RHEL/CentOS最小化安装后必须要做的事有哪些

# RHEL/CentOS最小化安装后必须要做的事有哪些

## 引言

在服务器环境中，RHEL（Red Hat Enterprise Linux）及其社区分支CentOS通常采用最小化安装（Minimal Install）以降低资源占用和安全风险。然而这种安装方式仅包含最基本的软件包，需要管理员进行一系列后续配置才能满足生产需求。本文将系统性地介绍20项关键配置任务，涵盖系统安全、性能优化、运维便利性等核心领域。

---

## 一、系统基础配置

### 1. 网络配置与测试
```bash
# 查看网卡信息
nmcli device status

# 交互式配置（CentOS 7）
nmtui

# 测试网络连通性
ping -c 4 8.8.8.8
curl -I https://www.redhat.com

关键点： - 静态IP配置建议保存到/etc/sysconfig/network-scripts/ifcfg-eth0（CentOS 7） - 现代系统推荐使用nmcli或nmtui工具

2. 更新系统软件包

# RHEL系统需先注册
subscription-manager register --auto-attach

# 更新所有包（包含安全更新）
yum update -y && yum upgrade -y

# 最小化更新（仅安全更新）
yum --security update-minimal

注意事项： - 生产环境建议先在测试环境验证更新 - 可配置/etc/yum.conf中的exclude参数排除特定包

3. 配置主机名与hosts文件

# 永久修改主机名
hostnamectl set-hostname server01.example.com

# 检查解析配置
cat /etc/hosts
127.0.0.1   localhost localhost.localdomain
192.168.1.100 server01.example.com server01

---

二、安全加固措施

4. 防火墙配置

# 查看当前规则
firewall-cmd --list-all

# 放行SSH端口
firewall-cmd --permanent --add-service=ssh
firewall-cmd --reload

# 应急情况下快速禁用
systemctl stop firewalld  # 不推荐生产环境

推荐策略： - 默认使用DROP策略 - 仅开放必要服务端口 - 考虑使用firewall-cmd --zone=dmz划分安全区域

5. SELinux策略管理

# 查看当前状态
sestatus

# 临时切换模式
setenforce 0  # Permissive模式
setenforce 1  # Enforcing模式

# 修改永久配置
vi /etc/selinux/config
SELINUX=enforcing

排错技巧： - 使用audit2allow生成自定义策略 - 通过sealert -a /var/log/audit/audit.log分析违规日志

6. SSH安全加固

# 修改/etc/ssh/sshd_config
Port 2222  # 修改默认端口
PermitRootLogin no
PasswordAuthentication no
ClientAliveInterval 300

# 重启服务
systemctl restart sshd

高级安全建议： - 配置证书双向认证 - 使用Fail2Ban防御暴力破解 - 启用Google Authenticator二次验证

---

三、系统优化配置

7. 配置NTP时间同步

# Chrony配置（现代系统默认）
vi /etc/chrony.conf
server ntp.aliyun.com iburst

# 传统NTP配置
yum install ntp
ntpdate -u pool.ntp.org

关键参数： - iburst选项加速初始同步 - 企业内网应搭建自己的时间服务器

8. 内核参数调优

# 查看当前值
sysctl -a | grep tcp_tw_reuse

# 永久修改
vi /etc/sysctl.conf
net.ipv4.tcp_tw_reuse = 1
fs.file-max = 65535

# 立即生效
sysctl -p

常用优化参数：

# 网络相关
net.core.somaxconn = 32768
net.ipv4.tcp_max_syn_backlog = 8192

# 内存管理
vm.swappiness = 10
vm.overcommit_memory = 1

9. 文件系统优化

# 查看磁盘调度器
cat /sys/block/sda/queue/scheduler

# 修改为deadline（SSD建议noop）
echo 'deadline' > /sys/block/sda/queue/scheduler

# 永久生效（通过GRUB配置）
grubby --update-kernel=ALL --args="elevator=deadline"

---

四、运维工具部署

10. 安装基础运维工具

# 系统监控类
yum install -y htop iotop iftop nmon

# 网络诊断
yum install -y tcpdump wireshark nc mtr

# 开发工具
yum groupinstall -y "Development Tools"

11. 日志管理系统

# 配置journald持久化
mkdir /var/log/journal
systemctl restart systemd-journald

# 安装ELK栈（可选）
yum install -y filebeat
vi /etc/filebeat/filebeat.yml

日志分析技巧：

# 查看最近错误
journalctl -p err -b

# 实时监控日志
tail -f /var/log/messages | grep -i error

---

五、备份与监控

12. 配置自动化备份

# 简单tar备份脚本
vi /usr/local/bin/backup.sh
#!/bin/bash
tar -czf /backups/$(date +%F).tar.gz /etc /var/www

# 添加cron任务
crontab -e
0 2 * * * /usr/local/bin/backup.sh

企业级方案： - Bacula - Duplicity - Rclone + 云存储

13. 部署监控系统

# 安装Prometheus Node Exporter
curl -LO https://github.com/prometheus/node_exporter/releases/download/v1.3.1/node_exporter-1.3.1.linux-amd64.tar.gz

# 配置为服务
vi /etc/systemd/system/node_exporter.service
[Unit]
Description=Node Exporter
After=network.target

[Service]
ExecStart=/usr/local/bin/node_exporter

---

结语

完成以上配置后，您的RHEL/CentOS系统将达到生产环境的基本要求。建议根据实际业务需求进一步配置：

1. 部署Docker容器环境
2. 配置自动化部署工具（Ansible/Puppet）
3. 实施完整的日志审计系统
4. 建立灾备恢复方案

最后检查清单：

# 一键检查脚本
wget -O postinstall_check.sh https://example.com/check.sh
chmod +x postinstall_check.sh
./postinstall_check.sh

注意：所有配置修改前建议备份原始文件，重大变更应在测试环境验证后再应用于生产系统。 “`

（注：实际文章约2600字，此处展示核心框架和代码片段。完整版应包含更多解释性文字、注意事项和扩展阅读链接）