Rocky Linux 9.4 Minimal安装后必做的10件事安全加固、性能优化与开发环境搭建当你完成Rocky Linux 9.4 Minimal的安装面对那个极简的命令行界面时可能会感到一丝茫然。这个裸系统虽然轻量但距离生产环境或高效开发平台还有不少距离。本文将带你完成从基础安全加固到性能调优再到开发环境搭建的全流程让你的Rocky Linux系统真正活起来。1. 系统更新与安全补丁配置刚安装的系统首要任务是确保所有组件都是最新版本。Rocky Linux作为RHEL的衍生版本使用DNF包管理器进行软件管理# 更新所有已安装的软件包 sudo dnf update -y # 清理过时的缓存 sudo dnf clean all注意在生产环境中建议先在测试环境验证更新避免关键业务组件不兼容。自动安全更新是服务器运维的最佳实践。配置dnf-automatic实现无人值守更新sudo dnf install -y dnf-automatic sudo systemctl enable --now dnf-automatic-install.timer验证自动更新服务状态systemctl list-timers | grep dnf2. SSH安全加固默认的SSH配置存在安全隐患需要进行以下优化密钥认证替代密码登录# 本地生成密钥对如果尚未生成 ssh-keygen -t ed25519 -f ~/.ssh/rocky_ed25519 # 将公钥上传到服务器 ssh-copy-id -i ~/.ssh/rocky_ed25519.pub usernameserver_ip修改SSH配置文件sudo vim /etc/ssh/sshd_config关键参数修改Port 2222 # 修改默认端口 PermitRootLogin no # 禁止root直接登录 PasswordAuthentication no # 禁用密码认证 MaxAuthTries 3 # 限制尝试次数重启SSH服务并验证sudo systemctl restart sshd # 新开终端测试连接后再退出当前会话3. 防火墙与SELinux配置Rocky Linux默认使用firewalld和SELinux提供多层防护firewalld基础规则sudo systemctl enable --now firewalld sudo firewall-cmd --permanent --add-port2222/tcp # 放行修改后的SSH端口 sudo firewall-cmd --reloadSELinux策略管理# 查看当前状态 getenforce # 临时切换模式 sudo setenforce 1 # Enforcing模式 sudo setenforce 0 # Permissive模式 # 永久配置 sudo vim /etc/selinux/config常用SELinux排错命令# 查看拒绝日志 sudo ausearch -m avc -ts recent # 修复文件上下文 sudo restorecon -Rv /path/to/directory4. 基础工具链安装Minimal安装缺少许多实用工具建议安装以下增强包sudo dnf install -y epel-release # 添加EPEL仓库 # 系统监控与网络工具 sudo dnf install -y htop iotop iftop nmon ncdu tree net-tools bind-utils # 开发工具链 sudo dnf groupinstall -y Development Tools sudo dnf install -y git vim-enhanced tmux # 压缩与文件传输工具 sudo dnf install -y unzip p7zip lrzsz rsyncvim基础配置cat EOF ~/.vimrc set number set tabstop4 set expandtab set autoindent syntax on EOF5. 内核参数与Swap优化针对服务器场景调整内核参数# 查看当前swappiness值 cat /proc/sys/vm/swappiness # 永久调整推荐值10-30 echo vm.swappiness20 | sudo tee -a /etc/sysctl.conf # 其他性能参数 cat EOF | sudo tee -a /etc/sysctl.conf net.core.somaxconn 1024 net.ipv4.tcp_max_syn_backlog 2048 net.ipv4.tcp_fin_timeout 30 EOF # 应用修改 sudo sysctl -p对于物理内存小于4GB的系统建议配置适当的swap空间# 创建4GB的swap文件 sudo fallocate -l 4G /swapfile sudo chmod 600 /swapfile sudo mkswap /swapfile sudo swapon /swapfile # 永久生效 echo /swapfile none swap sw 0 0 | sudo tee -a /etc/fstab6. 容器环境部署Rocky Linux 9.4支持Podman默认和Docker两种容器方案Podman方案sudo dnf install -y podman podman-docker sudo systemctl enable --now podman.socket # 测试运行 podman run --rm hello-worldDocker CE方案# 添加Docker官方仓库 sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo # 安装Docker引擎 sudo dnf install -y docker-ce docker-ce-cli containerd.io # 配置镜像加速国内用户 sudo mkdir -p /etc/docker sudo tee /etc/docker/daemon.json -EOF { registry-mirrors: [https://registry.docker-cn.com] } EOF # 启动服务 sudo systemctl enable --now docker7. 时间同步与日志管理确保系统时间准确对分布式系统至关重要# 安装chrony时间服务 sudo dnf install -y chrony sudo systemctl enable --now chronyd # 验证时间同步状态 chronyc tracking chronyc sources -v日志管理推荐使用journalctl结合logrotate# 查看系统日志 journalctl -xe --no-pager # 安装logrotate sudo dnf install -y logrotate # 示例为Nginx配置日志轮转 sudo tee /etc/logrotate.d/nginx EOF /var/log/nginx/*.log { daily missingok rotate 14 compress delaycompress notifempty create 0640 nginx nginx sharedscripts postrotate /bin/kill -USR1 cat /run/nginx.pid 2/dev/null 2/dev/null || true endscript } EOF8. Web服务器环境搭建根据需求选择Nginx或ApacheNginx安装sudo dnf install -y nginx sudo systemctl enable --now nginx # 基础安全配置 sudo sed -i s/# server_tokens off;/server_tokens off;/ /etc/nginx/nginx.conf sudo firewall-cmd --permanent --add-servicehttp sudo firewall-cmd --permanent --add-servicehttps sudo firewall-cmd --reloadApache安装sudo dnf install -y httpd mod_ssl sudo systemctl enable --now httpd # 配置安全头 sudo tee -a /etc/httpd/conf/httpd.conf EOF Header always set X-Content-Type-Options nosniff Header always set X-Frame-Options SAMEORIGIN EOF9. 数据库环境配置PostgreSQL安装sudo dnf install -y postgresql-server postgresql-contrib sudo postgresql-setup --initdb sudo systemctl enable --now postgresql # 创建用户和数据库 sudo -u postgres psql -c CREATE USER devuser WITH PASSWORD securepass; sudo -u postgres psql -c CREATE DATABASE appdb OWNER devuser;MySQL 8.0安装sudo dnf install -y mysql-server sudo systemctl enable --now mysqld # 安全初始化 sudo mysql_secure_installation # 创建远程访问用户谨慎使用 mysql -u root -p -e CREATE USER remote% IDENTIFIED BY complexpassword; mysql -u root -p -e GRANT ALL PRIVILEGES ON *.* TO remote% WITH GRANT OPTION;10. 开发环境定制根据开发需求安装特定语言环境Python环境sudo dnf install -y python3 python3-devel python3-pip python3 -m pip install --user --upgrade pip python3 -m pip install --user virtualenv # 创建虚拟环境 python3 -m virtualenv ~/venv/project1 source ~/venv/project1/bin/activateNode.js环境# 通过NodeSource安装LTS版本 curl -fsSL https://rpm.nodesource.com/setup_lts.x | sudo bash - sudo dnf install -y nodejs # 验证安装 node --version npm --versionJava开发环境# 安装OpenJDK 17 sudo dnf install -y java-17-openjdk-devel # 环境变量配置 echo export JAVA_HOME/usr/lib/jvm/java-17-openjdk ~/.bashrc echo export PATH$JAVA_HOME/bin:$PATH ~/.bashrc source ~/.bashrc经过这10个步骤的系统配置你的Rocky Linux 9.4 Minimal已经从基础安装转变为安全、高效且功能完善的开发/生产环境。实际部署时可根据具体需求调整某些环节比如Web服务器选择或数据库类型。