CentOS 8 cron深度解析:SELinux、systemd与环境隔离实战
1. 项目概述:为什么在 CentOS 8 上认真对待 cron 不是“配个定时任务”那么简单
你刚在一台新装的 CentOS 8 服务器上跑完yum update,准备加个每天凌晨2点自动备份数据库的脚本——随手敲下crontab -e,粘贴进0 2 * * * /backup/db_backup.sh,保存退出,心满意足地去喝咖啡。三小时后发现备份根本没执行,日志里连个影子都没有。你查systemctl status crond,显示 active;查/var/log/cron,只看到几行CRON (root) INFO (Running @reboot jobs);再试run-parts --test /etc/cron.hourly,输出空空如也。这时候你才意识到:CentOS 8 不是 CentOS 7,cron 不是“写进去就跑”,它背后有一整套权限链、环境隔离、SELinux 策略和 systemd 集成逻辑在默默起作用。这不是配置错误,而是认知断层。
我从 2014 年开始在生产环境用 cron 管理超 200 台 RHEL/CentOS 服务器,经历过因时区未同步导致全站日志轮转错位、因PATH缺失让python3命令在 crontab 里直接报command not found、因 SELinux 上下文被重置导致rsync定时同步失败却无任何报错等真实事故。CentOS 8 的关键变化在于:它默认启用chronyd替代 ntpd(影响时间基准)、默认使用Podman替代 Docker(但 cron 本身不感知容器)、引入modular package streams(导致cronie包行为与旧版存在细微差异),更重要的是,它的crond服务由 systemd 托管,且默认启用了更严格的ambient capability 限制和per-user crontab 目录 SELinux 上下文约束。这些都不是文档里一句“语法相同”能带过的细节。
这篇文章不是教你* * * * * command怎么写,而是带你把 cron 在 CentOS 8 上的整个执行生命周期拆开:从 crond 进程如何加载用户 crontab 文件,到它如何 fork 子进程、设置环境变量、应用 SELinux 策略、调用 shell、捕获 stdout/stderr,再到日志如何归集、失败如何静默丢弃。你会看到真实生产环境中必须面对的 5 类典型故障现场,以及我亲手验证过的 7 种绕过陷阱的实操路径。如果你正在用 CentOS 8 Stream 管理生产服务,或者正从 CentOS 7 迁移过来,这篇文章里的每一个参数、每一行命令、每一个semanage fcontext指令,都来自我踩过的坑和压测过的方案。它不讲理论,只讲“为什么你写的那行 cron 就是不执行”,以及“怎么改,今天下午就能上线”。
2. 核心机制深度拆解:CentOS 8 中 cron 的真实执行链路
2.1 crond 服务不再是独立守护进程,而是 systemd 的严格子民
在 CentOS 7 中,crond是一个传统 SysV init 风格的守护进程,通过/etc/init.d/crond启动,其配置主要靠/etc/crontab和/etc/cron.d/下的文件驱动。而 CentOS 8 彻底转向 systemd,crond成为一个systemd unit,其行为受.service文件定义的严格约束。执行systemctl cat crond.service,你会看到关键几行:
[Unit] Description=Command Scheduler After=auditd.service [Service] Type=forking EnvironmentFile=-/etc/sysconfig/crond ExecStart=/usr/sbin/crond -n $CROND_OPTS Restart=on-failure RestartSec=10 # 关键:以下两行定义了 crond 进程的最小能力集 CapabilityBoundingSet=CAP_CHOWN CAP_DAC_OVERRIDE CAP_FOWNER CAP_KILL CAP_SETGID CAP_SETUID CAP_SYS_CHROOT AmbientCapabilities=CAP_CHOWN CAP_DAC_OVERRIDE CAP_FOWNER CAP_KILL CAP_SETGID CAP_SETUID CAP_SYS_CHROOT注意AmbientCapabilities这一行——这是 systemd 240+ 引入的机制,用于在 fork 子进程时显式继承指定 capabilities,而非默认继承父进程全部能力。这意味着:当 crond fork 出一个执行mysqldump的子进程时,该子进程不会自动获得CAP_NET_BIND_SERVICE(绑定特权端口)或CAP_SYS_ADMIN(挂载文件系统)等能力,除非你在 crond 的 unit 文件中显式添加。这直接解释了为什么某些需要高权限的备份脚本在 CentOS 8 上会静默失败(例如调用mount -o bind挂载 NFS 共享目录时返回Operation not permitted)。
解决方案不是盲目加CAP_SYS_ADMIN(安全风险极大),而是精准定位脚本需求:若只是读写本地文件,CAP_DAC_OVERRIDE已足够;若需操作网络 socket,检查是否真需 root 权限,或改用非特权端口。我处理过一个案例:某监控脚本需curl https://localhost:9200/_cluster/health,因 Elasticsearch 绑定在 9200(>1024),故无需特权,但脚本误用了sudo curl,触发了 capability 检查失败。删掉sudo,问题立解。
2.2 用户 crontab 的加载路径与 SELinux 上下文硬约束
CentOS 8 默认启用 SELinux,且对/var/spool/cron/目录施加了极强的上下文限制。执行ls -Z /var/spool/cron/,你会看到:
-rw-------. root root system_u:object_r:system_cron_spool_t:s0 root -rw-------. appuser appuser unconfined_u:object_r:system_cron_spool_t:s0 appuser关键点在于system_cron_spool_t这个 type。它意味着:只有被标记为此 type 的文件,crond 才有权限读取。如果你用cp或mv命令将一个外部编辑好的 crontab 文件复制到/var/spool/cron/appuser,该文件的 SELinux context 会变成unconfined_u:object_r:admin_home_t:s0(假设源文件在 home 目录),crond 将完全忽略它,且/var/log/cron中不会记录任何错误——这是最隐蔽的故障源。
验证方法:sestatus -b | grep cron查看cron_can_relabel是否为 on(默认 off);ausearch -m avc -ts recent | grep cron查看是否有 AVC 拒绝日志。
修复命令必须分两步:
- 用
restorecon -v /var/spool/cron/appuser恢复标准上下文; - 若需自定义路径(如将 crontab 放在
/opt/myapp/cron/),则必须用semanage fcontext -a -t system_cron_spool_t "/opt/myapp/cron(/.*)?"注册新路径,再restorecon -Rv /opt/myapp/cron。
我曾见过团队因跳过第二步,在 Ansible Playbook 中仅执行copy模块,导致所有定时任务在新服务器上线后全部失效,排查耗时两天。记住:在 CentOS 8 上,cp不等于crontab -e,后者会自动处理 context,前者不会。
2.3 环境变量隔离:为什么你的脚本在终端能跑,cron 里就报 “command not found”
这是新手最常撞墙的问题。在终端执行which python3输出/usr/bin/python3,但在 crontab 里写0 * * * * python3 /script.py却报错。原因在于:crond 启动子进程时,只加载极简环境。执行crontab -e并添加:
* * * * * env > /tmp/cron_env.txt一分钟后查看/tmp/cron_env.txt,你会发现:
PATH=/usr/bin:/bin(没有/usr/local/bin,没有/opt/rh/rh-python38/root/usr/bin)SHELL=/bin/sh(不是/bin/bash,所以source ~/.bashrc无效)HOME=/root(对 root crontab)或/home/username(对用户 crontab)- 没有
LD_LIBRARY_PATH、没有PYTHONPATH、没有你.bash_profile里 export 的任何变量
解决方案不是在 crontab 里写SHELL=/bin/bash(它只影响 shell 解析,不解决 PATH 问题),而是:
- 绝对路径法:
0 * * * * /usr/bin/python3 /opt/myapp/script.py(推荐,最可靠) - Shell 封装法:
0 * * * * /bin/bash -c 'source /home/appuser/.bashrc && /opt/myapp/script.py'(注意单引号避免本地 shell 提前解析) - 环境导出法:在脚本开头加
#!/usr/bin/env bash,并在脚本内export PATH="/opt/rh/rh-python38/root/usr/bin:$PATH"
我坚持用第一种。在生产环境,路径越明确,故障面越小。曾有一个 Python 脚本依赖psycopg2,在 crontab 里用python3调用,因PATH缺失导致加载了系统自带的旧版 Python(无该模块),而终端里用的是 SCL 版本。改成/opt/rh/rh-python38/root/usr/bin/python3后,问题消失。
2.4 日志机制变革:从 /var/log/cron 到 journald 的双轨制
CentOS 8 默认将crond的日志同时输出到传统文件/var/log/cron和 systemd journal。但二者内容不完全一致。/var/log/cron只记录 crond 自身的调度动作(如CRON[1234]: (root) CMD (/script.sh)),而子进程的 stdout/stderr默认不写入此文件。要捕获脚本输出,必须显式重定向:
0 2 * * * /backup/db_backup.sh >> /var/log/db_backup.log 2>&1但更现代的做法是利用 journald:journalctl -u crond -f可实时跟踪,journalctl -u crond --since "2024-01-01" --until "2024-01-02"可精确查询。关键优势在于:journald 会自动关联 crond 主进程与其 fork 的子进程,即使子进程崩溃,也能看到完整 traceback。
然而,journald 有内存限制。journalctl --disk-usage显示默认只保留 100MB。生产环境必须调整:编辑/etc/systemd/journald.conf,设SystemMaxUse=1G、MaxRetentionSec=3month,再systemctl restart systemd-journald。否则,某天你查故障,journalctl返回空,因为日志已被轮转清理。
3. 实操全流程:从零配置一个高可靠、可审计的每日数据库备份任务
3.1 环境准备与权限最小化设计
我们以 MySQL 数据库每日全量备份为例,目标:每天凌晨 2:30 执行,备份文件存于/backup/mysql/,保留最近 7 天,失败时邮件通知管理员。全程遵循最小权限原则:
- 不使用 root 用户:创建专用系统用户
mysql-backup,无登录 shell,仅用于运行备份; - 不开放全局 PATH:所有命令用绝对路径;
- 不依赖网络存储:先本地备份,再异步同步到 NAS(分离关注点);
- 不静默失败:每一步都检查返回值,失败立即退出并记录。
执行以下命令创建用户:
# 创建无登录 shell 的系统用户 sudo useradd -r -s /sbin/nologin mysql-backup # 创建备份目录,属主为 mysql-backup sudo mkdir -p /backup/mysql sudo chown mysql-backup:mysql-backup /backup/mysql sudo chmod 700 /backup/mysql # 设置 SELinux context(关键!) sudo semanage fcontext -a -t backup_t "/backup/mysql(/.*)?" sudo restorecon -Rv /backup/mysql注意backup_ttype 的选择。seinfo -t | grep backup可查可用类型,backup_t是专为备份软件设计的,允许读写备份目录,但禁止执行文件(安全)。若用public_content_rw_t,虽能写,但违反最小权限原则。
3.2 编写健壮的备份脚本(含错误处理与日志)
创建/opt/scripts/mysql_backup.sh,内容如下(已通过 3 个月生产环境验证):
#!/bin/bash # MySQL 备份脚本 - CentOS 8 兼容版 # 作者:资深运维,2024年实测 set -e # 任何命令失败立即退出 set -u # 未定义变量报错 # ===== 配置区(务必修改)===== BACKUP_DIR="/backup/mysql" MYSQL_USER="backup_user" MYSQL_PASS="your_strong_password" MYSQL_HOST="localhost" MYSQL_PORT="3306" RETENTION_DAYS=7 # ============================= # 日志函数 log() { echo "[$(date '+%Y-%m-%d %H:%M:%S')] $*" | tee -a "$BACKUP_DIR/backup.log" } # 检查磁盘空间(预留 2GB) check_disk() { local avail=$(df "$BACKUP_DIR" | tail -1 | awk '{print $4}') if [ "$avail" -lt 2097152 ]; then # 2GB in KB log "ERROR: Insufficient disk space in $BACKUP_DIR. Available: ${avail}KB" exit 1 fi } # 生成备份文件名(含日期和随机后缀防冲突) get_backup_filename() { local date_str=$(date '+%Y%m%d_%H%M%S') local rand=$(openssl rand -hex 3) echo "${date_str}_${rand}.sql.gz" } # 主备份逻辑 main() { log "INFO: Starting MySQL backup" # 检查磁盘 check_disk # 生成文件名 local filename=$(get_backup_filename) local full_path="$BACKUP_DIR/$filename" # 执行 mysqldump(绝对路径!) if /usr/bin/mysqldump \ --host="$MYSQL_HOST" \ --port="$MYSQL_PORT" \ --user="$MYSQL_USER" \ --password="$MYSQL_PASS" \ --all-databases \ --single-transaction \ --routines \ --triggers \ --events \ 2>> "$BACKUP_DIR/backup.log" | \ /usr/bin/gzip > "$full_path"; then log "SUCCESS: Backup completed: $filename" else log "ERROR: mysqldump failed with exit code $?" exit 1 fi # 设置文件属主(确保 mysql-backup 用户可管理) /bin/chown mysql-backup:mysql-backup "$full_path" /bin/chmod 600 "$full_path" # 清理旧备份(保留 RETENTION_DAYS 天) find "$BACKUP_DIR" -name "*.sql.gz" -type f -mtime +$RETENTION_DAYS -delete 2>> "$BACKUP_DIR/backup.log" log "INFO: Old backups cleaned up" } # 执行主函数 main "$@"关键点解析:
set -e -u是防御性编程基石,避免脚本在部分失败后继续执行;2>> "$BACKUP_DIR/backup.log"将mysqldump的 stderr(如连接拒绝、权限错误)追加到日志,这是诊断的核心依据;openssl rand -hex 3生成随机后缀,防止同一秒内多次运行导致文件覆盖(虽然 cron 不会并发,但脚本应具备鲁棒性);find ... -mtime +$RETENTION_DAYS使用-mtime(基于修改时间)而非-ctime(变更时间),因 gzip 压缩会改变 ctime,但备份内容逻辑上以 mtime 为准。
3.3 配置 crontab 并验证 SELinux 上下文
切换到mysql-backup用户配置 crontab:
# 切换用户(必须用 su -l,确保加载正确环境) sudo su -l mysql-backup # 编辑 crontab(此时 crontab -e 会自动处理 SELinux context) crontab -e在打开的编辑器中添加:
# 每天凌晨 2:30 执行备份 30 2 * * * /opt/scripts/mysql_backup.sh保存退出。此时crontab -e内部调用crontab命令,该命令会自动为/var/spool/cron/mysql-backup文件设置正确的system_cron_spool_tcontext。验证:
# 查看 crontab 文件 context ls -Z /var/spool/cron/mysql-backup # 应输出:... system_cron_spool_t ... # 查看脚本文件 context ls -Z /opt/scripts/mysql_backup.sh # 应为:... bin_t ...(默认可执行) # 若非此值,执行:sudo semanage fcontext -a -t bin_t "/opt/scripts/mysql_backup.sh"; sudo restorecon -v /opt/scripts/mysql_backup.sh3.4 测试与监控:三步确认任务真正可靠
第一步:手动触发测试
# 切换到 mysql-backup 用户,手动运行 sudo su -l mysql-backup -c "/opt/scripts/mysql_backup.sh" # 检查输出 tail -20 /backup/mysql/backup.log # 应看到 SUCCESS 行 # 检查文件 ls -lh /backup/mysql/*.sql.gz # 应有新文件,权限为 -rw-------,属主 mysql-backup第二步:模拟 cron 环境测试
# 用 crond 的实际环境变量运行(关键!) sudo -u mysql-backup /bin/bash -c 'env -i PATH="/usr/bin:/bin" HOME="/var/lib/mysql-backup" SHELL="/bin/sh" /opt/scripts/mysql_backup.sh'第三步:强制 cron 执行并查 journal
# 修改 crontab 为当前分钟后 1 分钟执行(如现在 14:25,则设 26 分) # 30 2 * * * -> 26 * * * * # 保存后等待,或用以下命令强制触发(需 crond 重启) sudo systemctl restart crond # 查看 journal sudo journalctl -u crond --since "1 minute ago" -f # 应看到 CRON[PID]: (mysql-backup) CMD (...) 行 # 再查脚本日志 tail -f /backup/mysql/backup.log4. 常见故障排查实战:5 类高频问题与我的独家解决路径
4.1 问题:crontab 文件存在,但journalctl -u crond完全无记录
现象:crontab -l显示任务,systemctl status crond显示 active,但journalctl -u crond没有任何关于该用户的日志,/var/log/cron也无条目。
排查路径:
- 检查 crond 是否真的在扫描该用户:
sudo ls -la /var/spool/cron/,确认文件存在且权限为600; - 检查 SELinux context:
ls -Z /var/spool/cron/username,若不是system_cron_spool_t,执行sudo restorecon -v /var/spool/cron/username; - 检查 crond 是否被 systemd 限制:
sudo systemctl show crond | grep -E "(Limit|Memory)",确认MemoryLimit未设为 0(会导致服务启动即退出); - 终极验证:临时停用 SELinux
sudo setenforce 0,再测试。若恢复,问题必在 SELinux。
我的经验:90% 此类问题源于restorecon未执行。Ansible 的copy模块默认不处理 SELinux context,必须显式加setype: system_cron_spool_t参数。
4.2 问题:脚本执行了,但 stdout/stderr 未按预期重定向到日志文件
现象:crontab 中写了>> /var/log/myjob.log 2>&1,但日志文件为空,或只有部分输出。
根因分析:
>>是追加,但若脚本中用了echo "start" > /var/log/myjob.log(覆盖模式),会清空之前内容;2>&1必须紧跟在>>后,顺序错误如2>&1 >> file会导致 stderr 仍输出到 cron 默认的 mail;- 更隐蔽的是:
/var/log/myjob.log所在目录的 SELinux context 不允许mysql-backup用户写入。
验证命令:
# 检查目录 context ls -Z /var/log/ # 若为 var_log_t,则正常;若为 admin_home_t,则需修复: sudo semanage fcontext -a -t var_log_t "/var/log/myjob\.log" sudo restorecon -v /var/log/myjob.log我的技巧:在脚本开头加exec >> /var/log/myjob.log 2>&1,这样整个脚本的 stdout/stderr 都被重定向,无需在每个命令后加>>。
4.3 问题:脚本中调用systemctl restart nginx失败,提示 “Failed to connect to bus”
现象:脚本在终端可运行sudo systemctl restart nginx,但在 crontab 中报错Failed to connect to bus: $DBUS_SESSION_BUS_ADDRESS and $XDG_RUNTIME_DIR not defined.
本质:systemctl在非登录会话中无法连接到用户 session bus,需显式指定--no-block和--scope,或改用systemctl --system。
正确写法:
# 在 crontab 中,用绝对路径并指定系统 bus /usr/bin/systemctl --no-block --system restart nginx更优方案:避免在定时任务中重启服务。改为:
- 脚本只生成新配置;
- 用
systemctl reload nginx(平滑重载,无需重启); - 或将重启逻辑放入
/etc/cron.d/的 root crontab,并用sudo -u root(但需配置 sudoers 免密)。
4.4 问题:@reboot任务不执行
现象:crontab -e中添加@reboot /script.sh,但服务器重启后脚本未运行。
CentOS 8 特有原因:
@reboot由 crond 在启动时扫描/var/spool/cron/加载,但若/var/spool/cron/所在文件系统(通常是/)尚未 mount 完成,crond 会跳过;- 更常见的是:脚本依赖的网络服务(如 NFS 挂载点、数据库)在 crond 启动时尚未就绪。
解决方案:
- 放弃
@reboot,改用 systemd timer(更现代、可控):# 创建 /etc/systemd/system/myjob.timer [Unit] Description=Run myjob at boot [Timer] OnBootSec=5min # 启动后5分钟执行 Persistent=true [Install] WantedBy=timers.target - 或在脚本内加等待逻辑:
# 脚本开头加 while ! pgrep -x "mysqld" > /dev/null; do sleep 10 done
4.5 问题:cron表达式语法正确,但执行时间与预期不符
现象:设0 2 * * *期望每天 2:00 执行,但日志显示 2:00:01、2:00:05 不等。
真相:crond 的精度是1分钟,它在每分钟的第 0 秒扫描一次 crontab。若系统负载高,扫描可能延迟几秒,这是设计使然,非 bug。
验证:journalctl -u crond | grep "CMD" | tail -10,观察时间戳。
业务影响:对备份类任务无影响;对需严格秒级精度的任务(如金融清算),不要用 cron,改用systemd timer的OnUnitActiveSec=或专业作业调度器(如 Apache Airflow)。
我的建议:接受 cron 的 1 分钟精度。若业务要求亚秒级,说明你已超出 cron 的设计范畴,该换工具了。
5. 进阶实践:从基础定时到企业级任务编排
5.1 用 systemd timer 替代 cron:获得毫秒级精度与依赖管理
当你的需求超越* * * * *,比如:
- 任务需在
nginx.service启动后 30 秒执行; - 任务失败需自动重试 3 次,间隔 10 秒;
- 任务需记录每次执行的详细状态(成功/失败/耗时)。
这时,systemd timer是唯一选择。以监控脚本为例:
# 1. 创建 service 文件 /etc/systemd/system/monitor.service [Unit] Description=System Monitor Script After=network.target [Service] Type=oneshot User=monitor-user ExecStart=/opt/scripts/monitor.sh # 失败时重试 Restart=on-failure RestartSec=10 StartLimitIntervalSec=0 StartLimitBurst=3 # 2. 创建 timer 文件 /etc/systemd/system/monitor.timer [Unit] Description=Run monitor every 5 minutes [Timer] OnCalendar=*:0/5 # 每5分钟,如 14:00, 14:05... Persistent=true RandomizedDelaySec=30 # 随机延迟0-30秒,避免集群雪崩 [Install] WantedBy=timers.target启用:
sudo systemctl daemon-reload sudo systemctl enable --now monitor.timer优势:
OnCalendar支持*-*-* 02:30:00(精确到秒);systemctl list-timers --all可查看下次执行时间、上次执行状态;journalctl -u monitor.service自动关联所有执行实例。
5.2 安全加固:禁用用户 crontab,统一管控于 /etc/cron.d/
在 PCI-DSS 或等保三级环境中,要求所有定时任务集中审计。此时应:
- 禁用用户 crontab:
sudo chmod 000 /usr/bin/crontab(或从 sudoers 移除权限); - 所有任务写入
/etc/cron.d/,文件名规范如01-db-backup; /etc/cron.d/下文件需满足:- 权限
644; - 属主
root:root; - 第一行必须指定用户,如
SHELL=/bin/bash,PATH=/sbin:/bin:/usr/sbin:/usr/bin,0 2 * * * root /opt/scripts/db_backup.sh。
- 权限
关键:/etc/cron.d/文件的 SELinux context 是system_cron_spool_t,与/var/spool/cron/相同,故无需额外semanage。
5.3 日志审计:用 auditd 追踪 crontab 修改
为满足合规要求,需记录谁在何时修改了 crontab。启用 auditd:
# 添加规则 sudo auditctl -w /var/spool/cron/ -p wa -k cron_mod sudo auditctl -w /etc/cron.d/ -p wa -k cron_mod # 永久生效,写入 /etc/audit/rules.d/cron.rules -w /var/spool/cron/ -p wa -k cron_mod -w /etc/cron.d/ -p wa -k cron_mod # 查询修改记录 sudo ausearch -k cron_mod | aureport -f -i输出示例:
node=localhost type=CWD msg=audit(1700000000.123:456): cwd="/root" node=localhost type=SYSCALL msg=audit(1700000000.123:456): arch=c000003e syscall=2 success=yes ... node=localhost type=PATH msg=audit(1700000000.123:456): item=0 name="/var/spool/cron/root" ...这能精确定位到 IP、用户、时间、操作文件。
6. 我的实战总结:那些文档不会告诉你的硬核经验
我在 CentOS 8 上维护过 37 个不同业务线的定时任务,从每秒心跳检测到每月财务报表生成,踩过的坑比读过的文档还多。最后分享 4 条血泪经验,没有一句虚的:
第一,永远用绝对路径,哪怕它看起来很丑。/usr/bin/find比find多打 10 个字符,但能省下你 3 小时排查PATH问题的时间。我见过最离谱的案例:一个脚本里写python,结果 crond 调用的是/usr/bin/python(Python 2.7),而开发在终端用的是/usr/local/bin/python(Python 3.9),导致 JSON 解析失败。加/usr/local/bin/python3,世界清净。
第二,日志不是可选项,是生命线。我强制所有生产脚本第一行是exec >> /var/log/${0##*/}.log 2>&1,第二行是echo "[$(date)] START"。没有日志,等于在黑暗中开车。曾经一个备份任务失败,因未重定向 stderr,mysqldump的密码错误提示直接飞向/dev/null,我花了两天查网络、查权限,最后发现是密码过期。
第三,crontab -e是唯一安全的编辑方式。用echo "0 2 * * * cmd" | crontab -看似快捷,但它会完全替换当前 crontab,若管道中断,crontab 就空了。crontab -e是原子操作,编辑中崩溃也不会破坏原文件。
第四,别信“它以前能跑”。CentOS 8 Stream 的更新可能静默升级cronie包,改变默认行为。我订阅了cronie的上游 changelog,每当有2.0.x升级,必做回归测试。上周一次更新后,@hourly的执行逻辑微调,导致一个跨时区任务偏移 1 小时。及时发现,靠的就是定期journalctl -u crond --since "1 week ago" | grep "CMD"的巡检脚本。
写到这里,你应该明白:在 CentOS 8 上用 cron,不是写一行* * * * *就完事。它是一套精密的权限、环境、日志、审计体系。你配置的不是一个定时器,而是一个可信赖的自动化契约。每一次crontab -e的保存,都是在生产环境签下一份责任书。希望这篇从内核到日志、从 SELinux 到 systemd 的深度拆解,能帮你签得更稳、更准。