AlmaLinux高级配置教程全面解析从入门到精通的系统优化与安全设置指南助您轻松掌握企业级Linux管理技能提升工作效率

威震华夏关云长

引言

AlmaLinux作为CentOS的替代品之一，已经成为企业级Linux服务器的重要选择。它是一个开源的、社区驱动的Linux发行版，完全兼容RHEL（Red Hat Enterprise Linux），提供了稳定、安全和高性能的操作环境。本教程将带您从AlmaLinux的基础配置开始，逐步深入到系统优化和安全设置，帮助您掌握企业级Linux管理技能，提升工作效率。

1. AlmaLinux基础：安装和初始配置

1.1 安装AlmaLinux

AlmaLinux的安装过程直观且用户友好。您可以从官方网站下载ISO镜像，然后使用以下方法之一进行安装：

• USB启动盘：使用dd命令或Rufus等工具创建启动USB
• 网络安装：通过PXE服务器进行网络安装
• 虚拟化平台：在VMware、VirtualBox或KVM中安装

以下是使用dd命令创建启动USB的示例：

2. # 检查USB设备名称（假设为/dev/sdb）
3. lsblk
5. # 卸载设备（如果已挂载）
6. umount /dev/sdb*
8. # 使用dd命令写入ISO镜像
9. dd if=AlmaLinux-9.0-x86_64-dvd.iso of=/dev/sdb bs=4M status=progress
11. # 同步写入
12. sync

复制代码

1.2 初始系统配置

安装完成后，需要进行一些基本配置：

2. # 更新系统
3. sudo dnf update -y
5. # 安装常用工具
6. sudo dnf install -y vim git curl wget net-tools
8. # 配置主机名
9. sudo hostnamectl set-hostname almalinux-server
11. # 检查主机名配置
12. hostnamectl status

复制代码

1.3 网络配置

AlmaLinux使用NetworkManager进行网络管理：

2. # 查看网络连接
3. nmcli connection show
5. # 配置静态IP（假设连接名称为ens33）
6. sudo nmcli connection modify ens33 ipv4.addresses 192.168.1.100/24
7. sudo nmcli connection modify ens33 ipv4.gateway 192.168.1.1
8. sudo nmcli connection modify ens33 ipv4.dns "8.8.8.8 8.8.4.4"
9. sudo nmcli connection modify ens33 ipv4.method manual
11. # 重启网络连接
12. sudo nmcli connection down ens33 && sudo nmcli connection up ens33
14. # 验证网络配置
15. ip addr show
16. ping -c 4 google.com

复制代码

1.4 添加用户和权限管理

2. # 创建新用户
3. sudo useradd -m -s /bin/bash adminuser
5. # 设置密码
6. sudo passwd adminuser
8. # 将用户添加到wheel组（sudo权限）
9. sudo usermod -aG wheel adminuser
11. # 验证sudo权限
12. su - adminuser
13. sudo whoami

复制代码

2. 系统优化：性能调优、资源管理

2.1 内核参数调优

通过修改/etc/sysctl.conf文件可以优化内核参数：

2. # 编辑sysctl配置文件
3. sudo vim /etc/sysctl.conf
5. # 添加以下参数
6. # 网络优化
7. net.core.rmem_max = 16777216
8. net.core.wmem_max = 16777216
9. net.ipv4.tcp_rmem = 4096 87380 16777216
10. net.ipv4.tcp_wmem = 4096 65536 16777216
11. net.ipv4.tcp_congestion_control = bbr
12. net.core.default_qdisc = fq
14. # 文件系统优化
15. fs.file-max = 100000
16. fs.inotify.max_user_watches = 100000
18. # 应用配置
19. sudo sysctl -p

复制代码

2.2 文件系统优化

选择合适的文件系统并优化其参数：

2. # 安装XFS文件系统工具（如果使用XFS）
3. sudo dnf install -y xfsprogs
5. # 格式化分区为XFS（假设为/dev/sdb1）
6. sudo mkfs.xfs /dev/sdb1
8. # 创建挂载点并挂载
9. sudo mkdir -p /data
10. sudo mount /dev/sdb1 /data
12. # 添加到/etc/fstab实现永久挂载
13. echo "/dev/sdb1 /data xfs defaults 0 0" | sudo tee -a /etc/fstab
15. # 优化挂载选项（在/etc/fstab中）
16. /dev/sdb1 /data xfs defaults,noatime,nodiratime,largeio,inode64,swalloc 0 0

复制代码

2.3 内存管理优化

2. # 创建交换文件（如果没有交换分区）
3. sudo fallocate -l 2G /swapfile
4. sudo chmod 600 /swapfile
5. sudo mkswap /swapfile
6. sudo swapon /swapfile
7. echo "/swapfile none swap sw 0 0" | sudo tee -a /etc/fstab
9. # 调整swappiness值（0-100，推荐10）
10. echo "vm.swappiness=10" | sudo tee -a /etc/sysctl.conf
11. sudo sysctl -p
13. # 检查内存使用情况
14. free -h
15. cat /proc/meminfo

复制代码

2.4 CPU性能调优

2. # 安装cpufreq工具
3. sudo dnf install -y cpupowerutils
5. # 查看当前CPU频率策略
6. sudo cpupower frequency-info
8. # 设置性能模式（高性能）
9. sudo cpupower frequency-set -g performance
11. # 或者设置ondemand模式（平衡性能和功耗）
12. sudo cpupower frequency-set -g ondemand
14. # 安装tuned工具进行系统级调优
15. sudo dnf install -y tuned
17. # 启动并启用tuned服务
18. sudo systemctl enable --now tuned
20. # 查看可用配置文件
21. sudo tuned-adm list
23. # 应用性能优化配置
24. sudo tuned-adm profile throughput-performance

复制代码

2.5 磁盘I/O优化

2. # 检查磁盘I/O调度器
3. cat /sys/block/sda/queue/scheduler
5. # 临时更改调度器为deadline（适合数据库服务器）
6. echo deadline | sudo tee /sys/block/sda/queue/scheduler
8. # 永久更改（通过GRUB配置）
9. sudo vim /etc/default/grub
10. # 在GRUB_CMDLINE_LINUX行添加"elevator=deadline"
11. # 例如：GRUB_CMDLINE_LINUX="crashkernel=auto resume=/dev/mapper/almalinux-swap rhgb quiet elevator=deadline"
13. # 更新GRUB配置
14. sudo grub2-mkconfig -o /boot/grub2/grub.cfg
16. # 使用ionice设置进程I/O优先级
17. ionice -c 1 -n 0 -p $PID  # 最高优先级
18. ionice -c 3 -p $PID        # 最低优先级

复制代码

3. 安全设置：防火墙、SELinux、访问控制

3.1 防火墙配置

AlmaLinux使用firewalld作为默认防火墙：

2. # 安装并启用firewalld
3. sudo dnf install -y firewalld
4. sudo systemctl enable --now firewalld
6. # 检查防火墙状态
7. sudo firewall-cmd --state
9. # 查看默认区域和活动区域
10. sudo firewall-cmd --get-default-zone
11. sudo firewall-cmd --get-active-zones
13. # 开放端口（例如HTTP和HTTPS）
14. sudo firewall-cmd --permanent --add-service=http
15. sudo firewall-cmd --permanent --add-service=https
17. # 或者指定端口
18. sudo firewall-cmd --permanent --add-port=8080/tcp
20. # 重新加载防火墙配置
21. sudo firewall-cmd --reload
23. # 查看开放的端口和服务
24. sudo firewall-cmd --list-all
26. # 限制特定IP访问
27. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
28. sudo firewall-cmd --reload

复制代码

3.2 SELinux配置

SELinux是Linux系统的重要安全组件：

2. # 检查SELinux状态
3. sestatus
5. # 临时设置SELinux为 enforcing 模式
6. sudo setenforce 1
8. # 永久设置SELinux模式
9. sudo vim /etc/selinux/config
10. # 修改 SELINUX=enforcing
12. # 查看文件和进程的SELinux上下文
13. ls -Z
14. ps -eZ
16. # 修改文件的安全上下文
17. sudo chcon -t httpd_sys_content_t /var/www/html/index.html
19. # 恢复默认安全上下文
20. sudo restorecon -Rv /var/www/html
22. # 查看SELinux布尔值
23. getsebool -a
25. # 设置SELinux布尔值（例如允许HTTP连接网络）
26. sudo setsebool -P httpd_can_network_connect on
28. # 查看SELinux日志（如果被拒绝）
29. sudo ausearch -m AVC -ts recent

复制代码

3.3 SSH安全配置

2. # 备份SSH配置文件
3. sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
5. # 编辑SSH配置
6. sudo vim /etc/ssh/sshd_config
8. # 修改以下参数以提高安全性
9. Port 2222  # 更改默认端口
10. PermitRootLogin no  # 禁止root登录
11. PasswordAuthentication no  # 禁用密码认证，仅允许密钥认证
12. PubkeyAuthentication yes  # 启用密钥认证
13. PermitEmptyPasswords no  # 禁止空密码
14. X11Forwarding no  # 禁用X11转发
15. MaxAuthTries 3  # 最大尝试次数
16. AllowUsers adminuser  # 允许特定用户登录
18. # 重启SSH服务
19. sudo systemctl restart sshd
21. # 为用户生成SSH密钥（在客户端）
22. ssh-keygen -t rsa -b 4096
24. # 将公钥复制到服务器
25. ssh-copy-id -i ~/.ssh/id_rsa.pub adminuser@server -p 2222

复制代码

3.4 系统访问控制

2. # 配置PAM（可插拔认证模块）
3. sudo vim /etc/pam.d/system-auth
5. # 添加密码强度策略（在password sufficient行之前）
6. password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
7. password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
9. # 配置密码策略
10. sudo vim /etc/security/pwquality.conf
11. # 修改以下参数
12. minlen = 12
13. minclass = 3
14. maxrepeat = 3
15. dcredit = -1
16. ucredit = -1
17. lcredit = -1
18. ocredit = -1
20. # 配置登录失败锁定
21. sudo vim /etc/pam.d/system-auth
22. # 在auth部分添加
23. auth        required      pam_tally2.so deny=5 unlock_time=300 onerr=fail silent
25. # 查看失败登录尝试
26. sudo pam_tally2 --user=adminuser
28. # 解锁用户账户
29. sudo pam_tally2 --user=adminuser --reset

复制代码

3.5 系统审计与日志

2. # 安装和配置auditd
3. sudo dnf install -y audit
4. sudo systemctl enable --now auditd
6. # 配置审计规则
7. sudo vim /etc/audit/rules.d/audit.rules
8. # 添加以下规则
9. -w /etc/passwd -p wa -k identity
10. -w /etc/shadow -p wa -k identity
11. -w /etc/sudoers -p wa -k identity
12. -w /etc/ssh/sshd_config -p wa -k ssh_config
13. -a always,exit -F arch=b64 -S execve -k process_creation
15. # 重新加载审计规则
16. sudo augenrules --load
18. # 查看审计日志
19. sudo ausearch -k identity
20. sudo ausearch -k process_creation
22. # 配置日志轮转
23. sudo vim /etc/logrotate.conf
24. # 修改保留周期
25. rotate 52
26. weekly
27. compress
28. delaycompress

复制代码

4. 网络配置：高级网络设置、服务管理

4.1 高级网络配置

2. # 配置网络绑定（Bonding）
3. # 安装绑定工具
4. sudo dnf install -y teamd
6. # 创建绑定接口配置
7. sudo vim /etc/sysconfig/network-scripts/ifcfg-bond0
8. DEVICE=bond0
9. NAME=bond0
10. TYPE=Bond
11. BONDING_MASTER=yes
12. IPADDR=192.168.1.100
13. PREFIX=24
14. GATEWAY=192.168.1.1
15. DNS1=8.8.8.8
16. ONBOOT=yes
17. BOOTPROTO=none
18. BONDING_OPTS="mode=4 miimon=100"
20. # 配置从接口
21. sudo vim /etc/sysconfig/network-scripts/ifcfg-ens33
22. DEVICE=ens33
23. NAME=ens33
24. TYPE=Ethernet
25. ONBOOT=yes
26. BOOTPROTO=none
27. MASTER=bond0
28. SLAVE=yes
30. sudo vim /etc/sysconfig/network-scripts/ifcfg-ens34
31. DEVICE=ens34
32. NAME=ens34
33. TYPE=Ethernet
34. ONBOOT=yes
35. BOOTPROTO=none
36. MASTER=bond0
37. SLAVE=yes
39. # 重启网络服务
40. sudo systemctl restart NetworkManager
42. # 验证绑定状态
43. cat /proc/net/bonding/bond0
45. # 配置VLAN接口
46. sudo vim /etc/sysconfig/network-scripts/ifcfg-bond0.100
47. DEVICE=bond0.100
48. NAME=bond0.100
49. VLAN=yes
50. IPADDR=10.0.0.100
51. PREFIX=24
52. ONBOOT=yes
54. # 重启网络服务
55. sudo systemctl restart NetworkManager
57. # 验证VLAN接口
58. ip addr show bond0.100

复制代码

4.2 网络服务优化

2. # 优化TCP/IP栈参数
3. sudo vim /etc/sysctl.conf
4. # 添加以下参数
5. net.ipv4.tcp_tw_reuse = 1
6. net.ipv4.tcp_fin_timeout = 10
7. net.ipv4.tcp_keepalive_time = 1200
8. net.ipv4.tcp_max_syn_backlog = 8192
9. net.ipv4.tcp_max_tw_buckets = 5000
10. net.ipv4.tcp_rfc1337 = 1
11. net.ipv4.ip_local_port_range = 1024 65000
13. # 应用配置
14. sudo sysctl -p
16. # 配置网络服务（以Nginx为例）
17. # 安装Nginx
18. sudo dnf install -y nginx
20. # 优化Nginx配置
21. sudo vim /etc/nginx/nginx.conf
22. # 修改worker进程数和连接数
23. worker_processes auto;
24. worker_rlimit_nofile 100000;
25. events {
26.     worker_connections 4000;
27.     use epoll;
28.     multi_accept on;
29. }
31. # 配置HTTP参数
32. http {
33.     sendfile on;
34.     tcp_nopush on;
35.     tcp_nodelay on;
36.     keepalive_timeout 30;
37.     keepalive_requests 100000;
38.     reset_timedout_connection on;
39.     client_body_timeout 10;
40.     send_timeout 2;
41.    
42.     # 启用gzip压缩
43.     gzip on;
44.     gzip_vary on;
45.     gzip_proxied any;
46.     gzip_comp_level 6;
47.     gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
48. }
50. # 启动并启用Nginx
51. sudo systemctl enable --now nginx

复制代码

4.3 网络安全配置

2. # 配置fail2ban防止暴力破解
3. sudo dnf install -y epel-release
4. sudo dnf install -y fail2ban
6. # 创建fail2ban配置
7. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
9. # 编辑配置
10. sudo vim /etc/fail2ban/jail.local
11. # 修改SSH保护设置
12. [sshd]
13. enabled = true
14. port = 2222
15. filter = sshd
16. logpath = /var/log/secure
17. maxretry = 3
18. bantime = 3600
19. findtime = 600
21. # 启动并启用fail2ban
22. sudo systemctl enable --now fail2ban
24. # 查看被禁止的IP
25. sudo fail2ban-client status sshd
27. # 配置iptables防火墙（替代firewalld）
28. # 安装iptables服务
29. sudo dnf install -y iptables-services
31. # 停止firewalld并禁用
32. sudo systemctl stop firewalld
33. sudo systemctl disable firewalld
35. # 启用iptables
36. sudo systemctl enable --now iptables
38. # 配置iptables规则
39. sudo vim /etc/sysconfig/iptables
40. # 添加以下规则
41. *filter
42. :INPUT DROP [0:0]
43. :FORWARD DROP [0:0]
44. :OUTPUT ACCEPT [0:0]
45. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
46. -A INPUT -i lo -j ACCEPT
47. -A INPUT -p icmp -j ACCEPT
48. -A INPUT -p tcp -m state --state NEW -m tcp --dport 2222 -j ACCEPT
49. -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
50. -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
51. COMMIT
53. # 重启iptables服务
54. sudo systemctl restart iptables
56. # 保存规则
57. sudo service iptables save

复制代码

5. 存储管理：磁盘分区、LVM、文件系统优化

5.1 高级磁盘分区

2. # 使用parted进行GPT分区
3. sudo dnf install -y parted
5. # 对新磁盘进行分区（假设为/dev/sdc）
6. sudo parted /dev/sdc mklabel gpt
7. sudo parted -a opt /dev/sdc mkpart primary ext4 0% 100%
8. sudo parted /dev/sdc set 1 lvm on
10. # 创建物理卷
11. sudo pvcreate /dev/sdc1
13. # 查看物理卷信息
14. sudo pvdisplay /dev/sdc1

复制代码

5.2 LVM配置与管理

2. # 创建卷组
3. sudo vgcreate vg_data /dev/sdc1
5. # 查看卷组信息
6. sudo vgdisplay vg_data
8. # 创建逻辑卷
9. sudo lvcreate -n lv_data -l 100%FREE vg_data
11. # 查看逻辑卷信息
12. sudo lvdisplay /dev/vg_data/lv_data
14. # 格式化逻辑卷
15. sudo mkfs.xfs /dev/vg_data/lv_data
17. # 创建挂载点并挂载
18. sudo mkdir -p /data
19. sudo mount /dev/vg_data/lv_data /data
21. # 添加到/etc/fstab实现永久挂载
22. echo "/dev/vg_data/lv_data /data xfs defaults 0 0" | sudo tee -a /etc/fstab
24. # 扩展逻辑卷（添加新磁盘/dev/sdd）
25. # 创建新分区并设置为LVM
26. sudo parted /dev/sdd mklabel gpt
27. sudo parted -a opt /dev/sdd mkpart primary ext4 0% 100%
28. sudo parted /dev/sdd set 1 lvm on
30. # 创建物理卷
31. sudo pvcreate /dev/sdd1
33. # 扩展卷组
34. sudo vgextend vg_data /dev/sdd1
36. # 扩展逻辑卷
37. sudo lvextend -l +100%FREE /dev/vg_data/lv_data
39. # 扩展文件系统（XFS）
40. sudo xfs_growfs /data
42. # 对于ext4文件系统，使用以下命令
43. # sudo resize2fs /dev/vg_data/lv_data
45. # 创建LVM快照
46. sudo lvcreate -L 1G -s -n lv_data_snapshot /dev/vg_data/lv_data
48. # 查看快照
49. sudo lvdisplay /dev/vg_data/lv_data_snapshot
51. # 从快照恢复（需要先卸载逻辑卷）
52. sudo umount /data
53. sudo lvconvert --merge /dev/vg_data/lv_data_snapshot
54. sudo mount /dev/vg_data/lv_data /data

复制代码

5.3 RAID配置

2. # 安装mdadm工具
3. sudo dnf install -y mdadm
5. # 创建RAID 1（镜像）阵列（使用/dev/sde和/dev/sdf）
6. sudo mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sde /dev/sdf
8. # 查看RAID状态
9. sudo mdadm --detail /dev/md0
10. cat /proc/mdstat
12. # 创建文件系统并挂载
13. sudo mkfs.xfs /dev/md0
14. sudo mkdir -p /raid
15. sudo mount /dev/md0 /raid
17. # 添加到/etc/fstab实现永久挂载
18. echo "/dev/md0 /raid xfs defaults 0 0" | sudo tee -a /etc/fstab
20. # 保存RAID配置
21. sudo mdadm --detail --scan | sudo tee -a /etc/mdadm/mdadm.conf
23. # 模拟磁盘故障并替换
24. # 标记磁盘为故障
25. sudo mdadm --fail /dev/md0 /dev/sde
27. # 移除故障磁盘
28. sudo mdadm --remove /dev/md0 /dev/sde
30. # 添加新磁盘（假设为/dev/sdg）
31. sudo mdadm --add /dev/md0 /dev/sdg
33. # 查看重建进度
34. cat /proc/mdstat

复制代码

5.4 文件系统优化与配额

2. # 配置磁盘配额
3. # 安装配额工具
4. sudo dnf install -y quota
6. # 编辑/etc/fstab启用配额
7. sudo vim /etc/fstab
8. # 修改挂载选项，添加usrquota和grpquota
9. /dev/vg_data/lv_data /data xfs defaults,usrquota,grpquota 0 0
11. # 重新挂载文件系统
12. sudo mount -o remount /data
14. # 创建配额数据库
15. sudo quotacheck -cug /data
17. # 启用配额
18. sudo quotaon -v /data
20. # 为用户设置配额
21. sudo edquota -u adminuser
22. # 设置软限制和硬限制（以块为单位）
23. Disk quotas for user adminuser (uid 1000):
24.   Filesystem                   blocks       soft       hard     inodes     soft     hard
25.   /dev/mapper/vg_data-lv_data          0    1000000    2000000          0        0        0
27. # 设置宽限期（超过软限制后的宽限时间）
28. sudo edquota -t
30. # 查看配额报告
31. sudo repquota -a
33. # 优化XFS文件系统
34. # 查看XFS文件系统信息
35. sudo xfs_info /data
37. # 调整XFS日志大小（需要先卸载）
38. sudo umount /data
39. sudo xfs_admin -l size=32768b /dev/vg_data/lv_data
40. sudo mount /dev/vg_data/lv_data /data
42. # 优化ext4文件系统
43. # 检查文件系统
44. sudo e2fsck -f /dev/vg_data/lv_data
46. # 调整文件系统参数
47. sudo tune2fs -o journal_data_writeback /dev/vg_data/lv_data
48. sudo tune2fs -O ^has_journal /dev/vg_data/lv_data  # 禁用日志（提高性能，降低安全性）

复制代码

6. 监控与故障排除：系统监控工具、日志分析

6.1 系统监控工具

2. # 安装系统监控工具
3. sudo dnf install -y htop iotop iftop nethogs sysstat
5. # 使用htop监控系统资源
6. htop
8. # 使用iotop监控磁盘I/O
9. sudo iotop
11. # 使用iftop监控网络流量
12. sudo iftop
14. # 使用nethogs监控进程网络使用
15. sudo nethogs
17. # 配置sysstat收集系统性能数据
18. sudo vim /etc/sysconfig/sysstat
19. # 启用数据收集
20. ENABLED="true"
22. # 启动并启用sysstat服务
23. sudo systemctl enable --now sysstat
25. # 查看CPU使用统计
26. sar -u
28. # 查看内存使用统计
29. sar -r
31. # 查看磁盘I/O统计
32. sar -b
34. # 查看网络统计
35. sar -n DEV
37. # 安装和配置Prometheus监控
38. # 安装Prometheus
39. sudo dnf install -y prometheus
41. # 配置Prometheus
42. sudo vim /etc/prometheus/prometheus.yml
43. # 添加以下配置
44. global:
45.   scrape_interval: 15s
47. scrape_configs:
48.   - job_name: 'prometheus'
49.     static_configs:
50.       - targets: ['localhost:9090']
52.   - job_name: 'node_exporter'
53.     static_configs:
54.       - targets: ['localhost:9100']
56. # 启动并启用Prometheus
57. sudo systemctl enable --now prometheus
59. # 安装Node Exporter
60. sudo dnf install -y node_exporter
61. sudo systemctl enable --now node_exporter
63. # 访问Prometheus Web界面
64. # http://server-ip:9090

复制代码

6.2 日志分析与管理

2. # 安装和配置ELK日志分析系统
3. # 安装Java运行时
4. sudo dnf install -y java-11-openjdk
6. # 安装Elasticsearch
7. sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
8. sudo vim /etc/yum.repos.d/elasticsearch.repo
9. # 添加以下内容
10. [elasticsearch]
11. name=Elasticsearch repository for 7.x packages
12. baseurl=https://artifacts.elastic.co/packages/7.x/yum
13. gpgcheck=1
14. gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
15. enabled=0
16. autorefresh=1
17. type=rpm-md
19. # 安装Elasticsearch
20. sudo dnf install --enablerepo=elasticsearch elasticsearch
22. # 配置Elasticsearch
23. sudo vim /etc/elasticsearch/elasticsearch.yml
24. # 修改以下配置
25. network.host: 0.0.0.0
26. discovery.type: single-node
28. # 启动并启用Elasticsearch
29. sudo systemctl enable --now elasticsearch
31. # 安装Logstash
32. sudo dnf install --enablerepo=elasticsearch logstash
34. # 配置Logstash
35. sudo vim /etc/logstash/conf.d/logstash.conf
36. # 添加以下配置
37. input {
38.   file {
39.     path => "/var/log/messages"
40.     start_position => "beginning"
41.   }
42. }
44. filter {
45.   grok {
46.     match => { "message" => "%{SYSLOGBASE} %{GREEDYDATA:log_message}" }
47.   }
48. }
50. output {
51.   elasticsearch {
52.     hosts => ["localhost:9200"]
53.     index => "syslog-%{+YYYY.MM.dd}"
54.   }
55. }
57. # 启动并启用Logstash
58. sudo systemctl enable --now logstash
60. # 安装Kibana
61. sudo dnf install --enablerepo=elasticsearch kibana
63. # 配置Kibana
64. sudo vim /etc/kibana/kibana.yml
65. # 修改以下配置
66. server.host: "0.0.0.0"
67. elasticsearch.hosts: ["http://localhost:9200"]
69. # 启动并启用Kibana
70. sudo systemctl enable --now kibana
72. # 访问Kibana Web界面
73. # http://server-ip:5601

复制代码

6.3 性能分析与故障排除

2. # 使用perf进行性能分析
3. sudo dnf install -y perf
5. # 记录系统调用
6. sudo perf record -a
8. # 查看报告
9. sudo perf report
11. # 使用strace跟踪进程系统调用
12. sudo dnf install -y strace
14. # 跟踪特定进程
15. sudo strace -p <PID>
17. # 跟踪命令执行
18. sudo strace -f -e trace=execve ls -l
20. # 使用lsof查看打开的文件
21. sudo dnf install -y lsof
23. # 查看特定进程打开的文件
24. sudo lsof -p <PID>
26. # 查看特定文件被哪些进程使用
27. sudo lsof /path/to/file
29. # 查看网络连接
30. sudo lsof -i
32. # 使用netstat和ss查看网络连接
33. sudo netstat -tulpn
34. sudo ss -tulpn
36. # 使用tcpdump抓包
37. sudo dnf install -y tcpdump
39. # 抓取特定端口的流量
40. sudo tcpdump -i eth0 port 80
42. # 保存抓包结果
43. sudo tcpdump -i eth0 -w capture.pcap
45. # 使用Wireshark分析抓包文件（需要图形界面）
46. sudo dnf install -y wireshark
47. wireshark capture.pcap
49. # 使用systemd分析服务问题
50. # 查看服务状态
51. sudo systemctl status nginx
53. # 查看服务日志
54. sudo journalctl -u nginx
56. # 查看内核日志
57. sudo journalctl -k
59. # 查看特定时间段的日志
60. sudo journalctl --since "2023-01-01" --until "2023-01-02"
62. # 使用dmesg查看内核环缓冲区消息
63. sudo dmesg | tail

复制代码

7. 自动化与脚本：提高工作效率的自动化技巧

7.1 Shell脚本编程

2. # 创建备份脚本
3. sudo vim /usr/local/bin/backup.sh
4. #!/bin/bash
6. # 定义变量
7. DATE=$(date +%Y%m%d)
8. BACKUP_DIR="/backup"
9. SOURCE_DIR="/data"
11. # 创建备份目录
12. mkdir -p $BACKUP_DIR/$DATE
14. # 执行备份
15. tar -czf $BACKUP_DIR/$DATE/data_backup_$DATE.tar.gz $SOURCE_DIR
17. # 删除30天前的备份
18. find $BACKUP_DIR -type d -mtime +30 -exec rm -rf {} \;
20. # 记录日志
21. echo "Backup completed on $DATE" >> /var/log/backup.log
23. # 设置脚本可执行
24. sudo chmod +x /usr/local/bin/backup.sh
26. # 添加到cron定期执行
27. sudo crontab -e
28. # 添加以下行，每天凌晨2点执行备份
29. 0 2 * * * /usr/local/bin/backup.sh

复制代码

7.2 Ansible自动化配置

2. # 安装Ansible
3. sudo dnf install -y ansible
5. # 创建Ansible配置文件
6. sudo vim /etc/ansible/ansible.cfg
7. [defaults]
8. inventory = /etc/ansible/hosts
9. host_key_checking = False
10. retry_files_enabled = False
12. # 创建主机清单
13. sudo vim /etc/ansible/hosts
14. [webservers]
15. web1.example.com
16. web2.example.com
18. [databases]
19. db1.example.com
21. # 创建Ansible Playbook
22. sudo vim /etc/ansible/playbook.yml
23. ---
24. - name: Configure Web Servers
25.   hosts: webservers
26.   become: yes
27.   
28.   tasks:
29.     - name: Install Nginx
30.       dnf:
31.         name: nginx
32.         state: present
33.    
34.     - name: Start and Enable Nginx
35.       service:
36.         name: nginx
37.         state: started
38.         enabled: yes
39.    
40.     - name: Create Website Directory
41.       file:
42.         path: /var/www/example.com
43.         state: directory
44.         owner: nginx
45.         group: nginx
46.         mode: '0755'
47.    
48.     - name: Copy Website Files
49.       copy:
50.         src: /path/to/local/files/
51.         dest: /var/www/example.com/
52.         owner: nginx
53.         group: nginx
54.         mode: '0644'
55.    
56.     - name: Configure Nginx Site
57.       template:
58.         src: /path/to/nginx.conf.j2
59.         dest: /etc/nginx/conf.d/example.com.conf
60.       notify: Restart Nginx
61.   
62.   handlers:
63.     - name: Restart Nginx
64.       service:
65.         name: nginx
66.         state: restarted
68. # 运行Playbook
69. ansible-playbook /etc/ansible/playbook.yml
71. # 创建角色来组织复杂的任务
72. sudo mkdir -p /etc/ansible/roles/nginx/{tasks,handlers,templates,files,vars}
74. # 创建角色任务
75. sudo vim /etc/ansible/roles/nginx/tasks/main.yml
76. ---
77. - name: Install Nginx
78.   dnf:
79.     name: nginx
80.     state: present
82. - name: Start and Enable Nginx
83.   service:
84.     name: nginx
85.     state: started
86.     enabled: yes
88. # 创建角色处理程序
89. sudo vim /etc/ansible/roles/nginx/handlers/main.yml
90. ---
91. - name: Restart Nginx
92.   service:
93.     name: nginx
94.     state: restarted
96. # 在Playbook中使用角色
97. sudo vim /etc/ansible/site.yml
98. ---
99. - name: Configure Web Servers
100.   hosts: webservers
101.   become: yes
102.   roles:
103.     - nginx

复制代码

7.3 Docker容器化应用

2. # 安装Docker
3. sudo dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
4. sudo dnf install -y docker-ce docker-ce-cli containerd.io
6. # 启动并启用Docker
7. sudo systemctl enable --now docker
9. # 添加用户到docker组
10. sudo usermod -aG docker $USER
11. newgrp docker
13. # 验证Docker安装
14. docker run hello-world
16. # 创建Dockerfile
17. mkdir myapp && cd myapp
18. vim Dockerfile
19. # 添加以下内容
20. FROM almalinux:8
21. RUN dnf install -y nginx
22. COPY index.html /usr/share/nginx/html/
23. EXPOSE 80
24. CMD ["nginx", "-g", "daemon off;"]
26. # 创建index.html
27. echo "<h1>Hello from AlmaLinux Docker Container</h1>" > index.html
29. # 构建Docker镜像
30. docker build -t myapp:latest .
32. # 运行容器
33. docker run -d -p 8080:80 --name myapp-container myapp:latest
35. # 使用Docker Compose管理多容器应用
36. # 安装Docker Compose
37. sudo dnf install -y docker-compose
39. # 创建docker-compose.yml
40. vim docker-compose.yml
41. version: '3'
42. services:
43.   web:
44.     build: .
45.     ports:
46.       - "8080:80"
47.     volumes:
48.       - ./html:/usr/share/nginx/html
49.     networks:
50.       - app-network
51.   db:
52.     image: mysql:8.0
53.     environment:
54.       MYSQL_ROOT_PASSWORD: password
55.       MYSQL_DATABASE: myapp
56.     volumes:
57.       - db-data:/var/lib/mysql
58.     networks:
59.       - app-network
61. volumes:
62.   db-data:
64. networks:
65.   app-network:
67. # 启动服务
68. docker-compose up -d
70. # 查看运行状态
71. docker-compose ps
73. # 停止服务
74. docker-compose down

复制代码

8. 企业级应用部署：常见服务配置

8.1 Web服务器配置

2. # 安装Apache HTTP Server
3. sudo dnf install -y httpd
5. # 创建网站目录
6. sudo mkdir -p /var/www/example.com
7. sudo chown -R apache:apache /var/www/example.com
8. sudo chmod -R 755 /var/www/example.com
10. # 创建示例网页
11. echo "<h1>Welcome to Example.com</h1>" | sudo tee /var/www/example.com/index.html
13. # 创建虚拟主机配置
14. sudo vim /etc/httpd/conf.d/example.com.conf
15. <VirtualHost *:80>
16.     ServerName example.com
17.     ServerAlias www.example.com
18.     DocumentRoot /var/www/example.com
19.    
20.     <Directory /var/www/example.com>
21.         Options Indexes FollowSymLinks
22.         AllowOverride All
23.         Require all granted
24.     </Directory>
25.    
26.     ErrorLog /var/log/httpd/example.com-error.log
27.     CustomLog /var/log/httpd/example.com-access.log combined
28. </VirtualHost>
30. # 启动并启用Apache
31. sudo systemctl enable --now httpd
33. # 配置SSL/TLS（使用Let's Encrypt）
34. # 安装Certbot
35. sudo dnf install -y certbot python3-certbot-apache
37. # 获取SSL证书
38. sudo certbot --apache -d example.com -d www.example.com
40. # 配置自动续期
41. sudo echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew -q" | sudo tee -a /etc/crontab
43. # 安装和配置Nginx作为反向代理
44. # 安装Nginx
45. sudo dnf install -y nginx
47. # 创建反向代理配置
48. sudo vim /etc/nginx/conf.d/reverse_proxy.conf
49. server {
50.     listen 80;
51.     server_name example.com www.example.com;
52.    
53.     location / {
54.         proxy_pass http://localhost:8080;
55.         proxy_set_header Host $host;
56.         proxy_set_header X-Real-IP $remote_addr;
57.         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
58.     }
59. }
61. # 启动并启用Nginx
62. sudo systemctl enable --now nginx

复制代码

8.2 数据库服务器配置

2. # 安装MariaDB
3. sudo dnf install -y mariadb-server
5. # 启动并启用MariaDB
6. sudo systemctl enable --now mariadb
8. # 安全配置
9. sudo mysql_secure_installation
11. # 创建数据库和用户
12. mysql -u root -p
13. CREATE DATABASE myapp;
14. CREATE USER 'myappuser'@'localhost' IDENTIFIED BY 'strongpassword';
15. GRANT ALL PRIVILEGES ON myapp.* TO 'myappuser'@'localhost';
16. FLUSH PRIVILEGES;
17. EXIT;
19. # 配置MariaDB优化
20. sudo vim /etc/my.cnf.d/mariadb-server.cnf
21. [mysqld]
22. # 内存设置
23. innodb_buffer_pool_size = 2G
24. innodb_log_file_size = 256M
25. innodb_log_buffer_size = 8M
27. # 连接设置
28. max_connections = 200
29. max_connect_errors = 100000
30. thread_cache_size = 8
32. # 查询缓存
33. query_cache_type = 1
34. query_cache_size = 128M
35. query_cache_limit = 2M
37. # 重启MariaDB
38. sudo systemctl restart mariadb
40. # 安装PostgreSQL
41. sudo dnf install -y postgresql-server postgresql-contrib
43. # 初始化数据库
44. sudo postgresql-setup --initdb
46. # 启动并启用PostgreSQL
47. sudo systemctl enable --now postgresql
49. # 设置postgres用户密码
50. sudo -u postgres psql -c "ALTER USER postgres WITH PASSWORD 'strongpassword';"
52. # 创建数据库和用户
53. sudo -u postgres createdb myapp
54. sudo -u postgres createuser myappuser
56. # 设置用户密码和权限
57. sudo -u postgres psql
58. ALTER USER myappuser WITH PASSWORD 'strongpassword';
59. GRANT ALL PRIVILEGES ON DATABASE myapp TO myappuser;
60. \q
62. # 配置PostgreSQL优化
63. sudo vim /var/lib/pgsql/data/postgresql.conf
64. # 内存设置
65. shared_buffers = 512MB
66. effective_cache_size = 2GB
67. work_mem = 16MB
68. maintenance_work_mem = 128MB
70. # 连接设置
71. max_connections = 100
73. # 日志设置
74. logging_collector = on
75. log_directory = 'pg_log'
76. log_filename = 'postgresql-%Y-%m-%d_%H%M%S.log'
77. log_statement = 'all'
79. # 重启PostgreSQL
80. sudo systemctl restart postgresql

复制代码

8.3 文件服务器配置

2. # 配置NFS服务器
3. # 安装NFS服务
4. sudo dnf install -y nfs-utils
6. # 创建共享目录
7. sudo mkdir -p /data/nfs/share
8. sudo chmod 777 /data/nfs/share
10. # 配置NFS导出
11. sudo vim /etc/exports
12. /data/nfs/share 192.168.1.0/24(rw,sync,no_root_squash)
14. # 启动并启用NFS服务
15. sudo systemctl enable --now nfs-server rpcbind
17. # 配置防火墙
18. sudo firewall-cmd --permanent --add-service=nfs
19. sudo firewall-cmd --permanent --add-service=mountd
20. sudo firewall-cmd --permanent --add-service=rpc-bind
21. sudo firewall-cmd --reload
23. # 在客户端挂载NFS共享
24. sudo mkdir -p /mnt/nfs
25. sudo mount -t nfs 192.168.1.100:/data/nfs/share /mnt/nfs
27. # 添加到/etc/fstab实现永久挂载
28. echo "192.168.1.100:/data/nfs/share /mnt/nfs nfs defaults 0 0" | sudo tee -a /etc/fstab
30. # 配置Samba服务器
31. # 安装Samba
32. sudo dnf install -y samba samba-client samba-common
34. # 创建共享目录
35. sudo mkdir -p /data/samba/share
36. sudo chmod 777 /data/samba/share
38. # 配置Samba用户
39. sudo useradd -s /sbin/nologin smbuser
40. sudo smbpasswd -a smbuser
42. # 配置Samba共享
43. sudo vim /etc/samba/smb.conf
44. [global]
45.     workgroup = WORKGROUP
46.     server string = Samba Server %v
47.     netbios name = almalinux
48.     security = user
49.     map to guest = bad user
50.     dns proxy = no
52. [Share]
53.     path = /data/samba/share
54.     browsable = yes
55.     writable = yes
56.     guest ok = no
57.     valid users = smbuser
58.     create mask = 0777
59.     directory mask = 0777
61. # 启动并启用Samba服务
62. sudo systemctl enable --now smb nmb
64. # 配置防火墙
65. sudo firewall-cmd --permanent --add-service=samba
66. sudo firewall-cmd --reload
68. # 测试Samba配置
69. sudo testparm

复制代码

9. 最佳实践和总结

9.1 系统维护最佳实践

2. # 创建系统维护脚本
3. sudo vim /usr/local/bin/system_maintenance.sh
4. #!/bin/bash
6. # 更新系统
7. echo "Updating system..."
8. dnf update -y
10. # 清理旧软件包
11. echo "Cleaning old packages..."
12. dnf autoremove -y
13. dnf clean all
15. # 检查磁盘空间
16. echo "Checking disk space..."
17. df -h
19. # 检查系统资源使用情况
20. echo "Checking system resources..."
21. free -h
22. uptime
24. # 检查失败的服务
25. echo "Checking failed services..."
26. systemctl --failed
28. # 清理日志
29. echo "Cleaning old logs..."
30. journalctl --vacuum-time=30d
32. # 检查文件系统
33. echo "Checking file systems..."
34. fsck -A -C -t nonfs
36. # 记录维护完成时间
37. echo "System maintenance completed on $(date)" >> /var/log/system_maintenance.log
39. # 设置脚本可执行
40. sudo chmod +x /usr/local/bin/system_maintenance.sh
42. # 添加到cron定期执行（每月一次）
43. sudo crontab -e
44. # 添加以下行
45. 0 0 1 * * /usr/local/bin/system_maintenance.sh

复制代码

9.2 安全最佳实践

2. # 创建安全加固脚本
3. sudo vim /usr/local/bin/harden_system.sh
4. #!/bin/bash
6. # 禁用root SSH登录
7. echo "Disabling root SSH login..."
8. sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
9. systemctl restart sshd
11. # 禁用密码认证（仅允许密钥认证）
12. echo "Disabling password authentication for SSH..."
13. sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
14. systemctl restart sshd
16. # 配置自动安全更新
17. echo "Configuring automatic security updates..."
18. dnf install -y dnf-automatic
19. sed -i 's/apply_updates = no/apply_updates = yes/' /etc/dnf/automatic.conf
20. systemctl enable --now dnf-automatic.timer
22. # 安装和配置fail2ban
23. echo "Installing and configuring fail2ban..."
24. dnf install -y epel-release
25. dnf install -y fail2ban
26. systemctl enable --now fail2ban
28. # 配置防火墙
29. echo "Configuring firewall..."
30. systemctl enable --now firewalld
31. firewall-cmd --permanent --add-service=ssh
32. firewall-cmd --permanent --remove-service=dhcpv6-client
33. firewall-cmd --reload
35. # 禁用不必要的服务
36. echo "Disabling unnecessary services..."
37. systemctl disable avahi-daemon cups bluetooth
39. # 设置强密码策略
40. echo "Setting strong password policies..."
41. sed -i 's/# minlen = 9/minlen = 12/' /etc/security/pwquality.conf
42. sed -i 's/# minclass = 3/minclass = 3/' /etc/security/pwquality.conf
44. # 配置登录失败锁定
45. echo "Configuring login failure lockout..."
46. sed -i '/auth.*pam_unix.so/i auth        required      pam_tally2.so deny=5 unlock_time=300 onerr=fail silent' /etc/pam.d/system-auth
48. # 设置脚本可执行
49. sudo chmod +x /usr/local/bin/harden_system.sh

复制代码

9.3 备份和恢复策略

2. # 创建备份策略脚本
3. sudo vim /usr/local/bin/backup_strategy.sh
4. #!/bin/bash
6. # 定义变量
7. DATE=$(date +%Y%m%d_%H%M%S)
8. BACKUP_DIR="/backup"
9. RETENTION_DAYS=30
11. # 创建备份目录
12. mkdir -p $BACKUP_DIR/system
13. mkdir -p $BACKUP_DIR/config
14. mkdir -p $BACKUP_DIR/data
16. # 系统备份（备份重要系统文件和配置）
17. echo "Creating system backup..."
18. tar -czf $BACKUP_DIR/system/system_backup_$DATE.tar.gz \
19.     /etc \
20.     /home \
21.     /var/spool/cron \
22.     /var/log \
23.     --exclude=/var/log/journal
25. # 配置备份（备份服务配置）
26. echo "Creating configuration backup..."
27. tar -czf $BACKUP_DIR/config/config_backup_$DATE.tar.gz \
28.     /etc/nginx \
29.     /etc/httpd \
30.     /etc/php.ini \
31.     /etc/my.cnf \
32.     /etc/postgresql \
33.     /etc/samba
35. # 数据库备份（MySQL/MariaDB）
36. echo "Creating database backup..."
37. mysqldump --all-databases --single-transaction --routines --triggers --events | gzip > $BACKUP_DIR/data/mysql_backup_$DATE.sql.gz
39. # 数据库备份（PostgreSQL）
40. echo "Creating PostgreSQL backup..."
41. pg_dumpall -U postgres | gzip > $BACKUP_DIR/data/postgresql_backup_$DATE.sql.gz
43. # 文件系统备份（rsync）
44. echo "Creating file system backup..."
45. rsync -avz --delete /data/ $BACKUP_DIR/data/files_backup_$DATE/
47. # 清理旧备份
48. echo "Cleaning old backups..."
49. find $BACKUP_DIR -type f -name "*.tar.gz" -mtime +$RETENTION_DAYS -delete
50. find $BACKUP_DIR -type f -name "*.sql.gz" -mtime +$RETENTION_DAYS -delete
51. find $BACKUP_DIR -type d -name "*_backup_*" -mtime +$RETENTION_DAYS -exec rm -rf {} \;
53. # 记录备份完成
54. echo "Backup completed on $(date)" >> /var/log/backup.log
56. # 设置脚本可执行
57. sudo chmod +x /usr/local/bin/backup_strategy.sh
59. # 添加到cron定期执行
60. sudo crontab -e
61. # 添加以下行，每天凌晨3点执行备份
62. 0 3 * * * /usr/local/bin/backup_strategy.sh

复制代码

9.4 总结

通过本教程，我们详细探讨了AlmaLinux的高级配置和管理技巧，从基础安装到系统优化，再到安全设置和企业级应用部署。这些技能对于系统管理员和DevOps工程师来说至关重要，能够帮助您构建稳定、安全、高效的企业级Linux环境。

关键要点总结：

1. 系统优化：通过调整内核参数、优化文件系统、管理内存和CPU资源，可以显著提高系统性能。
2. 安全设置：防火墙配置、SELinux使用、SSH安全加固和系统访问控制是保护系统安全的关键措施。
3. 网络配置：高级网络设置、服务优化和网络安全配置确保了网络通信的高效和安全。
4. 存储管理：LVM和RAID技术提供了灵活的存储管理方案，而文件系统优化和配额管理则提高了存储效率。
5. 监控与故障排除：使用系统监控工具、日志分析和性能分析工具可以帮助您及时发现和解决系统问题。
6. 自动化：通过Shell脚本、Ansible和Docker容器技术，您可以实现系统管理的自动化，提高工作效率。
7. 企业级应用部署：Web服务器、数据库服务器和文件服务器的配置是企业环境中的常见需求。
8. 最佳实践：系统维护、安全加固和备份恢复策略是确保系统长期稳定运行的重要保障。

系统优化：通过调整内核参数、优化文件系统、管理内存和CPU资源，可以显著提高系统性能。

安全设置：防火墙配置、SELinux使用、SSH安全加固和系统访问控制是保护系统安全的关键措施。

网络配置：高级网络设置、服务优化和网络安全配置确保了网络通信的高效和安全。

存储管理：LVM和RAID技术提供了灵活的存储管理方案，而文件系统优化和配额管理则提高了存储效率。

监控与故障排除：使用系统监控工具、日志分析和性能分析工具可以帮助您及时发现和解决系统问题。

自动化：通过Shell脚本、Ansible和Docker容器技术，您可以实现系统管理的自动化，提高工作效率。

企业级应用部署：Web服务器、数据库服务器和文件服务器的配置是企业环境中的常见需求。

最佳实践：系统维护、安全加固和备份恢复策略是确保系统长期稳定运行的重要保障。

通过掌握这些技能，您将成为一名出色的AlmaLinux系统管理员，能够应对各种企业级Linux管理挑战，提升工作效率，为企业提供稳定可靠的IT基础设施支持。

版权声明

1、转载或引用本网站内容(AlmaLinux高级配置教程全面解析从入门到精通的系统优化与安全设置指南助您轻松掌握企业级Linux管理技能提升工作效率)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://www.pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://www.pixtech.cc/thread-31551-1-1.html