CentOS 8.5安装后必做的10件事:从基础配置到能用Xshell远程连接
CentOS 8.5系统初始化实战指南:从裸机到高效开发环境
当你完成CentOS 8.5的基础安装后,系统就像刚交付的毛坯房——有基本结构但缺乏实用功能。本文将带你完成10项关键配置,把原始系统转化为安全、稳定、高效的开发/生产环境。不同于常规教程,我们不仅提供操作命令,更会解释每个步骤背后的设计逻辑和实际应用场景。
1. 网络配置:从连通到优化
刚安装的系统往往无法直接联网,而稳定的网络连接是后续所有操作的基础。CentOS 8提供了两种主要的网络配置方式:传统的ifcfg文件和现代的nmcli工具。对于生产环境,我们推荐使用nmcli,因为它提供更一致的体验且不易出错。
首先检查可用网络接口:
nmcli device status假设你的网卡是ens192,配置静态IP的完整命令如下:
nmcli con add con-name "static-ens192" ifname ens192 type ethernet ip4 192.168.1.100/24 gw4 192.168.1.1 nmcli con mod "static-ens192" ipv4.dns "8.8.8.8,8.8.4.4" nmcli con up "static-ens192"关键参数解析:
ip4: IP地址和子网掩码(CIDR表示法)gw4: 默认网关地址ipv4.dns: 首选和备用DNS服务器
注意:在企业内网环境中,请使用内部DNS服务器而非公共DNS,这会影响域认证和内部资源访问
验证网络连通性:
ping -c 4 google.com如果遇到连接问题,按以下顺序排查:
- 物理层:网线/网卡状态(
nmcli device show ens192) - IP层:地址配置是否正确(
ip addr show) - 路由层:默认网关是否可达(
ip route show) - DNS层:域名解析是否正常(
dig google.com)
2. 系统更新与源配置:应对CentOS 8生命周期结束
由于CentOS 8已提前终止支持,官方源不再更新,我们必须转向替代源。以下是当前可选的可靠源方案:
| 源类型 | 提供商 | 特点 | 适用场景 |
|---|---|---|---|
| CentOS Stream | Red Hat | 滚动更新版 | 开发测试环境 |
| Rocky Linux | Rocky项目 | 二进制兼容RHEL | 生产环境 |
| AlmaLinux | CloudLinux | 社区维护 | 生产环境 |
| EPEL | Fedora项目 | 额外软件包 | 补充源 |
推荐配置Rocky Linux的Base源:
dnf install -y https://dl.rockylinux.org/pub/rocky/8/BaseOS/x86_64/os/Packages/rocky-release-8.5-1.2.el8.noarch.rpm dnf makecache更新所有已安装软件包:
dnf update -y && dnf upgrade -y软件源管理最佳实践:
- 定期清理缓存:
dnf clean all - 查询软件来源:
dnf repoquery -l <package> - 禁用不用的仓库:在
/etc/yum.repos.d/中设置enabled=0
3. 安全加固:基础防护体系构建
刚安装的系统存在多个安全隐患:root远程登录、默认SSH端口、无基本入侵防护等。按照以下步骤建立基础安全防护:
3.1 SSH安全配置
编辑/etc/ssh/sshd_config,修改以下关键参数:
Port 2222 # 改为非标准端口 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes MaxAuthTries 3 ClientAliveInterval 300然后重启SSH服务:
systemctl restart sshd3.2 创建管理用户
建立具有sudo权限的专用管理账户:
useradd -m -s /bin/bash admin passwd admin usermod -aG wheel admin配置sudo无需密码(可选):
echo "admin ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers.d/10-admin3.3 基础防火墙设置
虽然很多教程建议直接关闭防火墙,但在生产环境中这是危险的。正确做法是配置精确的防火墙规则:
systemctl start firewalld systemctl enable firewalld firewall-cmd --permanent --add-port=2222/tcp # 放行自定义SSH端口 firewall-cmd --reload4. 必备工具集安装
最小化安装缺少许多常用工具,以下分类安装必要软件包:
基础工具集:
dnf install -y vim-enhanced git wget curl net-tools bind-utils \ telnet lsof htop tmux tree unzip ncdu开发工具链:
dnf groupinstall -y "Development Tools" dnf install -y python3 python3-devel java-11-openjdk-devel性能监控工具:
dnf install -y sysstat iotop iftop nmon配置常用工具别名(添加到~/.bashrc):
alias ll='ls -alFh' alias grep='grep --color=auto' alias hg='history | grep' alias df='df -h' alias du='du -h'5. 时间同步精确配置
准确的时间同步对日志分析、证书验证等至关重要。配置chronyd服务:
dnf install -y chrony systemctl enable --now chronyd检查时间同步状态:
chronyc tracking chronyc sources -v如果需要特定NTP服务器:
sed -i 's/^pool.*/server ntp1.aliyun.com iburst\nserver ntp2.aliyun.com iburst/' /etc/chrony.conf systemctl restart chronyd6. 日志系统优化
默认的rsyslog配置需要优化以便于问题排查:
配置日志轮转(/etc/logrotate.d/syslog):
/var/log/messages /var/log/secure /var/log/cron { daily missingok rotate 30 compress delaycompress sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true endscript }安装日志分析工具:
dnf install -y logwatch配置每日日志报告:
cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/ echo "Output = mail" >> /etc/logwatch/conf/logwatch.conf echo "Format = html" >> /etc/logwatch/conf/logwatch.conf echo "MailTo = admin@yourdomain.com" >> /etc/logwatch/conf/logwatch.conf7. 内核参数调优
根据服务器角色调整内核参数(/etc/sysctl.conf):
# 提高网络性能 net.core.somaxconn = 32768 net.ipv4.tcp_max_syn_backlog = 8192 net.ipv4.tcp_fin_timeout = 30 # 内存管理 vm.swappiness = 10 vm.overcommit_memory = 1 # 文件系统 fs.file-max = 2097152 fs.inotify.max_user_watches = 524288应用修改:
sysctl -p查看当前值:
sysctl -a | grep tcp_max_syn_backlog8. 磁盘I/O优化
针对SSD或高速存储设备进行优化:
查看磁盘调度器:
cat /sys/block/sda/queue/scheduler修改为deadline或noop(SSD适用):
echo 'deadline' > /sys/block/sda/queue/scheduler持久化配置(添加到/etc/rc.local):
echo "echo 'deadline' > /sys/block/sda/queue/scheduler" >> /etc/rc.local chmod +x /etc/rc.local9. 配置Xshell连接
虽然前面已经配置了SSH,但Xshell等工具需要额外注意:
生成密钥对(在客户端):
- 打开Xshell → 工具 → 用户密钥管理者 → 生成
- 选择RSA类型,2048位长度
- 设置密钥名称和密码
将公钥上传到服务器:
mkdir -p ~/.ssh chmod 700 ~/.ssh echo "ssh-rsa AAAAB3NzaC1yc2E..." >> ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keysXshell连接配置:
- 新建会话 → 输入主机IP和端口(2222)
- 身份验证选择"Public Key"
- 选择之前生成的用户密钥
- 设置登录用户名(admin)
提示:在会话属性→终端中,建议将缓冲区大小设置为30000行,便于回溯历史输出
10. 环境验收与监控
完成所有配置后,进行系统健康检查:
基础验收清单:
- [ ] 网络连通性测试(ping/telnet/curl)
- [ ] 磁盘空间检查(df -h)
- [ ] 内存使用情况(free -m)
- [ ] 负载情况(uptime)
- [ ] SSH密钥登录验证
- [ ] sudo权限测试
安装基础监控工具:
dnf install -y glances glances --webserver访问http://服务器IP:61208即可查看实时系统监控。
长期维护建议:
- 设置每日安全更新:
dnf install -y yum-cron && systemctl enable --now yum-cron - 配置日志监控:
dnf install -y fail2ban - 建立定期备份策略:
crontab -e添加备份任务
经过以上10个步骤的系统初始化,你的CentOS 8.5已经从基础安装转变为安全、稳定、高效的生产环境。不同于简单的命令集合,这些配置考虑了实际运维中的各种边界情况和性能优化点。根据具体应用场景,你可能还需要安装特定中间件或开发环境,但基础平台已经准备就绪。