Rocky Linux 8.9系统调优实战指南从基础配置到生产级加固当你第一次登录到全新的Rocky Linux 8.9系统时那种干净利落的终端提示符既让人兴奋又有些无所适从。作为CentOS的继承者Rocky Linux延续了企业级Linux的稳定基因但一个未经调优的系统就像毛坯房——功能完整却远未达到舒适居住的标准。本文将带你完成从能用到好用的关键转变这些配置步骤源于我在数十次生产环境部署中积累的最佳实践。1. 网络配置与系统基础调优刚安装完的系统就像一辆未调试的跑车首先要解决的是网络连接这个方向盘。Rocky Linux 8.9默认使用NetworkManager管理网络虽然比传统的network服务更现代但对习惯ifconfig的老手可能需要适应期。配置静态IP是服务器标准操作使用nmcli命令既高效又可脚本化# 查看当前网络连接名称 nmcli connection show # 设置静态IP示例为ens192网卡 sudo nmcli connection modify ens192 ipv4.method manual \ ipv4.addresses 192.168.1.100/24 \ ipv4.gateway 192.168.1.1 \ ipv4.dns 8.8.8.8 # 激活配置 sudo nmcli connection up ens192国内用户必做替换默认软件源。官方源在国内访问速度堪忧清华源和阿里云都是可靠选择# 备份原有repo文件 sudo mv /etc/yum.repos.d/Rocky-*.repo /tmp/ # 下载清华源配置 sudo curl -o /etc/yum.repos.d/Rocky-BaseOS.repo https://mirrors.tuna.tsinghua.edu.cn/rocky/8.9/BaseOS/x86_64/os/Rocky-BaseOS.repo sudo curl -o /etc/yum.repos.d/Rocky-AppStream.repo https://mirrors.tuna.tsinghua.edu.cn/rocky/8.9/AppStream/x86_64/os/Rocky-AppStream.repo # 清理并重建缓存 sudo dnf clean all sudo dnf makecache系统更新与基础工具安装# 更新所有包重要安全补丁 sudo dnf update -y # 安装开发者工具集和常用工具 sudo dnf groupinstall Development Tools -y sudo dnf install vim-enhanced bash-completion net-tools lsof htop tmux -y2. 用户管理与权限控制直接使用root账户就像在施工现场不戴安全帽——危险且不专业。合理的用户权限管理是系统安全的第一道防线。创建具有sudo权限的管理用户示例用户名为admin# 创建用户并设置密码 sudo useradd -m -G wheel admin sudo passwd admin # 测试sudo权限 su - admin sudo whoami关键加固措施限制root远程登录。编辑SSH配置文件sudo vim /etc/ssh/sshd_config找到并修改以下参数PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes重启SSH服务生效sudo systemctl restart sshd对于需要多人协作的环境建议使用SSH密钥对认证。生成密钥对ssh-keygen -t ed25519 -C your_emailexample.com # 将公钥上传到服务器 ssh-copy-id adminyour_server_ip3. 防火墙与SELinux配置firewalld是Rocky Linux 8.9的默认防火墙解决方案相比iptables更易管理但同样强大。生产环境必须开启防火墙只放行必要的服务端口。查看当前防火墙状态sudo firewall-cmd --state sudo firewall-cmd --list-all放行常用服务端口示例为SSH和HTTP/HTTPSsudo firewall-cmd --permanent --add-servicessh sudo firewall-cmd --permanent --add-servicehttp sudo firewall-cmd --permanent --add-servicehttps sudo firewall-cmd --reloadSELinux是企业级Linux的重要安全特性虽然学习曲线陡峭但不建议禁用。设置为enforcing模式# 查看当前状态 getenforce # 修改配置文件永久生效 sudo sed -i s/SELINUX.*/SELINUXenforcing/ /etc/selinux/config遇到SELinux相关权限问题时可以先检查审计日志sudo ausearch -m avc -ts recent4. 系统监控与性能调优了解系统状态就像定期体检可以预防潜在问题。Rocky Linux 8.9内置了一些实用工具查看系统基本信息组合命令echo -e CPU型号: $(lscpu | grep Model name | cut -d: -f2 | sed s/^ *//)\n内存总量: $(free -h | awk /Mem:/{print $2})\n磁盘空间: $(df -h / | awk NR2{print $4 free of $2})安装并配置更强大的监控工具sudo dnf install epel-release -y sudo dnf install glances -y # 运行glances按q退出 glances内核参数调优对于高负载服务器尤为重要。创建自定义sysctl配置sudo vim /etc/sysctl.d/99-custom.conf添加以下优化参数# 减少TCP连接等待时间 net.ipv4.tcp_fin_timeout 30 # 提高系统同时保持TIME_WAIT状态套接字的最大数量 net.ipv4.tcp_max_tw_buckets 200000 # 启用TCP快速打开 net.ipv4.tcp_fastopen 3应用配置sudo sysctl -p /etc/sysctl.d/99-custom.conf5. 日志管理与自动化维护系统日志是故障排查的金矿合理配置日志轮转可以避免磁盘被撑爆。Rocky Linux 8.9使用rsyslog和logrotate组合管理日志。查看最近系统日志sudo journalctl -xe --no-pager | tail -20关键日志文件位置/var/log/messages常规系统消息/var/log/secure认证相关日志/var/log/audit/audit.logSELinux审计日志配置自动化日志清理示例保留30天日志sudo vim /etc/logrotate.d/custom添加以下内容/var/log/*.log { daily missingok rotate 30 compress delaycompress notifempty create 640 root adm sharedscripts postrotate /usr/bin/systemctl kill -s HUP rsyslog.service /dev/null 21 || true endscript }设置定时系统更新与清理通过crontab(sudo crontab -l 2/dev/null; echo 0 3 * * * /usr/bin/dnf update -y /usr/bin/dnf autoremove -y) | sudo crontab -6. 备份策略与灾难恢复没有备份的系统就像走钢丝不系安全带。Rocky Linux 8.9提供了多种备份方案选择。关键目录备份脚本示例保存到/backups#!/bin/bash BACKUP_DIR/backups/$(date %Y%m%d) mkdir -p $BACKUP_DIR # 备份重要配置文件 tar -czf $BACKUP_DIR/etc.tar.gz /etc # 备份用户目录 tar -czf $BACKUP_DIR/home.tar.gz /home # 备份软件包列表 rpm -qa $BACKUP_DIR/installed_packages.list安装并配置BorgBackup实现增量备份sudo dnf install borgbackup -y # 初始化备份仓库 borg init --encryptionrepokey /path/to/repo # 创建首次备份 borg create /path/to/repo::{hostname}-{now} /etc /home /var/log系统快照工具timeshift的配置sudo dnf install timeshift -y # 首次配置选择BTRFS文件系统才有快照功能 sudo timeshift --create --comments Initial snapshot # 设置自动每日快照 sudo timeshift --setup --daily --keep-daily 77. 开发环境与容器支持现代Linux服务器很少只运行基础服务开发工具和容器支持已成为标配。安装PodmanRed Hat推荐的Docker替代品sudo dnf install podman podman-docker -y # 验证安装 podman --version # 运行测试容器 podman run -it --rm alpine sh开发工具链配置# 安装完整开发环境 sudo dnf groupinstall Development Tools -y # 安装Python 3.9及常用模块 sudo dnf install python39 python39-devel -y sudo alternatives --set python /usr/bin/python3.9 python -m pip install --upgrade pip python -m pip install numpy pandas requests数据库客户端工具集# MySQL/MariaDB客户端 sudo dnf install mariadb-connector-c mariadb-connector-c-devel -y # PostgreSQL客户端 sudo dnf install postgresql postgresql-devel -y # Redis客户端 sudo dnf install redis -y8. 安全加固进阶措施基础安全配置只是开始生产环境需要更严格的防护措施。安装并配置fail2ban防止暴力破解sudo dnf install fail2ban -y sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local # 编辑配置文件增加防护规则 sudo vim /etc/fail2ban/jail.local启动服务sudo systemctl enable --now fail2ban配置自动安全更新仅安装安全补丁sudo dnf install dnf-automatic -y sudo sed -i s/apply_updates no/apply_updates yes/ /etc/dnf/automatic.conf sudo systemctl enable --now dnf-automatic.timer内核实时补丁工具减少重启需求sudo dnf install kpatch -y # 查看可用补丁 sudo kpatch list9. 网络性能优化对于高流量服务器默认网络配置可能需要调整以获得最佳性能。启用BBR拥塞控制算法需要内核4.9echo net.core.default_qdiscfq | sudo tee -a /etc/sysctl.d/99-custom.conf echo net.ipv4.tcp_congestion_controlbbr | sudo tee -a /etc/sysctl.d/99-custom.conf sudo sysctl -p /etc/sysctl.d/99-custom.conf # 验证 sysctl net.ipv4.tcp_congestion_control优化网络栈参数cat EOF | sudo tee -a /etc/sysctl.d/99-custom.conf # 增大TCP窗口大小 net.core.rmem_max 16777216 net.core.wmem_max 16777216 # 增加最大连接数 net.core.somaxconn 65535 # 快速回收TIME-WAIT套接字 net.ipv4.tcp_tw_reuse 1 EOF sudo sysctl -p /etc/sysctl.d/99-custom.conf10. 系统清理与空间管理随着系统运行及时清理可以保持最佳性能。查找大文件超过100MBsudo find / -type f -size 100M -exec ls -lh {} 2/dev/null | awk { print $9 : $5 }清理旧内核和缓存# 查看已安装内核 sudo rpm -q kernel # 保留最新2个内核清理其余 sudo dnf remove --oldinstallonly --setopt installonly_limit2 # 清理包管理器缓存 sudo dnf clean all日志文件空间占用分析sudo du -sh /var/log/* # 按日期清理旧日志 sudo find /var/log -type f -name *.log -mtime 30 -delete
