Rocky Linux 9服务器初始化配置实战指南
当你完成Rocky Linux 9的基础安装后,真正的挑战才刚刚开始。一个未经配置的服务器就像未开锋的宝剑,空有潜力却无法发挥真正价值。本文将带你完成从"裸机"到"生产就绪"的关键转变,聚焦于那些容易被忽视却至关重要的初始化步骤。
1. SSH安全加固:守护你的远程管理通道
SSH是服务器管理的生命线,也是黑客最常攻击的入口。Rocky Linux 9默认的SSH配置虽然安全,但未必符合实际运维需求。让我们从几个关键参数开始优化:
首先检查/etc/ssh/sshd_config文件中的基础配置项:
sudo vi /etc/ssh/sshd_config必改参数清单:
PermitRootLogin:建议改为prohibit-password而非简单的yes或no,允许密钥登录但禁止密码登录Port:将默认22端口改为1024-65535之间的随机端口PasswordAuthentication:生产环境应设为no强制使用密钥认证MaxAuthTries:设置为3-5次尝试限制暴力破解
配置完成后需要重启服务生效:
sudo systemctl restart sshd密钥认证设置流程:
- 本地生成密钥对:
ssh-keygen -t ed25519 - 上传公钥到服务器:
ssh-copy-id -p 新端口号 user@server_ip - 测试密钥登录:
ssh -p 新端口号 user@server_ip
重要提示:修改SSH端口后,务必先使用原有终端保持连接测试新配置,避免被锁在服务器外
2. 网络优化:解决虚拟机常见连接问题
无论是VMware还是KVM环境,网络配置不当都会导致后续各种诡异问题。Rocky Linux 9使用NetworkManager管理网络,但传统ifconfig方式依然有效。
桥接模式配置要点:
nmcli con add type ethernet con-name br0 ifname eth0 ip4 192.168.1.100/24 gw4 192.168.1.1 nmcli con mod br0 ipv4.dns "8.8.8.8 1.1.1.1" nmcli con up br0NAT模式常见问题排查:
- 检查VMware虚拟网络编辑器中的NAT设置
- 确认DHCP服务已启用:
sudo dhclient -v - 测试网关连通性:
ping -c 4 网关IP
DNS解析优化方案:
sudo vi /etc/resolv.conf添加可靠的DNS服务器:
nameserver 8.8.8.8 nameserver 223.5.5.5 options timeout:2 attempts:3 rotate网络配置验证工具链:
ip addr show # 查看IP分配 ss -tulnp # 检查端口监听 tracepath baidu.com # 路由追踪3. 系统监控部署:Netdata轻量级方案
监控是运维的"眼睛",Netdata以其轻量和实时性成为Rocky Linux 9的理想选择。安装仅需一条命令:
bash <(curl -Ss https://my-netdata.io/kickstart.sh)安装完成后,通过以下URL访问:
http://你的服务器IP:19999关键监控指标配置:
- 告警阈值设置:编辑
/etc/netdata/health.d/下的配置文件 - 数据保留策略:修改
/etc/netdata/netdata.conf中的history参数 - 插件启用:CPU、内存、磁盘IO等核心插件默认已启用
对于需要长期存储监控数据的场景,可以添加Prometheus node_exporter作为补充:
sudo dnf install golang-github-prometheus-node-exporter sudo systemctl enable --now node_exporter监控指标对比表:
| 工具 | 内存占用 | 数据粒度 | 历史数据 | 告警功能 |
|---|---|---|---|---|
| Netdata | ~15MB | 1秒 | 小时级 | 完善 |
| node_exporter | ~5MB | 15秒 | 依赖Prometheus | 基础 |
4. 系统加固与性能调优
基础安全加固步骤:
- 更新系统:
sudo dnf update -y && sudo reboot - 防火墙配置:
sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --permanent --add-port=你设置的SSH端口/tcp sudo firewall-cmd --reload - SELinux策略检查:
getenforce确保处于Enforcing模式
性能调优参数: 编辑/etc/sysctl.conf添加以下内容:
vm.swappiness = 10 net.core.somaxconn = 4096 fs.file-max = 65536对于数据库服务器,还需要调整内核参数:
echo "kernel.sem=250 32000 100 128" >> /etc/sysctl.conf sysctl -p自动化维护设置:
- 配置日志轮转:
sudo vi /etc/logrotate.conf - 设置自动更新:
sudo dnf install dnf-automatic sudo systemctl enable --now dnf-automatic.timer - 添加监控cron任务:
(crontab -l 2>/dev/null; echo "0 3 * * * /usr/bin/logger 'Daily check'") | crontab -
5. 存储优化与分区管理
Rocky Linux 9在虚拟机环境中常遇到存储性能瓶颈,特别是默认的LVM分区方案可能不适合所有场景。
自定义分区优化建议:
/boot:2GB足够,采用标准分区而非LVMswap:内存<8GB时设为内存1.5倍,>8GB时与内存等大/:至少50GB,采用xfs文件系统- 剩余空间:根据用途挂载为
/data或/var等
查看当前磁盘布局:
lsblk -f df -hT磁盘性能测试方法:
# 测试顺序读写 sudo dd if=/dev/zero of=./testfile bs=1G count=1 oflag=direct # 测试随机IO sudo fio --name=randread --ioengine=libaio --rw=randread --bs=4k --numjobs=4 --size=1G --runtime=60 --time_based --group_reporting对于VMware环境,建议安装open-vm-tools提升性能:
sudo dnf install open-vm-tools sudo systemctl enable --now vmtoolsd6. 实用工具集:提升运维效率
必备CLI工具安装:
sudo dnf install -y epel-release sudo dnf install -y htop ncdu tmux tree jq yum-utils日志分析技巧:
- 实时监控日志:
journalctl -f -u 服务名 - 按时间过滤:
journalctl --since "2024-01-01" --until "2024-01-02" - 错误日志统计:
sudo grep -i error /var/log/messages | cut -d' ' -f5- | sort | uniq -c | sort -nr
网络诊断工具:
- 带宽测试:
iperf3 - 连接追踪:
mtr - 抓包分析:
tcpdump -i eth0 -w capture.pcap
在完成所有这些配置后,建议创建系统快照或模板。在VMware中可以直接创建克隆模板,物理服务器可以使用relax-and-recover工具制作可启动备份。记住,一个好的系统基础配置可以节省后期90%的故障排查时间。
规划模式)
