Red Hat Enterprise Linux服务器配置最佳实践权威指南从初始安装到系统优化全面解析安全配置网络设置性能调助您构建企业级稳定服务器环境

威震华夏关云长

Red Hat Enterprise Linux简介和准备工作

Red Hat Enterprise Linux (RHEL) 是由Red Hat公司开发的企业级Linux操作系统，以其稳定性、安全性和长期支持而闻名。在开始配置RHEL服务器之前，需要进行一些准备工作。

首先，确保您拥有有效的Red Hat订阅，这是获取更新和技术支持所必需的。其次，根据您的业务需求选择合适的RHEL版本，目前最新的稳定版本是RHEL 9系列。

在安装前，还需要考虑以下硬件要求：

• CPU：至少2核处理器
• 内存：至少4GB RAM（推荐8GB或更多）
• 存储：至少20GB可用空间（推荐50GB或更多）
• 网络：稳定的网络连接

下载RHEL安装镜像文件（ISO）后，可以创建启动介质（如USB驱动器或DVD），然后开始安装过程。

初始安装指南

RHEL的安装过程相对直观，但需要注意一些关键步骤以确保最佳配置。

启动安装程序

将启动介质插入服务器并重启。在启动过程中，选择从安装介质启动。进入安装程序后，首先选择语言和键盘布局。

安装摘要配置

安装摘要页面包含多个关键配置选项：

1. 软件选择：对于服务器，通常选择”最小安装”以减少不必要的软件包或者根据服务器角色选择适当的环境，如”Web服务器”或”文件存储服务器”
2. 对于服务器，通常选择”最小安装”以减少不必要的软件包
3. 或者根据服务器角色选择适当的环境，如”Web服务器”或”文件存储服务器”
4.

2. 安装目标：选择要安装RHEL的磁盘对于生产环境，建议配置自定义分区方案：/boot     1GB    (ext4)
3. swap      2xRAM  (如果RAM<8GB，否则至少8GB)
4. /         20GB   (ext4)
5. /home     剩余空间 (ext4)
6. /var      50GB   (ext4，如果服务器将运行数据库或Web服务)

复制代码

5. 选择要安装RHEL的磁盘
6.

2. 对于生产环境，建议配置自定义分区方案：/boot     1GB    (ext4)
3. swap      2xRAM  (如果RAM<8GB，否则至少8GB)
4. /         20GB   (ext4)
5. /home     剩余空间 (ext4)
6. /var      50GB   (ext4，如果服务器将运行数据库或Web服务)

复制代码

7. 网络和主机名：配置网络接口设置主机名（例如：server1.example.com）
8. 配置网络接口
9. 设置主机名（例如：server1.example.com）
10. 安全策略：根据组织要求选择适当的安全配置文件启用或禁用SELinux（建议启用）
11. 根据组织要求选择适当的安全配置文件
12. 启用或禁用SELinux（建议启用）

软件选择：

• 对于服务器，通常选择”最小安装”以减少不必要的软件包
• 或者根据服务器角色选择适当的环境，如”Web服务器”或”文件存储服务器”

安装目标：

• 选择要安装RHEL的磁盘
•

2. 对于生产环境，建议配置自定义分区方案：/boot     1GB    (ext4)
3. swap      2xRAM  (如果RAM<8GB，否则至少8GB)
4. /         20GB   (ext4)
5. /home     剩余空间 (ext4)
6. /var      50GB   (ext4，如果服务器将运行数据库或Web服务)

复制代码

2. /boot     1GB    (ext4)
3. swap      2xRAM  (如果RAM<8GB，否则至少8GB)
4. /         20GB   (ext4)
5. /home     剩余空间 (ext4)
6. /var      50GB   (ext4，如果服务器将运行数据库或Web服务)

复制代码

网络和主机名：

• 配置网络接口
• 设置主机名（例如：server1.example.com）

安全策略：

• 根据组织要求选择适当的安全配置文件
• 启用或禁用SELinux（建议启用）

开始安装

完成配置后，点击”开始安装”。在安装过程中，设置root密码和创建用户账户（如果需要）。

安装完成后，系统将提示重启。移除安装介质并重启系统。

基本系统配置

系统首次启动后，需要进行一些基本配置。

注册系统并更新

首先，使用Red Hat订阅管理器注册系统：

2. subscription-manager register --username your_username --password your_password
3. subscription-manager attach --auto

复制代码

然后更新系统：

2. yum update -y

复制代码

配置主机名和时区

设置主机名：

2. hostnamectl set-hostname server1.example.com

复制代码

配置时区：

2. timedatectl set-timezone Asia/Shanghai

复制代码

配置网络

RHEL 9使用NetworkManager进行网络管理。以下是配置静态IP的示例：

2. nmcli connection modify eth0 ipv4.addresses 192.168.1.100/24
3. nmcli connection modify eth0 ipv4.gateway 192.168.1.1
4. nmcli connection modify eth0 ipv4.dns "8.8.8.8 8.8.4.4"
5. nmcli connection modify eth0 ipv4.method manual
6. nmcli connection up eth0

复制代码

或者，可以通过编辑配置文件进行配置：

2. vi /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

添加以下内容：

2. TYPE=Ethernet
3. BOOTPROTO=none
4. DEFROUTE=yes
5. IPV4_FAILURE_FATAL=no
6. IPV6INIT=yes
7. IPV6_AUTOCONF=yes
8. IPV6_DEFROUTE=yes
9. IPV6_FAILURE_FATAL=no
10. NAME=eth0
11. UUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
12. DEVICE=eth0
13. ONBOOT=yes
14. IPADDR=192.168.1.100
15. PREFIX=24
16. GATEWAY=192.168.1.1
17. DNS1=8.8.8.8
18. DNS2=8.8.4.4

复制代码

然后重启网络服务：

2. systemctl restart network

复制代码

配置防火墙

RHEL使用firewalld作为默认防火墙管理工具。以下是一些基本配置：

2. # 启动并启用firewalld
3. systemctl start firewalld
4. systemctl enable firewalld
6. # 查看默认区域
7. firewall-cmd --get-default-zone
9. # 查看活动区域
10. firewall-cmd --get-active-zones
12. # 开放端口（例如HTTP和HTTPS）
13. firewall-cmd --permanent --add-service=http
14. firewall-cmd --permanent --add-service=https
16. # 重新加载防火墙规则
17. firewall-cmd --reload
19. # 查看开放的端口和服务
20. firewall-cmd --list-all

复制代码

安全配置

安全是企业服务器配置的关键部分。以下是一些重要的安全配置步骤。

SELinux配置

SELinux（Security-Enhanced Linux）是RHEL的一个关键安全特性。确保SELinux处于启用状态：

2. # 检查SELinux状态
3. sestatus
5. # 如果SELinux被禁用，编辑配置文件
6. vi /etc/selinux/config

复制代码

确保以下行设置为enforcing：

2. SELINUX=enforcing

复制代码

然后重启系统以应用更改。

用户和权限管理

创建具有适当权限的用户账户：

2. # 创建新用户
3. useradd -m username
5. # 设置密码
6. passwd username
8. # 将用户添加到wheel组以获得sudo权限
9. usermod -aG wheel username

复制代码

配置sudo访问：

2. visudo

复制代码

确保以下行未被注释：

2. %wheel  ALL=(ALL)       ALL

复制代码

SSH安全配置

SSH是远程管理服务器的常用工具，但需要适当配置以确保安全：

2. vi /etc/ssh/sshd_config

复制代码

修改以下设置：

2. # 禁用root登录
3. PermitRootLogin no
5. # 更改默认端口
6. Port 2222
8. # 禁用密码认证，使用密钥认证
9. PasswordAuthentication no
10. PubkeyAuthentication yes
12. # 限制允许登录的用户
13. AllowUsers username1 username2
15. # 设置空闲超时时间
16. ClientAliveInterval 300
17. ClientAliveCountMax 0

复制代码

然后重启SSH服务：

2. systemctl restart sshd

复制代码

系统加固

使用一些基本工具来加固系统：

2. # 安装安全工具
3. yum install -y setroubleshoot-server
5. # 检查系统漏洞
6. yum install -y openscap-scanner scap-security-guide
7. oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

复制代码

配置自动安全更新

配置系统自动接收安全更新：

2. # 安装dnf-automatic
3. yum install -y dnf-automatic
5. # 配置自动更新
6. vi /etc/dnf/automatic.conf

复制代码

修改以下设置：

2. [commands]
3. upgrade_type = security
5. [emitters]
6. emit_via = motd
8. [email]
9. email_from = root@example.com
10. email_to = admin@example.com
11. email_host = localhost
13. [command]
14. # 只下载，不安装
15. download_updates = yes
16. # 应用更新
17. apply_updates = yes

复制代码

启用并启动dnf-automatic服务：

2. systemctl enable --now dnf-automatic.timer

复制代码

网络设置

网络配置是服务器管理的关键部分。以下是一些高级网络配置。

配置网络绑定

网络绑定（Bonding）可以提高网络连接的冗余性和性能：

2. # 安装绑定工具
3. yum install -y teamd
5. # 创建绑定接口配置文件
6. vi /etc/sysconfig/network-scripts/ifcfg-bond0

复制代码

添加以下内容：

2. DEVICE=bond0
3. NAME=bond0
4. TYPE=Bond
5. BONDING_MASTER=yes
6. IPADDR=192.168.1.100
7. PREFIX=24
8. GATEWAY=192.168.1.1
9. DNS1=8.8.8.8
10. ONBOOT=yes
11. BONDING_OPTS="mode=4 miimon=100"

复制代码

配置从属接口：

2. vi /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

添加以下内容：

2. DEVICE=eth0
3. NAME=eth0
4. TYPE=Ethernet
5. BOOTPROTO=none
6. ONBOOT=yes
7. MASTER=bond0
8. SLAVE=yes

复制代码

对eth1重复相同的配置，然后重启网络服务：

2. systemctl restart network

复制代码

配置VLAN

如果需要使用VLAN，可以按以下方式配置：

2. # 安装VLAN工具
3. yum install -y vconfig
5. # 创建VLAN接口配置文件
6. vi /etc/sysconfig/network-scripts/ifcfg-eth0.100

复制代码

添加以下内容：

2. DEVICE=eth0.100
3. BOOTPROTO=none
4. ONBOOT=yes
5. IPADDR=192.168.100.100
6. PREFIX=24
7. VLAN=yes

复制代码

然后重启网络服务：

2. systemctl restart network

复制代码

配置网络桥接

如果需要配置网络桥接（例如，用于虚拟机）：

2. # 安装桥接工具
3. yum install -y bridge-utils
5. # 创建桥接接口配置文件
6. vi /etc/sysconfig/network-scripts/ifcfg-br0

复制代码

添加以下内容：

2. DEVICE=br0
3. TYPE=Bridge
4. BOOTPROTO=none
5. IPADDR=192.168.1.100
6. PREFIX=24
7. GATEWAY=192.168.1.1
8. DNS1=8.8.8.8
9. ONBOOT=yes

复制代码

配置物理接口：

2. vi /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码

添加以下内容：

2. DEVICE=eth0
3. TYPE=Ethernet
4. BOOTPROTO=none
5. ONBOOT=yes
6. BRIDGE=br0

复制代码

然后重启网络服务：

2. systemctl restart network

复制代码

配置静态路由

如果需要配置静态路由：

2. # 添加临时路由
3. ip route add 10.0.0.0/24 via 192.168.1.1 dev eth0
5. # 添加永久路由
6. vi /etc/sysconfig/network-scripts/route-eth0

复制代码

添加以下内容：

2. 10.0.0.0/24 via 192.168.1.1 dev eth0

复制代码

然后重启网络服务：

2. systemctl restart network

复制代码

性能调优

性能调优是确保服务器高效运行的关键。以下是一些性能调优的最佳实践。

系统资源监控

首先，安装一些监控工具：

2. yum install -y htop iotop sysstat nmon

复制代码

使用这些工具监控系统资源：

2. # 查看系统负载
3. top
4. htop
6. # 查看磁盘I/O
7. iotop
9. # 查看网络统计
10. nload
11. iftop
13. # 查看内存使用
14. free -h
16. # 查看磁盘空间
17. df -h

复制代码

内核参数调优

通过修改/etc/sysctl.conf文件来调整内核参数：

2. vi /etc/sysctl.conf

复制代码

添加以下内容：

2. # 增加文件描述符限制
3. fs.file-max = 100000
5. # 网络调优
6. net.core.rmem_max = 16777216
7. net.core.wmem_max = 16777216
8. net.ipv4.tcp_rmem = 4096 87380 16777216
9. net.ipv4.tcp_wmem = 4096 65536 16777216
10. net.ipv4.tcp_fin_timeout = 30
11. net.ipv4.tcp_keepalive_time = 1200
12. net.ipv4.tcp_max_syn_backlog = 65536
13. net.core.netdev_max_backlog = 65536
14. net.ipv4.tcp_max_tw_buckets = 8000
15. net.ipv4.tcp_tw_reuse = 1
16. net.ipv4.tcp_tw_recycle = 1
17. net.ipv4.tcp_syncookies = 1
19. # 虚拟内存调优
20. vm.swappiness = 10
21. vm.dirty_ratio = 60
22. vm.dirty_background_ratio = 2

复制代码

应用更改：

2. sysctl -p

复制代码

磁盘I/O调优

使用I/O调度器来优化磁盘性能：

2. # 查看当前I/O调度器
3. cat /sys/block/sda/queue/scheduler
5. # 临时更改I/O调度器
6. echo deadline > /sys/block/sda/queue/scheduler
8. # 永久更改I/O调度器
9. vi /etc/default/grub

复制代码

在GRUB_CMDLINE_LINUX行中添加elevator=deadline：

2. GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet elevator=deadline"

复制代码

然后更新GRUB配置：

2. grub2-mkconfig -o /boot/grub2/grub.cfg

复制代码

文件系统调优

使用noatime选项挂载文件系统以减少磁盘写入：

2. vi /etc/fstab

复制代码

修改挂载选项，添加noatime：

2. /dev/mapper/rhel-root   /                       xfs     defaults,noatime        0 0

复制代码

然后重新挂载文件系统：

2. mount -o remount /

复制代码

内存管理

配置内存使用：

2. # 创建交换文件（如果没有足够的交换空间）
3. fallocate -l 4G /swapfile
4. chmod 600 /swapfile
5. mkswap /swapfile
6. swapon /swapfile
7. echo '/swapfile none swap sw 0 0' >> /etc/fstab
9. # 调整虚拟内存参数
10. echo 'vm.swappiness=10' >> /etc/sysctl.conf
11. sysctl -p

复制代码

CPU性能调优

安装并配置cpupower工具：

2. yum install -y cpupowerutils
4. # 查看可用的CPU频率调节器
5. cpupower frequency-info
7. # 设置性能调节器
8. cpupower frequency-set -g performance

复制代码

系统监控与维护

持续监控和维护是确保服务器长期稳定运行的关键。

安装和配置监控工具

安装Nagios作为监控系统：

2. # 安装EPEL仓库
3. yum install -y epel-release
5. # 安装Nagios
6. yum install -y nagios nagios-plugins-all nrpe
8. # 配置Nagios
9. vi /etc/nagios/nagios.cfg

复制代码

确保以下设置正确：

2. log_file=/var/log/nagios/nagios.log
3. cfg_file=/etc/nagios/objects/commands.cfg
4. cfg_file=/etc/nagios/objects/contacts.cfg
5. cfg_file=/etc/nagios/objects/timeperiods.cfg
6. cfg_file=/etc/nagios/objects/templates.cfg
7. cfg_file=/etc/nagios/objects/localhost.cfg

复制代码

启动并启用Nagios：

2. systemctl start nagios
3. systemctl enable nagios

复制代码

配置日志管理

配置集中式日志管理：

2. # 安装rsyslog
3. yum install -y rsyslog
5. # 配置rsyslog
6. vi /etc/rsyslog.conf

复制代码

取消以下行的注释以启用UDP syslog接收：

2. module(load="imudp")
3. input(type="imudp" port="514")

复制代码

重启rsyslog服务：

2. systemctl restart rsyslog

复制代码

配置备份策略

设置定期备份：

2. # 安装rsync
3. yum install -y rsync
5. # 创建备份脚本
6. vi /usr/local/bin/backup.sh

复制代码

添加以下内容：

2. #!/bin/bash
4. # 定义源目录和目标目录
5. SOURCE_DIR="/etc /home /var/www"
6. BACKUP_DIR="/backup"
7. DATE=$(date +%Y%m%d)
9. # 创建备份目录
10. mkdir -p $BACKUP_DIR/$DATE
12. # 执行备份
13. rsync -av --delete $SOURCE_DIR $BACKUP_DIR/$DATE
15. # 保留最近7天的备份
16. find $BACKUP_DIR -type d -mtime +7 -exec rm -rf {} \;

复制代码

使脚本可执行：

2. chmod +x /usr/local/bin/backup.sh

复制代码

添加到cron：

2. crontab -e

复制代码

添加以下行以每天凌晨2点运行备份：

2. 0 2 * * * /usr/local/bin/backup.sh

复制代码

系统更新和维护

配置自动系统更新：

2. # 安装yum-cron
3. yum install -y yum-cron
5. # 配置yum-cron
6. vi /etc/yum/yum-cron.conf

复制代码

修改以下设置：

2. [commands]
3. update_cmd = security
4. update_messages = yes
5. download_updates = yes
6. apply_updates = yes
8. [email]
9. email_from = root@example.com
10. email_to = admin@example.com
11. email_host = localhost

复制代码

启动并启用yum-cron：

2. systemctl start yum-cron
3. systemctl enable yum-cron

复制代码

最佳实践总结

在配置和管理RHEL服务器时，以下是一些关键的最佳实践：

1. 安全第一：始终启用SELinux使用强密码和密钥认证定期更新系统限制网络访问，只开放必要的端口
2. 始终启用SELinux
3. 使用强密码和密钥认证
4. 定期更新系统
5. 限制网络访问，只开放必要的端口
6. 文档记录：记录所有配置更改维护系统配置的文档使用版本控制系统管理配置文件
7. 记录所有配置更改
8. 维护系统配置的文档
9. 使用版本控制系统管理配置文件
10. 监控和警报：设置全面的监控系统配置关键指标的警报定期审查系统日志
11. 设置全面的监控系统
12. 配置关键指标的警报
13. 定期审查系统日志
14. 备份和恢复：实施定期备份策略测试恢复过程保留多个备份副本
15. 实施定期备份策略
16. 测试恢复过程
17. 保留多个备份副本
18. 性能优化：定期监控系统性能根据工作负载调整系统参数使用适当的硬件资源
19. 定期监控系统性能
20. 根据工作负载调整系统参数
21. 使用适当的硬件资源
22. 变更管理：实施变更管理流程在生产环境应用更改前先在测试环境验证计划维护窗口以减少服务中断
23. 实施变更管理流程
24. 在生产环境应用更改前先在测试环境验证
25. 计划维护窗口以减少服务中断
26. 合规性：了解并遵守相关法规和标准定期进行安全审计实施必要的控制措施
27. 了解并遵守相关法规和标准
28. 定期进行安全审计
29. 实施必要的控制措施

安全第一：

• 始终启用SELinux
• 使用强密码和密钥认证
• 定期更新系统
• 限制网络访问，只开放必要的端口

文档记录：

• 记录所有配置更改
• 维护系统配置的文档
• 使用版本控制系统管理配置文件

监控和警报：

• 设置全面的监控系统
• 配置关键指标的警报
• 定期审查系统日志

备份和恢复：

• 实施定期备份策略
• 测试恢复过程
• 保留多个备份副本

性能优化：

• 定期监控系统性能
• 根据工作负载调整系统参数
• 使用适当的硬件资源

变更管理：

• 实施变更管理流程
• 在生产环境应用更改前先在测试环境验证
• 计划维护窗口以减少服务中断

合规性：

• 了解并遵守相关法规和标准
• 定期进行安全审计
• 实施必要的控制措施

通过遵循这些最佳实践，您可以构建一个安全、稳定、高性能的RHEL服务器环境，满足企业级应用的需求。

以上是Red Hat Enterprise Linux服务器配置的全面指南，涵盖了从初始安装到系统优化的各个方面。通过遵循这些步骤和最佳实践，您可以构建一个安全、稳定、高性能的企业级服务器环境。

版权声明

1、转载或引用本网站内容(Red Hat Enterprise Linux服务器配置最佳实践权威指南从初始安装到系统优化全面解析安全配置网络设置性能调助您构建企业级稳定服务器环境)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://pixtech.cc/thread-37447-1-1.html