CentOS系统如何维护

CentOS系统维护实操手册

一 更新与补丁管理

• 变更前准备：先完成数据与配置备份，选择非高峰时段操作，并在条件允许时先在测试环境验证。更新后用sudo reboot重启以完成内核等变更生效。
• 检查与更新：使用包管理器检查并执行更新（CentOS 7 常用 yum，CentOS 8/RHEL 8+ 可用 dnf）。示例：
  • 检查可用更新：sudo yum check-update
  • 更新全部包：sudo yum update -y；更新单个包：sudo yum update < package_name>
  • 清理缓存释放空间：sudo yum clean all
• 安全补丁与自动化：对关键系统建议启用安全补丁自动更新。在 CentOS 7 上可安装并启用 yum-cron，编辑 /etc/yum/yum-cron.conf 将 update_cmd=security，随后执行：
  • 安装与启用：sudo yum install -y yum-cron & & sudo systemctl enable --now yum-cron
• 版本升级与跨版本迁移：需要跨大版本时，可使用 yum distro-sync 进行发行版同步；或更新发行包版本号后执行更新（如：sudo yum update centos-release-< new_version> ），升级完成后重启。
• 回滚与验证：更新后核对关键业务状态，保留回滚方案（快照/备份/可回退的包版本）。

二 安全加固与访问控制

• 防火墙：启用并最小化放行必要端口（如 22/80/443）。示例：
  • 放行服务：sudo firewall-cmd --permanent --add-service=ssh --add-service=http --add-service=https
  • 使配置生效：sudo firewall-cmd --reload
• SSH 安全：
  • 禁用 root 远程登录：PermitRootLogin no
  • 优先使用公钥认证，必要时禁用密码登录：PasswordAuthentication no
  • 限制来源 IP（在防火墙或 /etc/hosts.allow / etc/hosts.deny 中控制）
• SELinux：保持Enforcing 模式，必要时通过策略或布尔值放行应用需求，定期核查状态：sestatus
• 账户与权限：贯彻最小权限原则，使用 sudo 而非直接 root 登录，定期清理过期/共享账户与弱口令。

三 监控 日志与备份

• 资源与性能监控：
  • 实时查看：top/htop/vmstat
  • 长期监控与告警：部署 Prometheus + Grafana、Nagios 等，覆盖 CPU、内存、磁盘 IO、网络与关键服务可用性。
• 日志体系：
  • 系统日志位置：/var/log/（如 messages、secure、cron、boot.log）
  • 使用 journalctl 查询与追踪：journalctl -n 10、journalctl -u
  • 日志轮转：通过 logrotate 配置按大小/时间切分与压缩，防止日志膨胀（配置于 /etc/logrotate.conf 及 /etc/logrotate.d/）。
  • 远程集中：使用 rsyslog 将日志发送至远程服务器（UDP/TCP 514），便于统一检索与审计。
• 备份策略：
  • 频率与方式：建议每周全量 + 每日增量，关键数据可结合 rsync/tar 等工具；
  • 可靠性：实施异地备份与定期恢复演练，确保可验证与可回滚。

四 日常维护例行清单

五 常见故障排查速查

• 服务异常：定位服务日志与单元状态，示例：journalctl -u -xe、systemctl status ；必要时回滚最近变更并核查配置语法。
• 磁盘空间不足：快速排查与清理，示例：df -h、du -sh /var/log /var/cache；结合 logrotate 调整保留策略并清理历史轮转文件。
• 无法远程登录：先检查网络与端口连通（如 ss -tnlp | grep :22），再核查 firewalld 与 /etc/ssh/sshd_config（如 PermitRootLogin、PasswordAuthentication），修改后执行 systemctl reload sshd 并验证。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！