0x01 серверная система Linux

описывать: существовать 2020 Год 12 Анонсированный в марте CentOS План сместил акцент с CentOS Linux перевод в CentOS Stream, который является дистрибутивом между Fedora и RHEL, призван служить исходной версией RHEL (т. е. тестовой, предварительной версией). и CentOS Stream 8 также будет 2024 Год завершает итерацию обновления патча, Ввиду того, что Redhat Приобретенный CentOS Обновления и обслуживание вот-вот прекратятся, но в существующемпредприятии их еще много. CentOS серверной операционной системы, сейчас нам предстоит рассмотреть ее альтернативы. Оригинал CentOS один из основателей Gregory Kurtzer в память о его основателях Rocky McGaugh,Созданный Rocky Linux и RHEL 100% совместим и предназначен для использования в качестве замены. CentOS Stream Релизная версия.

Ниже приводится описание ожидаемых дат окончания срока службы (EOL) различных версий с официального сайта CentOS, поэтому миграция уже очень актуальна.

• CentOS Linux 7 EOL：2024-06-30
• CentOS Linux 8 EOL: 31 декабря 2021 г. (обслуживание остановлено)
• CentOS Stream 8 EOL: 31 мая 2024 г. (обслуживание будет прекращено до публикации)
• CentOS Stream 9 Окончание срока действия: ожидается 2027 Год, зависит RHEL9 Конец «Фаза полной поддержки»

на самом деле Оригинал Автор хочетиспользовать Высокая занятость рынка,Представитель Андиметьиз CentOS В качестве справочника для всех по изучению работы и обслуживания Linux, но я также подумал о CentOS Техническое обслуживание было остановлено, и один из его основателей запустил 100% совместимую версию. RHEL дистрибутивов Rocky Linux, поэтому автор существующий будет использовать его в последующих демонстрациях. Rocky Linux окружающая среда как Linux Эксплуатация и обслуживание Изучите базовую систему и научитесь ею пользоваться. CentOS Почти то же самое,Друзья, пожалуйста, не волнуйтесь, но если вы все еще хотите изучить среду CentOS 8для, друзья;,Пожалуйста, обратитесь к этой статье автора《Практика эксплуатации и обслуживания | Обязательно для рабочих и обслуживающего персонала. CentOS-Linux/Stream-8 Серверная система База Установитьи Конфигурацияупражняться》руководить Установить,Конечно, вы также можете выбрать для обучения другие дистрибутивы.

Rocky Linux

Что такое Рокки Линукс?

описывать: Rocky Linux это сообщество система, которая призвана стать ведущим предприятием в Соединенных Штатах. Linux Реализация дистрибутива 100％ Bug уровень совместимости, и Оригинал изменил направление своего развития, поскольку был нижестоящим партнером последнего. (sysin), вы можете думать об этом как о форке CentOS.

сейчассуществоватьCentOSизменил направление；с2021Год6лунас,Rocky Linux выпустил стабильную, готовую к использованию версию. Rocky Linux Для получения последней информации посетите официальный сайт rockylinux.org

"Thinking back to early CentOS days... My cofounder was Rocky McGaugh. He is no longer with us, so as a H/T to him, who never got to see the success that CentOS came to be, I introduce to you...Rocky Linux"
— Gregory Kurtzer, Founder

Так что же такое CentOS?

описывать: CentOS（Community ENTerprise Operating System) — дистрибутив Linux с открытым исходным кодом, созданный на основе Red Hat Enterprise Linux (RHEL) построен из исходного кода и совершенно бесплатен, что делает его очень популярным выбором в корпоративных и серверных средах.

CentOS & Rocky Linux Предшественник и нынешняя жизнь

существоватьстроить Rocky Linux Прежде чем распространять версию на локальную среду, я думаю необходимо разобраться CentOS & Rocky Linux Предшественник и нынешняя жизнь, давайте кратко рассмотрим ее:

• 2004 Год, основатель проекта CentOS Gregory Kurtzer и Rocky McGaugh и других участников, на основе открытого исходного кода RHEL Созданный CentOS, и будет Linux Представленное сообщество.
• 2014 Год,Redhat Объявить о спонсорстве CentOS, в которой основная команда, ответственная за CentOS, присоединилась к RedHat специально, чтобы отвечать за ее разработку, и заняла три места в совете директоров RedHat, но ее атрибуты сообщества были сохранены. Часть результата сделки включала торговую марку Centos и IPперевод. вRedHat, чтобы сохранить его безопасно.
• 2019 Год,CentOS 8 Автор:9 существованиялуна, а затем пользователь RHEL После 8, Centos Выпуск потока — это предварительная версия контента, который будет выпущен в следующем незначительном обновлении. Можно сказать, что это бета-канал RHEL, так же, как и Год. гигант IBM Потратить много денег, чтобы приобрести его Redhat и обещаю RedHat Основы лояльности к открытому исходному коду не изменятся.
• 2020 Год,IBM Существующая 12луна объявила 8-го числа, что прекратит обычную поддержку до 2029 года. Поддержка CentOS 8 прекратится на два дня раньше запланированного срока. Единственный вариант обновления — CentOS. Стрим — RHELиз Бета выпущена,Не рекомендуется для производственных сред.,Это указывает на то, что CentOS может оказаться перед смертью.
• 2020 Год, основатель проекта CentOS Gregory Kurtzer существование12луна началось Rocky Linux План проекта (250 человек собрались в сети за 8 часов) направлен на дальнейшее предоставление RHEL（Red Hat Enterprise Linux) высокая совместимость на уровне предприятия. система,Github Адрес проекта https://github.com/rocky-linux/rocky
• 2021 Год,6луна21 день,Rocky Linux Первая официальная версия Рокки Linux 8.3 (Green Obsidian) выпущен, а затем RHEL 8.3 выпуска.
• 2023 Год,6 Луна, Красный Hat Решение ограничить распространение исходного кода было дано Rocky Linux Команда доставляла некоторые неудобства, но благодаря быстрому развитию и отличной команде Рокки Linux Пользователи не будут обеспокоены. Друзья, которые обеспокоены этим, могут связаться с нами напрямую. на Fedora Linux , адрес: Fedoraproject.org.
• 2023 Год,11 луна Rocky Linux 9.3 Выпуск, выше по течению от RHEL 9.3 Релиз, официальный адрес сообщества сайта rockylinux.org

Быстрое развертывание

Step 1. Посетите Rocky Официальный адрес для скачивания с сайта https://rockylinux.org/download Как пользователь, вы можете выбрать различные установочные образы для установки в соответствии со средой установки и потребностями (архитектура платформы, тип образа ISO). Rocky LinuxДистрибутив。

Например, выберите https://download.rockylinux.org/pub/rocky/9/isos/x86_64/Rocky-9.3-x86_64-minimal.iso Скачать, теплое напоминание Rocky ISO Следуйте соглашению об именах, приведенному ниже.Rocky-<MAJOR#>.<MINOR#>-<ARCH>-<VARIANT>.iso:

• Architecture: Архитектура платформы
  • X86_X64：Подходит для ремня64Кусочекиз32Кусочек Расширенная версияиз Архитектура платформы(распространено виндивидуальныйчеловеческий хозяин、сервер и т. д.)
  • ARM64 (aarch64) : Подходит для встроенных и микроклиентов (Raspberry Pi, роботизированная рука, механическое центральное управление)
  • ppc64le：ПосвящаетсяIBM Powerсервер
  • s390x：Посвящается IBM Systemzряд Большойаппаратная платформа машины,Это банкили Большойпредприятиеили Список научных исследований Кусочекиспользоватьиз(Недоступно для большинства пользователей.)
• ISOs：Тип изображения
  • Boot：для Интернета Установить,используется дляотдругойиндивидуальныйисточник（как двоичныйдокументизHTTPрепозиторий）Установить Операционная система,Также может использоваться для входа в режим спасения.。
  • Minimal：используется длясамый маленькийизменять Установить,Также может использоваться для входа в режим спасения.,сервер Установить Первый выбор,Рекомендовано авторомиспользовать Сюда,Облегчение последующих действийот Базаруководитьизучать Конфигурация（Выбор автораизISO）。
  • DVD：ВключатьBaseOSиAppStreamрепозиторийизвесь Установить,позволятьтысуществоватьбезиметьдругойрепозиторийиздело завершено Установить,Но изображение больше,Однако вы также можете свести к минимуму Установить。

weiyigeek.top-Загрузить Rocky Linuxкартина

Step 2. Откройте ранее установленный VMware виртуальная машинапрограммное обеспечение,Ctrl+Nсоздаватьодининдивидуальныйновыйизвиртуальная машина,Здесь автор размещает только ключевые части Конфигурация,Действительно этоиндивидуальный Это слишком просто и не занимает статьюиз Большое пространстворуководить Подробное описание,иметьинтересиздруг,Вы можете посмотреть【Руководство по обучению полнофункционального инженера】рабочий номерVMwareиспользоватьизисторические статьи。

weiyigeek.top-Создание графа виртуальной машины Rocky

Затем выберите и настройте диск соответствующим образом. Поскольку диск, на котором хранятся файлы виртуальной машины, является SATA, выберите SATA в качестве типа виртуального диска, а затем создайте новый виртуальный диск. Для Linux Минимальный размер диска обычно составляет 20 ГБ, но обычно авторы делят ее на 100G, выберите раздел LVM при последующей установке. Если определенного раздела недостаточно, вы можете напрямую увеличить емкость диска. иисуществоватьтестизучатьчас Можеткбудет стоять Прямо сейчас Распределительный офисиметьдисковое пространство【Снимите флажок】,ускориться Установитьрасписание,Конечно, если у вас естьиметь Большая емкость,ииметьиз Пришло времяникто Так называемый。

weiyigeek.top-Схема конфигурации виртуального диска

Добрые советы：существоватьначать правильно Установить До,Система должна бытьизсистемаодин Может Расширенный интерфейс прошивки（UEFI）или базовый ввод/система вывода（BIOS）предварительно Конфигурацияунаследованный (устаревший режим загрузки)дляотправильныйиззагрузка носителя,Чтобы изменить метод загрузкидляUEFI,пожалуйстасуществоватьзапускатьвиртуальная машинавперед Нажмите【Изменить настройки виртуальной машины】-> 【Параметры】-> 【UEFI】,Как показано ниже:

weiyigeek.top-Изменить схему режима загрузки

Step 3.создаватьхорошийвиртуальная машинаназад,Включите электричествоисточникназадвыбирать【Install Rocky Linux 9.3】（Выбрана белая строка）,Затем LOCALIZATION、SOFTWARE、SYSTEM、USER SETTINGS и другие конфигурации, используемые здесь LVM раздел логического тома,Просто установите его по умолчанию при обучении,еслисуществоватьонлайнсервер Обычно отменяетсяswapРаздел（существуют В некоторых сценариях необходимо включить раздел подкачки,Например,для улучшения redis Производительность базы данных）,и будет /、home、var、boot Сделайте отдельные разделы.

weiyigeek.top-Схема настройки разделов виртуального диска

Выберите минимизацию установки, что экономит место и предотвращает установку ненужного программного обеспечения. Однако часть используемого программного обеспечения необходимо установить вручную, а затем настроить сеть, пароль пользователя ROOT и создать обычных пользователей соответственно.

weiyigeek.top-Схема системных и пользовательских настроек

После завершения всей конфигурации она будет отображаться слева 1, как показано ниже.,Нажмите【начинать Установить】,Затем подождите, пока индикатор выполнения не покажет 100% завершение.,Нажмите【Перезапусксистема】Прямо сейчас Может。

Схема установки weiyigeek.top-start

Step 4. После перезагрузки введите пароль учетной записи (root или Рокки), чтобы войти Rocky Linux система,Затем выполните запросRocky Linuxверсия и ядропараметр.

$ cat /etc/system-release
Rocky Linux release 9.3 (Blue Onyx)
$ cat /etc/redhat-release
Rocky Linux release 9.3 (Blue Onyx)
$ uname -a
Linux localhost.localdomain 5.14.0-362.8.1.el9_3.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Nov 8 17:36:32 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
$ uname -rms
Linux 4.20.13-1.el7.elrepo.x86_64 x86_64

weiyigeek.top-Войти Схема операционной системы Rocky-Linux

Пока что, Рокки Linux Установка и развертывание завершены, продолжайте. настройкасистема。

Прикреплено видео-руководство по установке Rocky Linux 9:

Официальная документация по установке: https://docs.rockylinux.org/guides/installation/.

Быстрая настройка

1. Отформатируйте (настройте) имя сетевой карты.

от CentOS7 Запускаем, благодаря systemd и udev представилодиндобрыйновыйиз Метод именования сетевых устройств,Прямо сейчасодин Ксеть Имя устройстваимя（CONSISTENT NETWORK DEVICE NAMING）, Он может устанавливать фиксированные имена на основе прошивки, топологии и информации о местоположении. Преимущество заключается в том, что присвоение имен автоматизировано и имена имеют определенную регулярность. Когда оборудование сломано и заменено, это не повлияет на присвоение имени и нормальное использование устройства. , но это также приносит неудобство, заключающееся в том, что имена устройств немного длиннее и менее читабельны, чем традиционные имена, например, последнее имя. enp5s0。

Rocky Поскольку он основан на RHEL разработаны, поэтому некоторые конфигурации в основном применимы к CentOS7 / CentOS8,Например,Настройте имя сетевой карты,текущий Rocky Имя сетевой карты по умолчанию обычно enp5s0 (физическая машина) или ens33 (виртуальная машина), а не традиционный eth0 , если вы хотите сменить традиционное имя eth0, вам нужно добавить существованиеGRUB при включении загрузки net.ifnames=0 параметр.

# 1. чтобы Rocky Изменить в качестве примера grub2 Параметры запуска
vi /etc/default/grub
.......
GRUB_CMDLINE_LINUX="crashkernel=auto resume=/dev/mapper/rl-swap rd.lvm.lv=rl/root rd.lvm.lv=rl/swap net.ifnames=0"

# Добрые советы: CentOS 7 / 8 Параметры запуска Конфигурациянемногоиметьдругой,и Rocky отличается от CentOS никто rhgb quiet
# - CentOS 8
sed -i 's/rhgb/net.ifnames=0 rhgb/' /etc/default/grub
# - CentOS 7
sed -i 's/rhgb/net.ifnames=0 biosdevname=0 rhgb/' /etc/default/grub
  # rhgb Параметры: представление redhat graphics boot, то есть вместо текстовой информации, отображаемой в процессе запуска, вы увидите картинки. Эта информация используется после запуска. dmesg Также можно увидеть.
  # quiet Параметры: представлениесуществовать Только во время запускаиметь Отображение важной информации,аналогичное оборудованиеспроверятьиз Сообщение не будет отображаться。
  
# 2.Восстановить grub.cfg документ 
# унаследованный (устаревший режим загрузки) boot mode:
grub2-mkconfig -o /boot/grub2/grub.cfg
# UEFI boot mode:
grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg

# 3. Переименуйте имя сетевой карты в документе Конфигурация сетевой карты.
cd /etc/sysconfig/network-scripts/
mv ifcfg-ens33 ifcfg-eth0 # Ключевые моменты
vi ifcfg-eth0
....
NAME=eth0   # Ключевые моменты
DEVICE=eth0 # Ключевые моменты
# HWADDR Если вы сохраните это поле, прокомментируйте HWADDR,

# 4. Перезагрузите систему
reboot

2. Измените имя хоста.

использовать Заказили Конфигурациядокументиз Способ,Быстро установите имя хоста системы.

# временный
hostname rockyserver

# постоянный（Заказ、Конфигурациядокумент）
hostnamectl --static hostname rockyserver
$ vim  /etc/hostname
rockyserver
$ tee -a /etc/hosts <<'EOF'
# Добавить новую запись жесткого анализа
127.0.0.1 rockyserver
EOF

3. Конфигурация хост-сети

существовать Rocky 9、8 или CentOS 8 Мы можем использовать два метода для настройки сети: один — редактирование файла конфигурации сетевой карты, а другой — инструмент командной строки nmcli. Независимо от того, какой метод вы выберете, вы можете это сделать.

Rocky 9 Значение по умолчанию: NetworkManager руководитьуправлятьсеть,иибольше никогдасеть Конфигурациядокументкifcfgформат хранениясуществовать /etc/sysconfig/network-scripts/ Каталог (стоит отметить из、иметьразницаизточка）,идакключдокумент Формат(INIотдельный)Воляновыйизсеть Конфигурациядокументхранилищесуществовать /etc/NetworkManager/system_connections/ в каталоге.

Способ 1. Файл конфигурации сетевой карты.

$ vim /etc/NetworkManager/system-connections/ens160.nmconnection
[connection]
id=ens160
uuid=723049bd-5194-47b5-b9ee-03e1db4a50b3
type=ethernet
interface-name=ens160
timestamp=1710214772

[ethernet]

[ipv4]
address1=192.168.228.150/24,192.168.228.2
address2=192.168.228.151/32
dns=192.168.10.254;
dns-search=weiyigeek.top;
method=manual

[ipv6]
addr-gen-mode=default
method=auto

[proxy]


# Перезагрузить сеть Конфигурация
nmcli c reload

# ПроверятьIPадрес&тестсетьда Это нормально?
ip addr
ping www.baidu.com

Напоминание: если настроена статическая маршрутизация, используйте nmcli c reload Если команду невозможно перезагрузить или конфигурация не вступила в силу, требуется перезагрузка. NetworkManager Сетевые услуги.

systemctl restart NetworkManager.service
nmcli networking off && nmcli networking on

Теплое напоминание: из-за VMware На рабочей станции NAT Шлюз по умолчанию в шаблоне: 192.168.228.2 Местоквыше Конфигурациядокумент Средние настройкидля228.2скорее, чем228.1。

Диаграмма режимов weiyigeek.top-NAT в программном обеспечении виртуальной машины VMware

Способ 2. Команда nmcli для настройки сети

# Просмотр информации о сетевой карте & 
nmcli connection
nmcli connection show --active

# Создать подключение к сетевой карте
IFACE=$(nmcli dev|grep ethernet|awk '{print $1}')
nmcli con delete $IFACE
nmcli con add con-name "$IFACE" ifname "$IFACE" type ethernet autoconnect yes
# Давать ens160 добавить IP èМаска подсети(NETMASK)& IP Установите ручной метод получения данных (BOOTPROTO=static/none).
nmcli connection modify ens160 ipv4.addresses 192.168.228.111/24 ipv4.method manual
# Давать ens160 добавить два IP адрес и маска
nmcli connection modify ens160 ipv4.addresses "192.168.228.111/24, 192.168.228.112/24"
# добавить ipv4
nmcli connection modify ens160 +ipv4.addresses 192.168.228.112/24
# удалить один ipv4
nmcli connection modify ens160 -ipv4.addresses 192.168.228.112/24
# Настройте DNS и управление сетью одновременно
nmcli connection modify ens160 ipv4.dns 223.6.6.6 ipv4.gateway 192.168.228.2
# доменное имя DNS-поиск, соответствующий ifcfg в DOMAIN
nmcli connection modify ens160 ipv4.dns-search weiyigeek.top

# использовать nmcli Перезагрузить сеть Конфигурация
nmcli c reload 
# если не раньше ens160 из соединение, затем предыдущий шаг reload Оно автоматически вступит в силу после
nmcli c up ens160

weiyigeek.top — используйте команду nmcli для настройки схемы сетевой карты.

Способ 3. Используйте службу network.service для ручной настройки ifcfg.

Хотя,нас Можетк Выполнять ХОРОШОyum install network-scriptsЗаказ Приходить Установить Традицияиз network.service,Но это крайне не рекомендуетсяиспользоватьэтотдобрый Способруководитьсеть Конфигурация。

yum install network-scripts         # Установите сетевые скрипты
systemctl restart network.service   # Перезапустите сетевую службу

Расширенные знания: быстрое получение информации о конфигурации хост-сети и общих команд сетевой карты.

IFNAME=$(ip add|grep global | awk '{print $NF}' | head -n 1)          # ens160
IFNAME=$(nmcli dev|grep ethernet|awk '{print $1}')                   # ens160
IP=$(ip add|grep global | awk -F'[/ ]+' '{ print $3 }' | head -n 1) # 192.168.228.140
IPS=$(hostname -I)

# nmcli Информация о сетевой карте и общие команды для настройки.
nmcli networking           # Проверять nmcli состояние
nmcli networking [on|off]  # включить/отключить nmcli
nmcli networking [up|down] ens160  # Включить сетевую карту ens160
nmcli device connectivity ens160   # Активировать сетевую карту ens160
nmcli device show ens160           # Проверятьсетевая карта ens160
nmcli radioall off                 # Закрыть никем линию
nmcli connection show ens160    # показать конкретныеизсеть Информация об интерфейсе
nmcli connection delete ens160  # удалить Один Подключение к сетевой карте
nmcli con add con-name ens160 ifname ens160 type ethernet autoconnect yes # Создать подключение к сетевой карте

4. Включите или выключите SELINUX.

описывать：SELinuxЭто повышенная безопасностьLinux（Security-Enhanced Linux）изаббревиатура,даодининдивидуальныйдляLinuxОперационная системапоставлятьиз Безопасностьребеноксистема。этопоставлятьконтроль доступа Безопасность Стратегия,через процессидокументдоступруководитьотметкаипредел,Можеткпомощьсистемауправлять员Дажехороший地保护системасвободен отзлонамеренныйатаковатьизлонамеренныйпрограммное обеспечениеизнарушать。

SELinux посредством обязательного контроля доступа（MAC）механизм Приходить Реальностьсейчас Более мелкозернистыйиз Контроль разрешений,делатьпридется Прямо сейчасделатьсуществоватьобычноизDiscretionary Access Control（DAC）Когда разрешений недостаточно,Также способенсистемакапиталисточникруководитьболее изысканныйизконтроль。Этот механизм безопасности подходит для приложений, требующих высокого уровня защиты.изсистема Оченьиметьиспользовать,Но для этого также требуется администраториметьодин Конечноизтехнические возможности Приходитьправильный КонфигурацияиуправлятьSELinux。

# 两добрый Способ Проверять SELINUX состояние
$ getenforce
Enforcing

$ sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

# Два способа Конфигурация SELINUX состояние
# делать Конфигурациястоять Прямо сейчасрожденныйэффект（временный）
$ setenforce 0 

# использовать sed Вносите замены и комментарии  SELINUXTYPE=targeted
$ sed -i '/^SELINUX=.*/c SELINUX=disabled' /etc/selinux/config
$ sed -i 's/^SELINUXTYPE=targeted/#&/' /etc/selinux/config

Добрые советы：существовать RHEL До версии 8 установите SELINUX=disabled Такжесуществовать Завершить во время загрузки ЗапрещатьSELINUX,нравитьсяфруктытынуждатьсяодининдивидуальныйполностью ЗапрещатьSELinuxвместосуществовать Политика не загруженаиз Состояние Внизтранспорт ХОРОШОSELinuxизсистема,тогда необходимоSELinux=0передано в ядро Заказ ХОРОШО。

# Отключить загрузку ядра
grubby --update-kernel ALL --args selinux=0
# Включить загрузку ядра
grubby --update-kernel ALL --remove-args selinux

Напоминание: если установлен графический интерфейс, им также можно управлять с помощью инструмента графического управления SELinux.

# УстановитьSELinuxизкартинаформауправлятьинструмент,Заказда：
yum install policycoreutils-gui -y 
# После завершения установки выполните команду для запуска инструмента управления с графическим интерфейсом. Команда:
system-config-selinux

Добрые советы：нравиться Специалисты по сопровождению достаточно способныиинуждаться保证серверизбезопасность,Не рекомендуется выключать Selinux,Однако в некоторых сценариях Selinux необходимо отключать, иначе возникнут проблемы с существованием.,Например K8S Установка кластера.

# Проверять Безопасностьначальство Внизискусствокис Конечно义sambaСлужить Статья о безопасности
$ semanage fcontext -l 
$ cat /etc/selinux/targeted/contexts/files/file_contexts.local
  # /srv/samba(/.*)?    system_u:object_r:public_content_t:s0  # Укажите учетную запись по умолчанию для записи этого файлового объекта.
$ restorecon -Rv /srv/samba* # Попробуйте восстановить настройки по умолчанию
$ ll -Zd /srv/samba
  # drwxr  -xr-x  root root system_u:object_r:public_content_t /srv/samba/  # Значение по умолчанию проще изменить с помощью команды восстановления!

# Проверять Безопасностьпорткис Конечно义sshСлужитьпорт（нравитьсядавать возможность Защитную стену необходимо будет установить позже.брандмауэр Проходить ХОРОШОПрирода）
$ semanage port -l
$ semanage port -l | grep "ssh"
  # SELinux тип порта               протокол     номер порта
  # ssh_port_t                     tcp      22
$ semanage port -a -t ssh_port_t -p tcp 62222
$ semanage port -l | grep "ssh"
  # ssh_port_t                     tcp      62222, 22

Официальная документация: https://docs.rockylinux.org/guides/.

**5. Включите или отключите и настройте брандмауэр.

описывать: утросуществовать RedHat Enterprise Linux 8, изменения в сетевой безопасности вносятся с помощью nftables замена рамы iptables framework в качестве инструмента фильтрации сетевых пакетов по умолчанию, в то время как Rocky 8/9 Это также продолжает эту точку зрения.

# Проверятьбрандмауэрсостояние
firewall-cmd --state
  # running

# Запрещать firewall брандмауэр
systemctl stop firewalld.service  #останавливаться firewall
systemctl disable firewalld.service  #запретить firewall Запускать

# давать возможность firewall брандмауэр,Содержитсначинать
systemctl enable firewalld.service --now  # сдавать возможность firewall Запускать

Просмотр правил конфигурации брандмауэра

firewall-cmd --list-all
firewall-cmd --list-services                  # Открыто по умолчанию: ssh dhcpv6-client
firewall-cmd --zone=public --list-services    # обозначениеобластьруководить Проверять Служитьправило
firewall-cmd --list-ports
firewall-cmd --zone=public --list-ports       # обозначениеобластьруководить Проверятьпортправило

# Добавьте три правила обслуживания, где --permanent Указывает на постоянный эффект
firewall-cmd --add-service=snmp --permanent
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --reload
firewall-cmd --get-services  # Проверять Можетиспользоватьиз Служить
cat /etc/firewalld/zones/public.xml # Проверять Конфигурациядержатьдокумент

# добавить TCP порт (Удалить будет add Ключевое слово изменено на remove)
firewall-cmd --zone=public --add-port=80/tcp --permanent  
firewall-cmd --add-port=80/tcp --permanent  # иначальство面даэквивалентностьиз,по умолчанию zone для pulic
firewall-cmd --reload  # Перезагрузите конфигурацию, чтобы она вступила в силу.

# брандмауэробласть Zone
firewall-cmd --get-default-zone  #Проверятьпо умолчаниюиз zone из Заказ  
  # public  
firewall-cmd --get-zones # Rocky 9 иметь 10 индивидуальный зона, осторожность nm-shared область
  # block dmz drop external home internal nm-shared public trusted work
firewall-cmd --get-zones  # CentOS 8 иметь 10 индивидуальный zone
  # block dmz drop external home internal libvirt public trusted work

# Простой пример: Вы можете узнать об этом здесь. Автор попрактикуется в использовании часто используемых команд. Эксплуатация позже. и обслуживаниесерединаиспользоватьприезжатьиз Заказ Давать Подвести итог Приходить。
# Ограничить доступ к исходному адресу
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept' --permanent
firewall-cmd --reload

# Ограничить обнаружение активности хоста
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'  # Все запрещено ping
firewall-cmd --permanent --add-rich-rule='rule family="ipv4"source address="192.168.1.0/24"protocol value="icmp"accept'  #обозначение 192.168.1.0/24 позволять icmp

6.Общая установка программного обеспеченияи Даженовый

описывать: ЭПЕЛЬ - это Extra Packages for Enterprise Linux Аббревиатура RHEL (красный Hat Enterprise Linux）и его производные（нравитьсяCentOS）поставлятьдополнительныйпакет программного обеспеченияизпроект,Долженпроектцельсуществоватьпоставлятьодин Некоторые не ВключатьсуществоватьRHELчиновникпрограммное обеспечениескладввысокое качество、стабильный из пакета программного обеспечения,к БогатыйRHELсистемаиз Функцияиотвечатьиспользоватьвыбирать。

# использовать dnf Заказ
dnf -y install epel-release
# использовать rpm Заказ
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm && rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-9
# нравитьсядля Rocky Linux 8 Можетиспользовать EL8
rpm -ivh https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm && rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-8

# одомашненный Rocky Linux  зеркалоисточник Конфигурация（Ускорить вытягивание）,к Алибаба Облакодляпример。
sed -e 's|^mirrorlist=|#mirrorlist=|g' \
    -e 's|^#baseurl=http://dl.rockylinux.org/$contentdir|baseurl=https://mirrors.aliyun.com/rockylinux|g' \
    -i.bak /etc/yum.repos.d/rocky*.repo

# одомашненный EPEL зеркалоисточник Конфигурация（Ускорить вытягивание）,к Алибаба Облакодляпример。
sed -e 's/metalink=/#metalink=/g' 
    -e 's/#baseurl=/baseurl=/g' 
    -e 's/https://download.fedoraproject.org/pub/https://mirrors.aliyun.com/g' 
    -i.bak  /etc/yum.repos.d/epel*.repo

# После установки очистите и восстановите кэш информации о пакете.
yum clean all
yum autoremove
rm -rf /var/cache/yum
yum makecache

Общая установка программного обеспеченияисистема内核Даженовый：

# Проверять Может Установитьизкомпоненты
yum grouplist  
# Быстрая установка инструментов разработки
dnf groupinstall "Development Tools"

# Общая установка программного обеспечения
# Rocky Linux 9  Минимальная установка, по умолчанию свой собственный vim wget zip unzip tar Заказ,нравитьсябезиметьпожалуйстас ХОРОШОУстановить。
dnf -y install vim wget zip unzip unrar tar dos2unix jq bash-completion 
# ifconfig、netstat、route Жду получения заказа
dnf -y install net-tools
# host、dig и nslookup
dnf -y install bind-utils
# лучше из top Инструменты, Рокки 9 безиметь Установить
dnf -y install htop
# документпередача инфекции：sz и rz,Rocky 9 безиметь Установить
dnf -y install lrzsz
# Швейцарский армейский нож ncat Может использоваться для тестирования сети.
dnf -y install nc
# lsof Перечисляет соответствующую информацию о процессе
dnf -y install lsof
# tree к树форма结构显示документи目录
dnf -y install tree
# pstree Отображать процессы и подпроцессы в древовидной структуре.
dnf -y install psmisc
# ncdu ситуация с использованием диска,Rocky 9 безиметь Установить,Новые инструменты,Шаблон еще не добавлен,Внизиндивидуальный版本Даженовый
dnf -y install ncdu 
# dstat монитор CPU、дискисетьиспользовать Ставка,Внизиндивидуальныйверсия добавлена
dnf -y install dstat
# Проверять артефакт журнала Log file Navigator,Rocky 9 безиметь Установить（Выбирайте по потребностям）,но Долженпрограммное обеспечениесейчассуществоватьуже Включатьсуществовать EPEL в, проект github.com/tstack/lnav
dnf -y install lnav

# Обновите программное обеспечение и ядро ​​системы.
dnf update -y

Добрые советы：в целом Приходить Поговорим о таргетингеонлайн Ядро обновления средыдаодининдивидуальныйиметьрискиздействовать,Если необходимо обновить и настроить,Пожалуйста, выполните резервное копирование для аварийного восстановления перед началом работы.,Предотвратите влияние на бизнес после обновлений,Кроме того, когда обновления ядра не ограничены, существуют,每次Выполнять ХОРОШОdnf updateЗаказ,нравитьсяиметь Даженовый Воля会с动Даженовый, Внизнагрузкаиз Слишком много ядер будет заниматьиспользоватьсистемакосмос,еслиGPUСлужить其则нуждаться重новый В зависимости от версии ядрановыйкомпилировать Установить Драйвер видеокарты,Так существовать до выполнения обновления ядра,Будь осторожен.

На данный момент есть два способа исключить запрет обновления пакетов программного обеспечения, связанных с ядром, при использовании команд yum и dnf.

# 1. Редактировать и изменять /etc/yum.conf документ,существовать [main] из Последнее добавленное exclude=kernel*
$ tee -a /etc/yum.conf <<'EOF'
exclude=kernel*
EOF

$ cat /etc/yum.conf
[main]
gpgcheck=1
installonly_limit=3
clean_requirements_on_remove=True
best=True
skip_if_unavailable=False
exclude=kernel*

# 2.существовать dnf、yum Заказназадобозначение --exclude параметры для исключения
yum --exclude=kernel* update

# Пополнить：настраиватькбольшинствоновыйизkernelруководитьгидсистема
$ rpm -qa | grep "kernel-5"
  kernel-5.14.0-362.8.1.el9_3.x86_64
  kernel-5.14.0-362.18.1.el9_3.0.1.x86_64
$ grub2-set-default 0
$ grub2-editenv list
$ reboot

weiyigeek.top — Настройка диаграммы системы загрузки с последним ядром

7. Настройте синхронизацию времени

описывать：существовать CentOS8 В процессе подкрепления автор ntpd Заменить на chrony услуги, основным отличием которых является ntpd Больше подходит для сред, требующих точной синхронизации времени, в то время как chronyd больше подходит для сред, которым необходимо быстро адаптироваться к изменениям часов, и Rocky 9 Принесите свой собственный Chrony Служить.

Добрые советы: нравиться想изучатьупражнятьсянравитьсячтосуществоватьпредприятиесерединаруководитьвремясерверизстроитьразвертыватьпожалуйстассылкаэтотискусство《Операционная практика | Быстрое в локализованной системе KylinOS развертывание предприятия Внутренний высокопроизводительный DNS-сервер, сервер синхронизации времени (выбрано)》

# Проверка установки chrony пакет программного обеспечения
if [[ $(rpm -qa | grep -c "chrony") -eq 0 ]];then
  dnf install -y chrony
fi

# резервное копированиедокумент
cp /etc/chrony.conf{,.bak}

# chrony Синхронизация конфигурации, где 192.168.2.254 длявнутреннийупражнятьсясервер
VAR_NTP_SERVER=( "192.168.10.254" "ntp.aliyun.com" "ntp.tencent.com" )
grep -E -q "^server" /etc/chrony.conf | sed -i 's/^server/# server/g' /etc/chrony.conf 
grep -E -q "^pool" /etc/chrony.conf | sed -i 's/^pool/# pool/g' /etc/chrony.conf 
for ntp in ${VAR_NTP_SERVER[@]};do 
  if [[ ${ntp} =~ "ntp" ]];then
    echo "pool ${ntp} iburst maxsources 4" >> /etc/chrony.conf;
  else
    echo "pool ${ntp} iburst maxsources 1" >> /etc/chrony.conf;
  fi
done

# сдавать возможность 
systemctl enable chronyd.service && systemctl restart chronyd.service

# 硬件времяпо умолчаниюдляUTC：
timedatectl set-local-rtc 0
# давать Возможность синхронизации времени NTP:
timedatectl set-ntp yes
# Время калибровки сервера:
chronyc tracking

weiyigeek.top-Настройка графика синхронизации времени Rocky

8. Установите и установите графический интерфейс GNOME.

описывать：существовать Rocky самый маленький Установитьназаднравитьсяхочуотинтерфейс персонажа,Изменятьдля Графический интерфейс Можетв соответствии снравиться Вниз Заказруководить Установитькартинаформаизменятьинтерфейс：

# Установить GNOME Графический интерфейс (Rocky 8、9 и CentOS 7 Название другое)
yum groupinstall "Server with GUI" 
# Установить Графический интерфейсуправлятьинструмент
yum groupinstall "Graphical Administration Tools" 

# запускать Графический интерфейс
startx  

9. Установите службы SNMP и VM-tools.

# Установить SNMP Служить
dnf -y install net-snmp net-snmp-devel net-snmp-libs net-snmp-utils

# Установить vm-tools Служить (картинакартинаинтерфейс Установить,Адаптируемый экран,интерфейс персонажапо-видимомубез Чтоиспользовать)
# http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2073803
yum -y install open-vm-tools
vmtoolsd -v && systemctl start vmtoolsd
  # VMware Tools daemon, version 12.2.5.43614 (build-21855600)

10. Автодополнение команды установки

# этот Конфигурация Заказс Автодополнение игнорирует регистр только для Bash иметьэффект。
echo 'set completion-ignore-case on' >> ~/.inputrc

# Установитьсдинамическое завершение bash-completion программное обеспечение Rocky 9 Принесите свой собственный
dnf install bash-completion 

# создавать vi мягкая ссылка на vim
ln -s /usr/bin/vim /usr/local/bin/vi

Теплое напоминание: если вы хотите, чтобы терминал Shell был более красочным, вы можете использовать zsh ,Поддержите большеизшаблонки插件Функция Расширять,в целомсуществоватьиндивидуальный Человек развивается на компьютере Конфигурация,Для онлайн-бизнеса сервер обычно не рекомендуется.

ZSH из Функциячрезвычайно мощный,Просто конфигурация слишком сложна.,Сначала толькоиметь Компьютерный талантсуществоватьиспользовать,Позже разработано большими парнями Созданныйодининдивидуальныйимядляoh-my-zshизоткрытьисточникпроект（Проходитьиспользоватьсильный пол：Ubuntu Win10 все Можетиспользовать）；сэтот,Просто нужно быть простымиз Установить Конфигурация,Начинающие программисты могут использовать высококлассную атмосферу и класс.,Безумно круто и взрывноизoh my zsh,Пожалуйста, обратитесь к следующему процессу. Официальный сайт: https://ohmyz.sh/ Адрес проекта: https://github.com/ohmyzsh/ohmyzsh.

# Установить zsh и git
dnf -y install zsh git
# выключатель shell для zsh
chsh -s /bin/zsh

# Установить oh-my-zsh 
# проект https://github.com/ohmyzsh/ohmyzsh
# curl sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"
sh -c "$(curl -fsSL https://install.ohmyz.sh/)"  # одомашненный
sed -i '/^ZSH_THEME=.*/c ZSH_THEME="random"' ~/.zshrc
echo 'alias ll="ls -lahF --color=auto --time-style=long-iso"' >> ~/.zshrc
# Установитьсдинамическое завершение
git clone https://github.com/sangrealest/zsh-autosuggestions.git ~/.oh-my-zsh/custom/plugins/zsh-autosuggestions
sed -i '/^plugins=.*/c plugins=(git zsh-autosuggestions)' ~/.zshrc

# Конфигурация действительна
источник ~/.zshrc

Схема конфигурации установки weiyigeek.top-zsh-ohmyzsh

11. Активируйте веб-терминал управления кабиной.

описывать: лидасуществовать RHEL8、CentOS8 возвращатьсядасейчассуществоватьиз Rocky 8、9 Все интегрировано после установки по умолчанию cockpit инструмент,иисуществоватькаждый раз, когда вы входите в системусерверпредложит вам активировать Заказ,Cockpit（кабина самолета）основнойиспользуется длясуществовать web в браузере Проверятьсерверииспользовать鼠标Выполнять ХОРОШОсистема Задача,Легко управлять хранилищем, сетью, проверять журналы и т. д.,иивозвращаться Можеткот Cockpit Web интерфейссоздаватьиуправлятьвиртуальная машина, использоватьсемья Можетксоздаватьиуправлять基В libvirt виртуальная машина.

# Установить cockpit （Rocky 8、9、CentOS8 Интегрировано по умолчанию)
yum -y install cockpit

# давать возможность cockpit
systemctl enable --now cockpit.socket

Он очень прост в использовании, доступ к нему осуществляется через браузер. https://IP-адрес хоста: 9090 Затем введите пароль пользователя хоста (по умолчанию root пользователь отключен), чтобы войти в систему Cockpit По интерфейсу управления, в связи с тестированием здесь отпустили root Разрешения,прямойсуществовать /etc/cockpit/disallowed-users Комментировать root Эта линия.

# Отмена Запрещать
vim /etc/cockpit/disallowed-users
# List of users which are not allowed to login to Cockpit
# root

# Перезапуск
systemctl restart cockpit.socket

weiyigeek.top-Схема входа в систему управления панелью управления

Войдите в серверную часть, и вы увидите рабочие функции и соответствующие наборы инструментов в левой строке меню. Чаще всего используются инструменты терминала. Использование визуального управления и обслуживания очень удобно и повышает эффективность нашей работы. обслуживающий персонал Если Вам интересно, поторопитесь и установите его на свой сервер!

Схема интерфейса управления weiyigeek.top-cockpit

12.Создавайте шаблоны изображений и очищайте их.

описывать: существоватьвиртуальная машина环境серединанас Может ВоляRockyДелатьодининдивидуальный纯净шаблонвиртуальная машина,этотчасдляуменьшенныйвиртуальная машинаразмер,наснуждаться Волясистемав Очистить связанные журналы,Экономия места достигнутаизэффектфрукты。

# убиратьпрограммное обеспечениеисточниккэш
dnf autoremove
dnf clean all

# убиратьвременныйдокументпапка
rm -rf /tmp/*  # Прозрачныйвременныйдокументпапка

# весьиз Очистить историю
rm -f /var/log/audit/audit*
echo > /var/log/audit/audit.log
rm -f /var/log/secure*
echo > /var/log/secure
rm -f /var/log/btmp*
echo > /var/log/btmp
rm -f /var/log/wtmp*
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > ~/.bash_history
echo > ~/.zsh_history
history -c

На этом первоначальная установка и настройка Rocky Linux 9 завершена. Если вам нужны другие меры по усилению безопасности, вы можете продолжить следить за автором. Автор скоро выпустит скрипт усиления безопасности хоста Rocky Linux 9. Спасибо за вашу поддержку. !