CentOS 8.5最小化安装后的5个必做安全与效率优化刚完成CentOS 8.5最小化安装的系统就像一张白纸——干净但缺乏生产力。作为运维老手我见过太多人跳过基础优化直接部署应用结果在后续使用中频繁遇到权限混乱、软件安装慢、SSH爆破等问题。本文将分享我经手数百台服务器后总结的五大黄金配置项涵盖从软件源加速到关键安全加固的全流程。1. 配置国内yum源解决安装速度痛点默认的CentOS官方源在国内访问速度堪比蜗牛。我曾遇到过yum install一个基础工具包耗时40分钟的情况而切换到阿里云镜像后同样的操作只需15秒。以下是具体操作# 备份原有repo文件 sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup # 下载阿里云镜像源配置 sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-8.repo # 清理并重建缓存 sudo yum clean all sudo yum makecache常见问题排查表现象可能原因解决方案404 Not Found错误镜像源未适配CentOS版本检查URL中的版本号是否为8速度未明显提升DNS解析问题执行sudo nslookup mirrors.aliyun.com测试GPG密钥报错镜像源密钥过期运行sudo rpm --import https://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-Official提示执行yum repolist可验证源是否生效正常应显示mirrors.aliyun.com相关条目2. 创建日常用户告别root的危险操作直接使用root账户就像在服务器上裸奔——任何误操作都可能造成灾难。我的团队曾因一个rm -rf命令损失了整台测试服务器数据。建议按以下流程创建受控用户# 创建用户并设置密码 adduser deployer passwd deployer # 授予sudo权限 usermod -aG wheel deployer # 验证权限 su - deployer sudo whoami # 应返回rootsudoers安全配置最佳实践通过visudo编辑配置文件避免语法错误导致锁死系统限制关键命令执行示例禁止关机命令%wheel ALL(ALL) ALL, !/usr/sbin/shutdown, !/usr/sbin/reboot启用sudo操作日志echo Defaults logfile/var/log/sudo.log /etc/sudoers3. SSH安全加固筑起第一道防线互联网上的SSH端口每秒都在遭受扫描攻击。去年我们某台未加固的服务器在上线1小时内就记录了2000暴力破解尝试。必须进行以下防护# 修改默认端口 sudo sed -i s/#Port 22/Port 58242/ /etc/ssh/sshd_config # 禁用root登录 sudo sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config # 启用密钥认证 sudo sed -i s/#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config # 限制登录用户 echo AllowUsers deployer | sudo tee -a /etc/ssh/sshd_config # 重启服务 sudo systemctl restart sshd多因素认证配置Google Authenticator# 安装依赖 sudo yum install -y google-authenticator # 初始化配置 google-authenticator # 根据提示扫描二维码并保存应急代码 # 修改PAM配置 echo auth required pam_google_authenticator.so | sudo tee -a /etc/pam.d/sshd4. 基础工具链安装打造高效工作环境最小化安装缺失许多常用工具手动安装费时费力。这个工具组合覆盖了80%的日常运维需求# 开发调试工具集 sudo yum install -y vim-enhanced git curl wget net-tools lsof telnet # 系统监控三件套 sudo yum install -y htop iotop iftop # 压缩解压全家桶 sudo yum install -y zip unzip p7zip # 网络诊断工具 sudo yum install -y traceroute mtr nmap tcpdump替代工具推荐ncat替代老版nc支持SSL加密和IPv6bat替代cat带语法高亮和分页器jq处理JSON数据比手工grep更精准5. 时间同步与日志管理可观测性基础分布式系统的时间不同步可能引发诡异问题。曾有个MySQL集群因为5秒时间差导致主从复制完全混乱。配置NTP服务# 安装chrony sudo yum install -y chrony # 启用并设置国内NTP服务器 sudo sed -i s/^pool /#pool /g /etc/chrony.conf echo server ntp.aliyun.com iburst | sudo tee -a /etc/chrony.conf # 启动服务 sudo systemctl enable --now chronyd # 验证同步状态 chronyc tracking日志轮转配置示例防止磁盘爆满# 安装logrotate sudo yum install -y logrotate # 添加自定义配置 cat EOF | sudo tee /etc/logrotate.d/myapp /var/log/myapp/*.log { daily missingok rotate 30 compress delaycompress notifempty create 640 root adm sharedscripts postrotate /usr/bin/systemctl reload myapp /dev/null 21 || true endscript } EOF一键优化脚本整合将上述所有操作整合为可审计的脚本建议先逐项验证后再批量执行#!/bin/bash # CentOS 8.5 Post-Install Optimizer # 安全提示执行前请逐项检查命令 set -e echo [1/5] 配置阿里云镜像源... MIRROR_URLhttps://mirrors.aliyun.com/repo/Centos-8.repo sudo cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup sudo curl -o /etc/yum.repos.d/CentOS-Base.repo $MIRROR_URL sudo rpm --import https://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-Official sudo yum clean all sudo yum makecache echo [2/5] 创建部署用户... read -p 输入要创建的用户名: USERNAME sudo adduser $USERNAME sudo passwd $USERNAME sudo usermod -aG wheel $USERNAME echo [3/5] SSH安全加固... sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak sudo sed -i s/#Port 22/Port 58242/ /etc/ssh/sshd_config sudo sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config sudo sed -i s/#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config echo AllowUsers $USERNAME | sudo tee -a /etc/ssh/sshd_config sudo systemctl restart sshd echo [4/5] 安装基础工具包... sudo yum install -y epel-release sudo yum install -y vim git curl wget net-tools htop chrony echo [5/5] 配置时间同步... sudo systemctl enable --now chronyd chronyc sources注意将此脚本保存为post_install.sh后需执行chmod x post_install.sh添加可执行权限
CentOS 8.5最小化安装后,这5个必做的安全与效率优化设置(附一键脚本)
CentOS 8.5最小化安装后的5个必做安全与效率优化刚完成CentOS 8.5最小化安装的系统就像一张白纸——干净但缺乏生产力。作为运维老手我见过太多人跳过基础优化直接部署应用结果在后续使用中频繁遇到权限混乱、软件安装慢、SSH爆破等问题。本文将分享我经手数百台服务器后总结的五大黄金配置项涵盖从软件源加速到关键安全加固的全流程。1. 配置国内yum源解决安装速度痛点默认的CentOS官方源在国内访问速度堪比蜗牛。我曾遇到过yum install一个基础工具包耗时40分钟的情况而切换到阿里云镜像后同样的操作只需15秒。以下是具体操作# 备份原有repo文件 sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup # 下载阿里云镜像源配置 sudo curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-8.repo # 清理并重建缓存 sudo yum clean all sudo yum makecache常见问题排查表现象可能原因解决方案404 Not Found错误镜像源未适配CentOS版本检查URL中的版本号是否为8速度未明显提升DNS解析问题执行sudo nslookup mirrors.aliyun.com测试GPG密钥报错镜像源密钥过期运行sudo rpm --import https://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-Official提示执行yum repolist可验证源是否生效正常应显示mirrors.aliyun.com相关条目2. 创建日常用户告别root的危险操作直接使用root账户就像在服务器上裸奔——任何误操作都可能造成灾难。我的团队曾因一个rm -rf命令损失了整台测试服务器数据。建议按以下流程创建受控用户# 创建用户并设置密码 adduser deployer passwd deployer # 授予sudo权限 usermod -aG wheel deployer # 验证权限 su - deployer sudo whoami # 应返回rootsudoers安全配置最佳实践通过visudo编辑配置文件避免语法错误导致锁死系统限制关键命令执行示例禁止关机命令%wheel ALL(ALL) ALL, !/usr/sbin/shutdown, !/usr/sbin/reboot启用sudo操作日志echo Defaults logfile/var/log/sudo.log /etc/sudoers3. SSH安全加固筑起第一道防线互联网上的SSH端口每秒都在遭受扫描攻击。去年我们某台未加固的服务器在上线1小时内就记录了2000暴力破解尝试。必须进行以下防护# 修改默认端口 sudo sed -i s/#Port 22/Port 58242/ /etc/ssh/sshd_config # 禁用root登录 sudo sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config # 启用密钥认证 sudo sed -i s/#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config # 限制登录用户 echo AllowUsers deployer | sudo tee -a /etc/ssh/sshd_config # 重启服务 sudo systemctl restart sshd多因素认证配置Google Authenticator# 安装依赖 sudo yum install -y google-authenticator # 初始化配置 google-authenticator # 根据提示扫描二维码并保存应急代码 # 修改PAM配置 echo auth required pam_google_authenticator.so | sudo tee -a /etc/pam.d/sshd4. 基础工具链安装打造高效工作环境最小化安装缺失许多常用工具手动安装费时费力。这个工具组合覆盖了80%的日常运维需求# 开发调试工具集 sudo yum install -y vim-enhanced git curl wget net-tools lsof telnet # 系统监控三件套 sudo yum install -y htop iotop iftop # 压缩解压全家桶 sudo yum install -y zip unzip p7zip # 网络诊断工具 sudo yum install -y traceroute mtr nmap tcpdump替代工具推荐ncat替代老版nc支持SSL加密和IPv6bat替代cat带语法高亮和分页器jq处理JSON数据比手工grep更精准5. 时间同步与日志管理可观测性基础分布式系统的时间不同步可能引发诡异问题。曾有个MySQL集群因为5秒时间差导致主从复制完全混乱。配置NTP服务# 安装chrony sudo yum install -y chrony # 启用并设置国内NTP服务器 sudo sed -i s/^pool /#pool /g /etc/chrony.conf echo server ntp.aliyun.com iburst | sudo tee -a /etc/chrony.conf # 启动服务 sudo systemctl enable --now chronyd # 验证同步状态 chronyc tracking日志轮转配置示例防止磁盘爆满# 安装logrotate sudo yum install -y logrotate # 添加自定义配置 cat EOF | sudo tee /etc/logrotate.d/myapp /var/log/myapp/*.log { daily missingok rotate 30 compress delaycompress notifempty create 640 root adm sharedscripts postrotate /usr/bin/systemctl reload myapp /dev/null 21 || true endscript } EOF一键优化脚本整合将上述所有操作整合为可审计的脚本建议先逐项验证后再批量执行#!/bin/bash # CentOS 8.5 Post-Install Optimizer # 安全提示执行前请逐项检查命令 set -e echo [1/5] 配置阿里云镜像源... MIRROR_URLhttps://mirrors.aliyun.com/repo/Centos-8.repo sudo cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup sudo curl -o /etc/yum.repos.d/CentOS-Base.repo $MIRROR_URL sudo rpm --import https://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-Official sudo yum clean all sudo yum makecache echo [2/5] 创建部署用户... read -p 输入要创建的用户名: USERNAME sudo adduser $USERNAME sudo passwd $USERNAME sudo usermod -aG wheel $USERNAME echo [3/5] SSH安全加固... sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak sudo sed -i s/#Port 22/Port 58242/ /etc/ssh/sshd_config sudo sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config sudo sed -i s/#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config echo AllowUsers $USERNAME | sudo tee -a /etc/ssh/sshd_config sudo systemctl restart sshd echo [4/5] 安装基础工具包... sudo yum install -y epel-release sudo yum install -y vim git curl wget net-tools htop chrony echo [5/5] 配置时间同步... sudo systemctl enable --now chronyd chronyc sources注意将此脚本保存为post_install.sh后需执行chmod x post_install.sh添加可执行权限
