新服务器做数据库服务器用，如何测试

通过在新服务器上检查这些步骤，您可以确保它们至少具有针对最常见攻击的基本保护。

1 - 用户配置

如果它不是您的操作系统设置的一部分，您要做的第一件事就是更改root密码。这应该是不言而喻的，但在例行服务器设置期间可能会被忽略。密码应至少为8个字符，使用大写和小写字母，数字和符号的组合。如果要使用本地帐户，还应设置密码策略，以指定老化，锁定，历史记录和复杂性要求。在大多数情况下，您应该完全禁用root用户，并为需要提升权限的用户创建具有sudo访问权限的非特权用户帐户。

2 - 网络配置

您需要做的最基本配置之一是通过为服务器分配IP地址和主机名来启用网络连接。对于大多数服务器，您将需要使用静态IP，因此客户端始终可以在同一地址找到资源。如果您的网络使用VLAN，请考虑服务器段的隔离程度以及最适合的位置。如果您不使用IPv6，请将其关闭。设置主机名，域和DNS服务器信息。应使用两个或多个DNS服务器进行冗余，您应该测试nslookup以确保名称解析正常工作。

3 - 软件包管理

据推测，您正在为特定目的设置新服务器，因此如果它们不属于您正在使用的分发版，请确保安装可能需要的任何软件包。这些可以是PHP，MongoDB，ngnix等应用程序包，也可以是pear等支持包。同样，应删除系统上安装的任何无关软件包以缩小服务器占用空间。所有这一切都应该通过您的分销包管理解决方案来完成，例如yum或apt，以便在未来更轻松地进行管理。

4 - 更新安装和配置

一旦在服务器上安装了正确的软件包，就应该确保一切都已更新。不仅包括您安装的软件包，还包括内核和默认软件包。除非您需要特定版本，否则应始终使用最新的生产版本来保证系统的安全。通常，您的包管理解决方案将提供最新的支持版本。您还应该考虑在程序包管理工具中设置自动更新，如果这样做适用于您在此服务器上托管的服务

5 - NTP配置

配置服务器以将其时间同步到NTP服务器。如果您的环境具有这些服务器，则可以是内部NTP 服务器，也可以是可供任何人使用的外部时间服务器。重要的是防止时钟漂移，服务器的时钟偏离实际时间。这可能会导致许多问题，包括在授予访问权限之前测量服务器和身份验证基础结构之间的时间偏差的身份验证问题。这应该是一个简单的调整，但它是可靠基础设施的关键点。

6 - 防火墙和iptables

根据你的发行版，iptables可能已被完全锁定并要求你打开你需要的东西，但无论默认配置如何，你都应该看看它并确保它按照你想要的方式设置。请记住始终使用最小权限原则，并且只打开那些服务器上的服务绝对需要的端口。如果您的服务器位于某种专用防火墙后面，请务必否认所有内容，但也有必要。假设您的iptables /防火墙在默认情况下是限制性的，请不要忘记打开您的服务器完成其工作所需的内容！

7 - 保护SSH

SSH是Linux发行版的主要远程访问方法，因此应该得到适当的保护。您应该远程禁用root的远程SSH功能，即使您禁用了该帐户，以防万一由于某种原因在服务器上启用了root，它仍然无法远程利用。如果您有一组将要连接的固定客户端IP，您还可以将SSH限制为某些IP范围。或者，您可以更改默认的SSH端口以“隐藏”它，但老实说，简单的扫描会向想要找到它的任何人显示新的开放端口。最后，您可以完全禁用密码身份验证，并使用基于证书的身份验证来进一步降低SSH利用的可能性。

8 - 守护程序配置

您已经清理了软件包，但在重新启动时将正确的应用程序设置为自动启动也很重要。务必关闭任何不需要的守护进程。安全服务器的一个关键是尽可能减少活动占用空间，因此可用于攻击的唯一表面区域是应用程序所需的区域。完成此操作后，应尽可能加强剩余服务以确保弹性。

9 - SELinux和进一步硬化

如果您曾经使用过Red Hat发行版，那么您可能熟悉SELinux，这是一种保护系统免受各种操作影响的内核强化工具。SELinux非常善于防止未经授权的使用和访问系统资源。它在打破应用程序方面也很出色，因此请确保在启用SELinux的情况下测试配置，并使用日志确保没有任何合法内容被阻止。除此之外，您还需要研究强化MySQL或Apache等任何应用程序，因为每个应用程序都有一套最佳实践可供遵循。

10 - 日志记录

最后，您应确保已启用所需的日志记录级别，并且您有足够的资源。您最终将对此服务器进行故障排除，因此请立即帮忙，并构建您需要快速解决问题的日志记录结构。大多数软件都具有可配置的日志记录，但您需要一些试验和错误才能在信息不足和过多之间找到适当的平衡点。有许多第三方日志记录工具可以帮助处理从聚合到可视化的所有内容，但是每个环境都需要首先考虑其需求。然后，您可以找到有助于填充它们的工具。

这些步骤中的每一步都需要一些时间来实施，尤其是第一次。但是，通过建立初始服务器配置例程，您可以确保环境中的新计算机具有弹性。如果您的服务器可能是攻击的目标，则不采取任何这些步骤可能会导致相当严重的后果。

做好这些并不能保证足够安全， 但它确实使恶意行为者变得更加困难，并且需要一定程度的技术能力来克服。

这个要看你网络内部路由器的具体设置了，他会根据离服务器最近的路由器的路由表里面的条目来转发数据，AD(管理距离)小的优先。

那你就要在需要转发数据条目（网通数据）的路由器上手动写路由条目了，确认他的AD优先。

查询一下负载分流的相关资料吧，这点我不擅长。

你说的进来，我理解成公网访问内网吧，源地址（公网）1111 目的地址（内网）但是这里不会是你的内网地址如19216811,而是2222，因为NAT已经把19216811转换成了可以在公网上路由寻址的2222

假设你的服务器地址是19216811，它经过nat静态转换成2222 ，数据包返回的源地址仍然是2222，目的为1111， 内网地址是不会路由寻址的。

说的有点绕口，，如果可以的话可以HI我，或者Q40546376继续交流。

网通在线测网速地址：http://speedzzhacn/

网通测速注意事项：

1 测试速度时，请不要访问其它网站或进行下载。

2 如果您的电脑上启动了MSN或者QQ等其它聊天软件，测试速度时，请关闭这些程序，这样测试速度会更准确。

3 如果您是通过代理服务器上网，请确保测试速度时，没有其它电脑上网，建议您将代理服务器内网断开，直接在代理服务器上进行测试。

4 网络测试时，建议您关闭所有其它无关的程序，尽量不做其它操作，保证您的电脑在测试过程中以最高效率运行。

苹果上架要求：要求支持IPV6only(因为阿里云主机没有IPV6only)

运维或后台可通过以下方式来检测服务器是否开启了ipv6通道：

方式1：使用ifconfig查看自己的IP地址是否含有IPv6地址。

方式2查看服务监听的IP中是否有IPv6格式的地址。（netstat -tuln）

开启IPV6:

vim /etc/sysctlconf

vim /etc/modprobed/disable_ipv6conf

vim /etc/sysconfig/network

至此ipv6的服务器端支持已经完成，重启服务器测试是否支持ipv6，重启后, ifconfig查看ipv6的信息，有看到有关IPV6的输出就可以

以上是阿里的ipv6

1查看服务器是否加载ipv6模块

lsmod | grep ipv6

如没有任何回显，则说明没有加载

加载ipv6模块

modprobe ipv6

再次运行lsmod | grep ipv6，如出现回显，则说明ipv6已经正常加载

2修改配置文件启用ipv6

vi /etc/modprobed/ipv6conf

修改options ipv6 disable=0

备注：如果是centos5的系统，配置文件在vi /etc/modprobeconf，注销

alias net-pf-10

alias ipv6 disable=1  这两行

vi /etc/sysconfig/network

添加NETWORKING_IPV6=yes

配置文件修改完成之后，保存退出

然后service network restart  使配置生效

3检查内核是否已经支持ipv6

sysctl -a | grep ipv6 | grep disable

运行以上命令，查看有无回显，若有回显说明内核已经支持ipv6

若没有回显，重启服务器，使内核生效

4开启内核参数支持ipv6

执行上述步骤之后，运行如下命令使内核开启ipv6

sysctl -w netipv6confalldisable_ipv6=0

再次运行sysctl -a | grep ipv6 | grep disable

若参数全部为0，则说明ipv6已经全部支持

5在网卡上配置ipv6地址

以上配置都完成之后，网卡就可以支持ipv6地址了，启用一个试试吧

备注：以上全部步骤，所有修改参数的动作均是临时修改，如果想永久生效，请修改对应的配置文件，如sysctlconf、ifcfg-eth0conf

-------------------------------------

sysctl -p

netipv4tcp_max_tw_buckets = 6000

netipv4ip_local_port_range = 1024 65000

netipv4tcp_tw_recycle = 1

netipv4tcp_tw_reuse = 1

netipv4tcp_syncookies = 1

netcoresomaxconn = 262144

netcorenetdev_max_backlog = 262144

netipv4tcp_max_orphans = 262144

netipv4tcp_max_syn_backlog = 262144

netipv4tcp_synack_retries = 1

netipv4tcp_syn_retries = 1

netipv4tcp_fin_timeout = 1

netipv4tcp_keepalive_time = 30

netipv4tcp_window_scaling = 1

netipv6confalldisable_ipv6 = 0

sysctl -a | grep ipv6 | grep disable

netipv6confalldisable_ipv6 = 0

netipv6confdefaultdisable_ipv6 = 0

netipv6conflodisable_ipv6 = 0

netipv6confeth0disable_ipv6 = 0

最新消息，爱立信与德国电信完成了mmWave毫米波的实验室5G回程测试，速率达到40Gbps、延迟控制在100毫秒内、范围达14公里。据悉，此次使用的设备为爱立信Mini-Link 6352微波产品及6000路由器。

可以预想到未来由于5G的投入使用，服务器的配置，特别是带宽一定是要升级的，“在5G标准下，网络延迟需要小于1毫秒。”如果带宽速率跟不上，就不能称之为5G。不过这还只是测试，距离5G商用还需要一定时间。互 联 先锋的建议是现阶段选择服务器一定要重视服务器的配置，确保可以进行配置升级。