一、配置 root 用户并加入新用户：

1. 使用 root 登录，更改 root 密码：

   # passwd
   

   完成后不要登出系统，创建另一个连接并用新密码尝试登入，即使失败也可以在原来的终端窗口重复以上步骤。

2. 新增一个普通帐号，如 demo，立即设置密码，并加入 wheel 组以便可以使用 sudo 命令。

   # adduser demo
   # passwd demo
   # gpasswd -a demo wheel
   

二、配置 SSH 登录：

• 启用 ssh 公钥认证。

  1. 本机运行以下命令，在 ~/.ssh 下创建私钥 id_rsa 和公钥 id_rsa.pub 文件，可以使用加密短语保护私钥：

     # ssh-keygen
     

     如果文件存在，则说明本机已经创建了公钥和私钥，可能已经用来登录别的 SSH 服务器，跳过这一步。

  2. 将公钥文件 id_rsa.pub 的内容安装至服务器：

  • 方法一，执行命令：

     ```
     # ssh-copy-id demo@<SERVER_IP>
     ```
    

  • 方法二，执行以下命令，创建并编辑 ~/.ssh/authorized_keys 文件：

     ```
     # su - demo
     # mkdir ~/.ssh
     # chmod 700 ~/.ssh
     # nano ~/.ssh/authorized_keys
     ```
    
     在本机打开 ~/.ssh/id_rsa.pub 文件，复制其内容，粘贴在此处（一行），然后保存，改变其权限设置：
    
     ```
     # chown -R demo:demo ~/.ssh
     # chmod 700 ~/.ssh
     # chmod 600 ~/.ssh/authorized_keys
     ```
    

• 禁止 root 登录，使用非常规 ssh 端口，禁用密码验证或启用双重验证。

  编辑文件 /etc/ssh/sshd_config：

  # nano /etc/ssh/sshd_config
  

  修改以下内容：

  • 将 #PermitRootLogin no 改为 PermitRootLogin yes，以便禁止 root 用户使用 ssh 登录。
  • 将 #port 22 改为 port 17012 或其它端口。
  • 增加行 AuthenticationMethods publickey,password 以启用双重验证，或者修改 PasswordAuthentication yes 为 PasswordAuthentication no 以禁用密码验证。

• 重启 ssh 服务。

  # systemctl restart sshd.service 
  

• 不要登出系统，创建另一个连接并用新端口、用户、密码(或私钥)尝试登入，即使失败也可以在原来的终端窗口重复以上步骤。

  # ssh -p 17012 demo@<SERVER_IP>
  

三、更新全部软件：

执行命令：

```
# yum -y update
```

四、安装防火墙：

• 执行以下命令，安装并启动防火墙（防火墙可能已安装）：

  # yum install firewalld
  # systemctl start firewalld
  

• 允许新的 ssh 端口：

  • 方法一：

    # cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
    # nano /etc/firewalld/services/ssh.xml
    

  将 <port protocol="tcp" port="22"/> 改为 <port protocol="tcp" port="17012"/>。

  • 方法二：

    # firewall-cmd --permanent --remove-service=ssh
    # firewall-cmd --zone=public --add-port=17012/tcp --permanent
    

• 使用新的防火墙设置：

  # firewall-cmd --reload
  

五、每日自动更新：

1. 安装软件：

   # yum -y install cronie
   # yum -y install yum-cron
   

2. 修改配置：

   # nano /etc/yum/yum-cron.conf
   

   修改 apply_updates = no 为 apply_updates = yes，
   确认 update_messages = yes，download_updates = yes。

六、设置自动同步时间：

1. 设置时区：

   timedatectl set-timezone <REGION/TIMEZONE>
   

   可以使用如下命令列出可用事情：

   timedatectl list-timezones
   

   如下命令显示当前时区：

   timedatectl
   

2. 安装 NTP 服务并允许同步时间：

   yum install ntp
   systemctl start ntpd
   systemctl enable ntpd
   

六、创建交换文件：

1. 创建交换文件（大小一般为内存的两倍）：

   fallocate -l 2G /swapfile
   

   或

   dd if=/dev/zero of=/swapfile count=2048 bs=1M
   

2. 启用交换文件。

   chmod 600 /swapfile
   mkswap /swapfile
   swapon /swapfile
   

3. 重启系统后任然启用交换文件：

   执行

   sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'
   

   或者编辑 /etc/fstab 文件：

   nano /etc/fstab
   

   在末尾追加下述行并保存：

   /swapfile none swap sw 0 0
   

4. 使用以下命令检查是否已启用交换文件：

   swapon -s
   

七、关机，以便创建一个快照。

sudo poweroff