Rocky Linux 9 最佳实践

以下是基于最佳实践的 Rocky Linux 9 安装部署指南，综合官方文档和实际生产环境经验整理而成：

一、准备工作

1. ​系统要求​

• ​CPU​：64位双核及以上（提议支持虚拟化技术）​内存​：最小 1GB（生产环境提议 ≥4GB）​存储​：≥20GB 可用空间（推荐 SSD）​网络​：稳定的网络连接（如需静态 IP，提前规划地址）

1. ​镜像下载​

• ​官方源​：Rocky Linux 下载页（选择 DVD ISO 或 Minimal ISO）​国内镜像​（加速下载）：阿里云：https://mirrors.aliyun.com/rockylinux/清华大学：https://mirrors.tuna.tsinghua.edu.cn/rocky/

1. ​安装介质制作​

• ​Windows​：使用 Rufus 或 Ventoy 写入 U 盘（选择 DD 模式）​Linux​：执行 sudo dd if=Rocky-9.x.iso of=/dev/sdX bs=4M status=progress && sync

​二、安装过程关键步骤​

​1. 启动引导​

• 从 U 盘/光盘启动，选择 ​Install Rocky Linux 9.x​
• 虚拟机用户：确保启用 CPU 虚拟化（VT-x/AMD-V）

​2. 语言与时区​

• 语言选择 ​English​（生产环境避免中文，减少编码问题）
• 时区设置为 ​Asia/Shanghai​（图形界面点选上海）

​3. 分区方案（企业级推荐）​​

​手动分区（Custom）​，采用标准分区（Standard Partition）：

​关键操作​：删除自动生成的 LVM 分区，选择标准分区提升性能

​4. 软件选择​

• ​Minimal Install​：服务器首选，减少攻击面
• ​Server with GUI​：需图形界面时选择（增加 GNOME 包）

​5. 网络与主机名​

• ​启用网卡​：进入 Network & Host Name 打开连接
• ​静态 IP 配置​（生产环境必设）：

[ipv4]

method=manual

addresses=192.168.1.10/24

gateway=192.168.1.1

dns=223.5.5.5;114.114.114.114

• ​主机名​：格式 hostname.domain（如 web01.example.com）

​6. 用户与安全设置​

• ​Root 密码​：长度 ≥12 位，包含大小写+数字+符号（弱密码需点两次 Done）
• ​创建普通用户​：用户名如 admin，勾选 ​Make this user administrator​（加入 wheel 组）​撤销勾选​ Allow root SSH login（禁止 root 远程登录）
• ​禁用 Kdump​：测试/小内存环境释放资源（撤销勾选）

​三、安装后关键配置​

​1. 系统更新与基础工具​

# 替换国内源（解决官方源延迟）

sudo sed -e ‘s|^mirrorlist=|#mirrorlist=|g’ -e ‘s|^#baseurl=http://dl.rockylinux.org|baseurl=https://mirrors.aliyun.com/rocky|g’ -i.bak /etc/yum.repos.d/Rocky-*.repo

# 更新系统并安装工具

sudo dnf update -y sudo dnf install -y epel-release vim wget net-tools bash-completion

​2. 防火墙与 SELinux​

• ​防火墙策略​：

sudo systemctl enable –now

firewalld sudo firewall-cmd –permanent –add-service={http,https,ssh}

# 开放常用端口

sudo firewall-cmd –reload

• ​SELinux 策略​：生产环境启用 ​Enforcing 模式​：
• sudo setenforce 1 && sudo sed -i ‘s/SELINUX=permissive/SELINUX=enforcing/g’ /etc/selinux/config
• 测试环境可临时禁用：sudo setenforce 0（重启失效）

​3. SSH 安全加固​

# 编辑

vim /etc/ssh/sshd_config

PermitRootLogin no # 禁止 root 登录

PasswordAuthentication no # 禁用密码登录（仅用密钥）

AllowUsers admin@192.168.1.0/24 # 限制用户和IP段

sudo systemctl restart sshd

​4. 时间同步​

sudo dnf install chrony -y sudo systemctl enable –now chronyd

sudo chronyc sources # 验证时间源

​四、最佳实践与调优​

1. ​分区优化​

• 数据库服务器：单独挂载 /var/lib/mysql 或 /var/lib/pgsql，使用 noatime 挂载选项减少写入交换空间：大内存服务器可设置 vm.swappiness=10（/etc/sysctl.conf）。

1. ​安全加固​

• 定期审计：使用 lynis audit system 扫描漏洞。用户权限：配置 sudo 精细控制（visudo 编辑 /etc/sudoers）。端口最小化：sudo firewall-cmd –list-all 检查开放端口。

1. ​备份与快照​

• ​虚拟机​：安装后立即拍摄快照（VMware → 快照 → 拍摄快照）​物理机​：使用 rsync 或 BorgBackup 定期备份 /etc、/home、/var 等目录。

1. ​故障排查工具​

• 日志分析：journalctl -xe 查看启动错误。网络诊断：nmap（端口扫描）、tcpdump（抓包分析）。性能监控：dnf install htop 或配置 Zabbix 监控。

​五、常见问题解决​

• ​安装卡顿​：关闭虚拟机 3D 加速（VMware → 设置 → 显示器 → 撤销加速 3D）
• ​网络无法连接​：检查 NetworkManager 状态：systemctl status NetworkManager，确认网卡模式（NAT/桥接）
• ​分区失败​：使用 parted -l 检查磁盘标签，确保为 gpt 或 msdos

​提示​：Rocky Linux 9 支持至 ​2032年5月​（EOL），提议定期执行 dnf update 保持系统更新

以上步骤覆盖了从安装到生产环境部署的核心流程，平衡了安全性与易用性。企业用户应重点关注分区隔离、SELinux 强制模式及 SSH 密钥认证，避免直接复制生产配置。