

19. 安装 7-zip 工具

在最小化安装 CentOS 时你并没有获得类似 unzip 或者 untar 的工具。我们可以选择根据需要来安装每个工具，或一个能处理所有格式的工具。7-zip 就是一个能压缩和解压所有已知类型文件的工具。

# yum install p7zip

安装 7zip 工具

注意: 该软件包从 Fedora EPEL 7 的库中下载和安装。

20. 安装 NTFS-3G 驱动

NTFS-3G，一个很小但非常有用的 NTFS 驱动，在大部分类 UNIX 发行版上都可用。它对于挂载和访问 Windows NTFS 文件系统很有用。尽管也有其它可用的替代品，比如 Tuxera，但 NTFS-3G 是使用最广泛的。

# yum install ntfs-3g

安装 NTFS-3G 用于挂载 Windows 分区

ntfs-3g 安装完成之后，你可以使用以下命令挂载 Windows NTFS 分区（我的 Windows 分区是 /dev/sda5）。

# mount -ro ntfs-3g /dev/sda5 /mnt
# cd /mnt
# ls -l

21. 安装 Vsftpd FTP 服务器

VSFTPD 表示 Very Secure File Transfer Protocol Daemon，是用于类 UNIX 系统的 FTP 服务器。它是现今最高效和安全的 FTP 服务器之一。

# yum install vsftpd

安装 Vsftpd FTP

编辑配置文件 ‘/etc/vsftpd/vsftpd.conf’ 用于保护 vsftpd。

# vi /etc/vsftpd/vsftpd.conf

编辑一些值并使其它行保留原样，除非你知道自己在做什么。

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

你也可以更改端口号，记得让 vsftpd 端口通过防火墙。

# firewall-cmd --add-port=21/tcp
# firewall-cmd --reload

下一步重启 vsftpd 并启用开机自动启动。

# systemctl restart vsftpd
# systemctl enable vsftpd

22. 安装和配置 sudo

sudo 通常被称为 super do 或者 suitable user do，是一个类 UNIX 操作系统中用其它用户的安全权限执行程序的软件。让我们来看看怎样配置 sudo。

# visudo

这会打开 /etc/sudoers 并进行编辑

sudoers 文件

1. 给一个已经创建好的用户（比如 tecmint）赋予所有权限（等同于 root）。

tecmint   ALL=(ALL)    ALL

2. 如果给一个已经创建好的用户（比如 tecmint）赋予除了重启和关闭服务器以外的所有权限（等同于 root）。

首先，再一次打开文件并编辑如下内容：

cmnd_Alias nopermit = /sbin/shutdown, /sbin/reboot

然后，用逻辑操作符（!）添加该别名。

tecmint   ALL=(ALL)    ALL,!nopermit

3. 如果准许一个组（比如 debian）运行一些 root 权限命令，比如（增加或删除用户）。

cmnd_Alias permit = /usr/sbin/useradd, /usr/sbin/userdel

然后，给组 debian 增加权限。

debian ALL=(ALL) permit

23. 安装并启用 SELinux

SELinux 表示 Security-Enhanced Linux，是内核级别的安全模块。

# yum install selinux-policy

安装 SElinux 策略

查看 SELinux 当前模式。

# getenforce

查看 SELinux 模式

输出是 Enforcing，意味着 SELinux 策略已经生效。

如果需要调试，可以临时设置 selinux 模式为允许。不需要重启。

# setenforce 0

调试完了之后再次设置 selinux 为强制模式，无需重启。

# setenforce 1

（LCTT 译注：在生产环境中，SELinux 固然会提升安全，但是也确实会给应用部署和运行带来不少麻烦。具体是否部署，需要根据情况而定。）

24. 安装 Rootkit Hunter

Rootkit Hunter，简写为 RKhunter，是在 Linux 系统中扫描 rootkits 和其它可能有害攻击的程序。

# yum install rkhunter

安装 Rootkit Hunter

在 Linux 中，从脚本文件以计划作业的形式运行 rkhunter 或者手动扫描有害攻击。

# rkhunter --check

扫描 rootkits

RootKit 扫描结果

via: http://www.tecmint.com/things-to-do-after-minimal-rhel-centos-7-installation/4/

作者：Avishek Kumar 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

无论你是在网站托管业务，还是在自己的VPS上运行几个网站，你总会有需要显示访客统计信息，例如前几的访客、访问请求的文件（无论动态或者静态）、所用的带宽、客户端的浏览器，和访问的来源网站，等等。

GoAccess 是一款用于Apache或者Nginx的命令行日志分析器和交互式查看器。使用这款工具，你不仅可以浏览到之前提及的相关数据，还可以通过分析网站服务器日志来进一步挖掘数据 - 而且这一切都是在一个终端窗口实时输出的。由于今天的大多数web服务器都使用Debian的衍生版或者基于RedHat的发行版来作为底层操作系统，所以本文中我告诉你如何在Debian和CentOS中安装和使用GoAccess。

在Linux系统安装GoAccess

在Debian，Ubuntu及其衍生版本，运行以下命令来安装GoAccess：

# aptitude install goaccess 

在CentOS中，你将需要使你的EPEL 仓库可用然后执行以下命令：

# yum install goaccess

在Fedora，同样使用yum命令：

# yum install goaccess 

如果你想从源码安装GoAccess来使用更多功能（例如 GeoIP 定位功能），需要在你的操作系统安装必需的依赖包，然后按以下步骤进行：

# wget http://tar.goaccess.io/goaccess-0.8.5.tar.gz   
# tar -xzvf goaccess-0.8.5.tar.gz
# cd goaccess-0.8.5/
# ./configure --enable-geoip
# make
# make install 

以上安装的版本是 0.8.5，但是你也可以在该软件的网站下载页确认是否是最新版本。

由于GoAccess不需要后续的配置，一旦安装你就可以马上使用。

运行 GoAccess

开始使用GoAccess，只需要对它指定你的Apache访问日志。

对于Debian及其衍生版本：

# goaccess -f /var/log/apache2/access.log

基于红帽的发行版：

# goaccess -f /var/log/httpd/access_log 

当你第一次启动GoAccess，你将会看到如下的屏幕中选择日期和日志格式。正如前面所述，你可以按空格键进行选择，并按F10确认。至于日期和日志格式，你可能需要参考Apache 文档来刷新你的记忆。

在这个例子中，选择常见日志格式（Common Log Format(CLF)）：

然后按F10 确认。你将会从屏幕上看到统计数据。为了简洁起见，这里只显示了首部，也就是日志文件的摘要，如下图所示：

通过 GoAccess来浏览网站服务器统计数据

你可以按向下的箭头滚动页面，你会发现以下区域，它们是按请求排序的。这里提及的目录顺序可能会根据你的发行版或者你所选的安装方式（从源和库）不同而不同：

1. 每天唯一访客（来自同样IP、同一日期和同一浏览器的请求被认为是是唯一访问）

2. 请求的文件（网页URL）

3. 请求的静态文件（例如，.png文件，.js文件等等）
4. 来源的URLs（每一个URL请求的出处）
5. HTTP 404 未找到的响应代码

6. 操作系统
7. 浏览器
8. 主机地址（客户端IP地址）

9. HTTP 状态代码

10. 前几位的来源站点
11. 来自谷歌搜索引擎的前几位的关键字

如果你想要检查已经存档的日志，你可以通过管道将它们发送给GoAccess，如下：

在Debian及其衍生版本：

# zcat -f /var/log/apache2/access.log* | goaccess 

在基于红帽的发行版：

# cat /var/log/httpd/access* | goaccess 

如果你需要上述部分的详细报告（1至11项），直接按下其序号再按O（大写o），就可以显示出你需要的详细视图。下面的图像显示5-O的输出（先按5，再按O）

如果要显示GeoIP位置信息，打开主机部分的详细视图，如前面所述，你将会看到正在请求你的服务器的客户端IP地址所在的位置。

如果你的系统还不是很忙碌，以上提及的章节将不会显示大量的信息，但是这种情形可以通过在你网站服务器越来越多的请求发生改变。

保存用于离线分析的报告

有时候你不想每次都实时去检查你的系统状态，可以保存一份在线的分析文件或打印出来。要生成一个HTML报告，只需要通过之前提到GoAccess命令，将输出来重定向到一个HTML文件即可。然后，用web浏览器来将这份报告打开即可。

# zcat -f /var/log/apache2/access.log* | goaccess > /var/www/webserverstats.html

一旦报告生成，你将需要点击展开的链接来显示每个类别详细的视图信息：

可以查看youtube视频：https://youtu.be/UVbLuaOpYdg 。

正如我们通过这篇文章讨论，GoAccess是一个非常有价值的工具，它能给系统管理员实时提供可视的HTTP 统计分析。虽然GoAccess的默认输出是标准输出，但是你也可以将他们保存到JSON，HTML或者CSV文件。这种转换可以让 GoAccess在监控和显示网站服务器的统计数据时更有用。

via: http://xmodulo.com/interactive-apache-web-server-log-analyzer-linux.html

作者：Gabriel Cánepa 译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

7. 安装 PHP

PHP 是用于 web 基础服务的服务器端脚本语言。它也经常被用作通用编程语言。在最小化安装的 CentOS 中安装 PHP：

# yum install php

安装完 php 之后，确认重启 Apache 服务以便在 Web 浏览器中渲染 PHP。

# systemctl restart httpd.service

下一步，通过在 Apache 文档根目录下创建下面的 php 脚本验证 PHP。

# echo -e "<?php\nphpinfo();\n?>"  > /var/www/html/phpinfo.php

现在在 Linux 命令行中查看我们刚才创建的 PHP 文件(phpinfo.php)。

# php /var/www/html/phpinfo.php
或者
# links http://127.0.0.1/phpinfo.php

验证 PHP

8. 安装 MariaDB 数据库

MariaDB 是 MySQL 的一个分支。RHEL 以及它的衍生版已经从 MySQL 迁移到 MariaDB。这是一个主流的数据库管理系统，也是一个你必须拥有的工具。不管你在配置怎样的服务器，或迟或早你都会需要它。在最小化安装的 CentOS 上安装 MariaDB，如下所示：

# yum install mariadb-server mariadb

安装 MariaDB 数据库

启动 MariaDB 并配置它开机时自动启动。

# systemctl start mariadb.service
# systemctl enable mariadb.service

允许 mysql(mariadb) 服务通过防火墙（LCTT 译注：如果你的 MariaDB 只用在本机，则务必不要设置防火墙允许通过，使用 UNIX Socket 连接你的数据库；如果需要在别的服务器上连接数据库，则尽量使用内部网络，而不要将数据库服务暴露在公开的互联网上。）

# firewall-cmd –add-service=mysql

现在是时候确保 MariaDB 服务器安全了（LCTT 译注：这个步骤主要是设置 mysql 管理密码）。

# /usr/bin/mysql_secure_installation

保护 MariaDB 数据库

请阅读:

• 在 CentOS 7.0 上安装 LAMP (Linux, Apache, MariaDB, PHP/PhpMyAdmin)
• 在 CentOS 7.0 上创建 Apache 虚拟主机

9. 安装和配置 SSH 服务器

SSH 即 Secure Shell，是 Linux 远程管理的默认协议。 SSH 是随最小化 CentOS 服务器中安装运行的最重要的软件之一。

检查当前已安装的 SSH 版本。

# SSH -V

检查 SSH 版本

使用更安全的 SSH 协议，而不是默认的协议，并更改端口号进一步加强安全。编辑 SSH 的配置文件 ‘/etc/ssh/ssh\_config’。

去掉下面行的注释或者从协议行中删除 1，然后行看起来像这样（LCTT 译注： SSH v1 是过期废弃的不安全协议）：

# Protocol 2,1 (原来)
Protocol 2 (现在)

这个改变强制 SSH 使用 协议 2，它被认为比协议 1 更安全，同时也确保在配置中更改端口号 22 为其它。

保护 SSH 登录

取消 SSH 中的‘root login’， 只允许通过普通用户账号登录后才能使用 su 切换到 root，以进一步加强安全。请打开并编辑配置文件 ‘/etc/ssh/sshd\_config’ 并更改 PermitRootLogin yes 为 PermitRootLogin no。

# PermitRootLogin yes (原来) 
PermitRootLogin no (现在)

取消 SSH Root 直接登录

最后，重启 SSH 服务启用更改。

# systemctl restart sshd.service

请查看:

• 加密和保护 SSH 服务器的 5 个最佳实践
• 5 个简单步骤实现使用 SSH Keygen 无密码登录 SSH
• 在 PuTTY 中实现 “无密码 SSH 密钥验证”

10. 安装 GCC (GNU 编译器集)

GCC 即 GNU 编译器集，是一个 GNU 项目开发的支持多种编程语言的编译系统（LCTT 译注：在你需要自己编译构建软件时需要它）。在最小化安装的 CentOS 没有默认安装。运行下面的命令安装 gcc 编译器。

# yum install gcc

在 CentOS 上安装 GCC

检查安装的 gcc 版本。

# gcc --version

检查 GCC 版本

11. 安装 Java

Java是一种通用的基于类的，面向对象的编程语言。在最小化 CentOS 服务器中没有默认安装（LCTT 译注：如果你没有任何 Java 应用，可以不用装它）。按照下面命令从库中安装 Java。

# yum install java

安装 Java

检查安装的 Java 版本。

# java -version

检查 Java 版本

via: http://www.tecmint.com/things-to-do-after-minimal-rhel-centos-7-installation/2/

作者：Avishek Kumar 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

CentOS 是一个工业标准的 Linux 发行版，是红帽企业版 Linux 的衍生版本。你安装完后马上就可以使用，但是为了更好地使用你的系统，你需要进行一些升级、安装新的软件包、配置特定服务和应用程序等操作。

这篇文章介绍了 “安装完 RHEL/CentOS 7 后需要做的 30 件事情”。阅读帖子的时候请先完成 RHEL/CentOS 最小化安装，这是首选的企业和生产环境。如果还没有，你可以按照下面的指南，它会告诉你两者的最小化安装方法。

• 最小化安装 CentOS 7
• 最小化安装 RHEL 7

我们会基于工业标准的需求来介绍以下列出的这些重要工作。我们希望这些东西在你配置服务器的时候能有所帮助。

1. 注册并启用红帽订阅
2. 使用静态 IP 地址配置网络
3. 设置服务器的主机名称
4. 更新或升级最小化安装的 CentOS
5. 安装命令行 Web 浏览器
6. 安装 Apache HTTP 服务器
7. 安装 PHP
8. 安装 MariaDB 数据库
9. 安装并配置 SSH 服务器
10. 安装 GCC (GNU 编译器集)
11. 安装 Java
12. 安装 Apache Tomcat
13. 安装 Nmap 检查开放端口
14. 配置防火墙
15. 安装 Wget
16. 安装 Telnet
17. 安装 Webmin
18. 启用第三方库
19. 安装 7-zip 工具
20. 安装 NTFS-3G 驱动
21. 安装 Vsftpd FTP 服务器
22. 安装和配置 sudo
23. 安装并启用 SELinux
24. 安装 Rootkit Hunter
25. 安装 Linux Malware Detect (LMD)
26. 用 Speedtest-cli 测试服务器带宽
27. 配置 Cron 作业
28. 安装 Owncloud
29. 启用 VirtualBox 虚拟化
30. 用密码保护 GRUB

（LCTT 译注：关于 CentOS/RHEL 7的更多信息，请参考专题：http://www.linux.cn/topic-centos7.html ）

1. 注册并启用红帽订阅

RHEL 7 最小化安装完成后，就应该注册并启用系统红帽订阅库， 并执行一个完整的系统更新。这只当你有一个可用的红帽订阅时才能有用。你要注册才能启用官方红帽系统库，并时不时进行操作系统更新。（LCTT 译注：订阅服务是收费的）

在下面的指南中我们已经包括了一个如何注册并激活红帽订阅的详细说明。

• 在 RHEL 7 中注册并启用红帽订阅

注意: 这一步仅适用于有一个有效订阅的红帽企业版 Linux。如果你用的是 CentOS 服务器，请查看后面的章节。

2. 使用静态 IP 地址配置网络

你第一件要做的事情就是为你的 CentOS 服务器配置静态 IP 地址、路由以及 DNS。我们会使用 ip 命令代替 ifconfig 命令。当然，ifconfig 命令对于大部分 Linux 发行版来说还是可用的，还能从默认库安装。

# yum install net-tools             [它提供 ifconfig 工具，如果你不习惯 ip 命令，还可以使用它]

（LCTT 译注：关于 ip 命令的使用，请参照：http://www.linux.cn/article-3631-1.html ）

但正如我之前说，我们会使用 ip 命令来配置静态 IP 地址。所以，确认你首先检查了当前的 IP 地址。

# ip addr show

现在用你的编辑器打开并编辑文件 /etc/sysconfig/network-scripts/ifcfg-enp0s3 （LCTT 译注：你的网卡名称可能不同，如果希望修改为老式网卡名称，参考：http://www.linux.cn/article-4045-1.html ）。这里，我使用 vi 编辑器，另外你要确保你是 root 用户才能保存更改。

# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3

我们会编辑文件中的四个地方。注意下面的四个地方并保证不碰任何其它的东西。也保留双引号，在它们中间输入你的数据。

IPADDR = "[在这里输入你的静态 IP]"
GATEWAY = "[输入你的默认网关]"
DNS1 = "[你的DNS 1]"
DNS2 = "[你的DNS 2]"

更改了 ‘ifcfg-enp0s3’ 之后，它看起来像下面的图片。注意你的 IP，网关和 DNS 可能会变化，请和你的 ISP(译者注：互联网服务提供商，即给你提供接入的服务的电信或 IDC) 确认。保存并退出。

网络详情

重启网络服务并检查 IP 是否和分配的一样。如果一切都顺利，用 Ping 查看网络状态。

# service network restart

重启网络服务

重启网络后，确认检查了 IP 地址和网络状态。

# ip addr show
# ping -c4 google.com

验证 IP 地址

检查网络状态

（LCTT 译注：关于设置静态 IP 地址的更多信息，请参照：http://www.linux.cn/article-3977-1.html ）

3. 设置服务器的主机名称

下一步是更改 CentOS 服务器的主机名称。查看当前分配的主机名称。

# echo $HOSTNAME

查看系统主机名称

要设置新的主机名称，我们需要编辑 ‘/etc/hostsname’ 文件并用想要的名称替换旧的主机名称。

# vi /etc/hostname

在 CentOS 中设置主机名称

设置完了主机名称之后，务必注销后重新登录确认主机名称。登录后检查新的主机名称。

$ echo $HOSTNAME

确认主机名称

你也可以用 ‘hostname’ 命令查看你当前的主机名。

$ hostname

（LCTT 译注：关于设置静态、瞬态和灵活主机名的更多信息，请参考：http://www.linux.cn/article-3937-1.html ）

4. 更新或升级最小化安装的 CentOS

这样做除了更新安装已有的软件最新版本以及安全升级，不会安装任何新的软件。总的来说更新（update）和升级（upgrade）是相同的，除了事实上 升级 = 更新 + 更新时进行废弃处理。

# yum update && yum upgrade

更新最小化安装的 CentOS 服务器

重要: 你也可以运行下面的命令，这不会弹出软件更新的提示，你也就不需要输入 ‘y’ 接受更改。

然而，查看服务器上会发生的变化总是一个好主意，尤其是在生产中。因此使用下面的命令虽然可以为你自动更新和升级，但并不推荐。

# yum -y update && yum -y upgrade

5. 安装命令行 Web 浏览器

大部分情况下，尤其是在生产环境中，我们通常用没有 GUI 的命令行安装 CentOS，在这种情况下我们必须有一个能通过终端查看网站的命令行浏览工具。为了实现这个目的，我们打算安装名为 ‘links’ 的著名工具。

# yum install links

Links: 命令行 Web 浏览器

请查看我们的文章 用 links 工具命令行浏览 Web 了解用 links 工具浏览 web 的方法和例子。

6. 安装 Apache HTTP 服务器

不管你因为什么原因使用服务器，大部分情况下你都需要一个 HTTP 服务器运行网站、多媒体、用户端脚本和很多其它的东西。

# yum install httpd

安装 Apache 服务器

如果你想更改 Apache HTTP 服务器的默认端口号(80)为其它端口，你需要编辑配置文件 ‘/etc/httpd/conf/httpd.conf’ 并查找以下面开始的行：

LISTEN 80 

把端口号 ‘80’ 改为其它任何端口(例如 3221)，保存并退出。

更改 Apache 端口

增加刚才分配给 Apache 的端口通过防火墙，然后重新加载防火墙。

允许 http 服务通过防火墙(永久)。

# firewall-cmd –add-service=http

允许 3221 号端口通过防火墙(永久)。

# firewall-cmd –permanent –add-port=3221/tcp

重新加载防火墙。

# firewall-cmd –reload

（LCTT 译注：关于 firewall 的进一步使用，请参照：http://www.linux.cn/article-4425-1.html ）

完成上面的所有事情之后，是时候重启 Apache HTTP 服务器了，然后新的端口号才能生效。

# systemctl restart httpd.service

现在添加 Apache 服务到系统层使其随系统自动启动。

# systemctl start httpd.service
# systemctl enable httpd.service

（LCTT 译注：关于 systemctl 的进一步使用，请参照：http://www.linux.cn/article-3719-1.html ）

如下图所示，用 links 命令行工具 验证 Apache HTTP 服务器。

# links 127.0.0.1

验证 Apache 状态

via: http://www.tecmint.com/things-to-do-after-minimal-rhel-centos-7-installation/

作者：Avishek Kumar 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

这是一个关于怎样在你的 CentOS 7 上安装配置 VNC 服务的教程。当然这个教程也适合 RHEL 7 。在这个教程里，我们将学习什么是 VNC 以及怎样在 CentOS 7 上安装配置 VNC 服务器。

我们都知道，作为一个系统管理员，大多数时间是通过网络管理服务器的。在管理服务器的过程中很少会用到图形界面，多数情况下我们只是用 SSH 来完成我们的管理任务。在这篇文章里，我们将配置 VNC 来提供一个连接我们 CentOS 7 服务器的方法。VNC 允许我们开启一个远程图形会话来连接我们的服务器，这样我们就可以通过网络远程访问服务器的图形界面了。

VNC 服务器是一个自由开源软件，它可以让用户可以远程访问服务器的桌面环境。另外连接 VNC 服务器需要使用 VNC viewer 这个客户端。

一些 VNC 服务器的优点：

• 远程的图形管理方式让工作变得简单方便。
• 剪贴板可以在 CentOS 服务器主机和 VNC 客户端机器之间共享。
• CentOS 服务器上也可以安装图形工具，让管理能力变得更强大。
• 只要安装了 VNC 客户端，通过任何操作系统都可以管理 CentOS 服务器了。
• 比 ssh 图形转发和 RDP 连接更可靠。

那么，让我们开始安装 VNC 服务器之旅吧。我们需要按照下面的步骤一步一步来搭建一个可用的 VNC。

首先，我们需要一个可用的桌面环境（X-Window），如果没有的话要先安装一个。

注意：以下命令必须以 root 权限运行。要切换到 root ，请在终端下运行“sudo -s”，当然不包括双引号（“”）

1. 安装 X-Window

首先我们需要安装 X-Window，在终端中运行下面的命令，安装会花费一点时间。

# yum check-update
# yum groupinstall "X Window System"

#yum install gnome-classic-session gnome-terminal nautilus-open-terminal control-center liberation-mono-fonts

### 设置默认启动图形界面
# unlink /etc/systemd/system/default.target
# ln -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target

# reboot

在服务器重启之后，我们就有了一个工作着的 CentOS 7 桌面环境了。

现在，我们要在服务器上安装 VNC 服务器了。

2. 安装 VNC 服务器

现在要在我们的 CentOS 7 上安装 VNC 服务器了。我们需要执行下面的命令。

# yum install tigervnc-server -y

3. 配置 VNC

然后，我们需要在 /etc/systemd/system/ 目录里创建一个配置文件。我们可以将 /lib/systemd/sytem/[email protected] 拷贝一份配置文件范例过来。

# cp /lib/systemd/system/[email protected] /etc/systemd/system/vncserver@:1.service

接着我们用自己最喜欢的编辑器（这儿我们用的 nano ）打开 /etc/systemd/system/vncserver@:1.service ，找到下面这几行，用自己的用户名替换掉 。举例来说，我的用户名是 linoxide 所以我用 linoxide 来替换掉 ：

ExecStart=/sbin/runuser -l <USER> -c "/usr/bin/vncserver %i"
PIDFile=/home/<USER>/.vnc/%H%i.pid

替换成

ExecStart=/sbin/runuser -l linoxide -c "/usr/bin/vncserver %i"
PIDFile=/home/linoxide/.vnc/%H%i.pid

如果是 root 用户则

ExecStart=/sbin/runuser -l root -c "/usr/bin/vncserver %i"
PIDFile=/root/.vnc/%H%i.pid

好了，下面重启 systemd 。

# systemctl daemon-reload

最后还要设置一下用户的 VNC 密码。要设置某个用户的密码，必须要有能通过 sudo 切换到用户的权限，这里我用 linoxide 的权限，执行“su linoxide”就可以了。

# su linoxide
$ sudo vncpasswd

确保你输入的密码多于6个字符

4. 开启服务

用下面的命令（永久地）开启服务：

$ sudo systemctl enable vncserver@:1.service

启动服务。

$ sudo systemctl start vncserver@:1.service

5. 防火墙设置

我们需要配置防火墙来让 VNC 服务正常工作。

$ sudo firewall-cmd --permanent --add-service vnc-server
$ sudo systemctl restart firewalld.service

现在就可以用 IP 和端口号（LCTT 译注：例如 192.168.1.1:1 ，这里的端口不是服务器的端口，而是视 VNC 连接数的多少从1开始排序）来连接 VNC 服务器了。

6. 用 VNC 客户端连接服务器

好了，现在已经完成了 VNC 服务器的安装了。要使用 VNC 连接服务器，我们还需要一个在本地计算机上安装的仅供连接远程计算机使用的 VNC 客户端。

你可以用像 Tightvnc viewer 和 Realvnc viewer 的客户端来连接到服务器。

要用更多的用户连接，需要创建配置文件和端口，请回到第3步，添加一个新的用户和端口。你需要创建 vncserver@:2.service 并替换配置文件里的用户名和之后步骤里相应的文件名、端口号。请确保你登录 VNC 服务器用的是你之前配置 VNC 密码的时候使用的那个用户名。

VNC 服务本身使用的是5900端口。鉴于有不同的用户使用 VNC ，每个人的连接都会获得不同的端口。配置文件名里面的数字告诉 VNC 服务器把服务运行在5900的子端口上。在我们这个例子里，第一个 VNC 服务会运行在5901（5900 + 1）端口上，之后的依次增加，运行在5900 + x 号端口上。其中 x 是指之后用户的配置文件名 vncserver@:x.service 里面的 x 。

在建立连接之前，我们需要知道服务器的 IP 地址和端口。IP 地址是一台计算机在网络中的独特的识别号码。我的服务器的 IP 地址是96.126.120.92，VNC 用户端口是1。

执行下面的命令可以获得服务器的公网 IP 地址（LCTT 译注：如果你的服务器放在内网或使用动态地址的话，可以这样获得其公网 IP 地址）。

# curl -s checkip.dyndns.org|sed -e 's/.*Current IP Address: //' -e 's/<.*$//'

总结

好了，现在我们已经在运行 CentOS 7 / RHEL 7 的服务器上安装配置好了 VNC 服务器。VNC 是自由开源软件中最简单的一种能实现远程控制服务器的工具，也是一款优秀的 Teamviewer Remote Access 替代品。VNC 允许一个安装了 VNC 客户端的用户远程控制一台安装了 VNC 服务的服务器。下面还有一些经常使用的相关命令。好好玩！

其他命令：

• 关闭 VNC 服务。

# systemctl stop vncserver@:1.service

• 禁止 VNC 服务开机启动。

# systemctl disable vncserver@:1.service

• 关闭防火墙。

# systemctl stop firewalld.service

via: http://linoxide.com/linux-how-to/install-configure-vnc-server-centos-7-0/

作者：Arun Pyasi 译者：boredivan 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

虚拟私有服务器 （VPS）上启用 SSH 服务使得该服务器暴露到互联网中，为黑客攻击提供了机会，尤其是当 VPS 还允许root 直接访问时。VPS 应该为每次 SSH 登录成功尝试配置一个自动的 email 警告。 VPS 服务器的所有者会得到各种 SSH 服务器访问日志的通知，例如登录者、登录时间以及来源 IP 地址等信息。这是一个对于服务器拥有者来说，保护服务器避免未知登录尝试的重要安全关注点。这是因为如果黑客使用暴力破解方式通过 SSH 来登录到你的 VPS 的话，后果很严重。在本文中，我会解释如何在 CentOS 6、 CentOS 7、 RHEL 6 和 RHEL 7上为所有的 SSH 用户登录设置一个 email 警告。

1. 使用root用户登录到你的服务器；
2. 在全局源定义处配置警告（/etc/bashrc），这样就会对 root 用户以及普通用户都生效：

[root@vps ~]# vi /etc/bashrc

将下面的内容加入到上述文件的尾部。

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

3. 你也可以选择性地让警告只对 root 用户生效：

[root@vps ~]# vi .bashrc

将下面的内容添加到/root/.bashrc的尾部：

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

整个配置文件样例：

# .bashrc

# User specific aliases and functions

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

# Source global definitions
if [ -f /etc/bashrc ]; then
        . /etc/bashrc
fi
echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

4. 你也可以选择性地让警告只对特定的普通用户生效（例如 skytech）：

[root@vps ~]# vi /home/skytech/.bashrc

将下面的内容加入到/home/skytech/.bashrc文件尾部：

echo 'ALERT - Root Shell Access (vps.ehowstuff.com) on:' `date` `who` | mail -s "Alert: Root Access from `who | cut -d'(' -f2 | cut -d')' -f1`" [email protected]

via: http://www.ehowstuff.com/how-to-get-email-alerts-for-ssh-login-on-linux-server/

作者：skytech 译者：theo-l 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出