Rocky Linux 9最小化安装与生产环境配置实战指南
在虚拟化技术日益普及的今天,掌握服务器操作系统的快速部署能力已成为开发者和运维人员的必备技能。Rocky Linux作为RHEL的完美替代品,以其稳定性和企业级特性赢得了广泛认可。本文将带你从零开始,在VMware环境中完成Rocky Linux 9的最小化安装,并立即配置生产环境所需的静态IP和SSH远程访问功能。
1. 环境准备与基础安装
1.1 VMware虚拟环境搭建
首先需要准备VMware Workstation Pro 16或更高版本。创建新虚拟机时,建议选择"典型"配置模式,分配至少2核CPU和4GB内存。关键步骤在于存储和网络配置:
# 检查VMware虚拟网络编辑器配置 sudo cat /etc/vmware/vmnet8/nat.conf确保NAT模式的VMnet8网卡配置如下参数:
- 子网IP: 192.168.100.0
- 子网掩码: 255.255.255.0
- 网关IP: 192.168.100.2
1.2 Rocky Linux 9镜像获取与验证
从官方镜像站下载Rocky Linux 9的DVD镜像时,务必验证文件完整性:
# 校验SHA256 sha256sum Rocky-9.x-x86_64-dvd.iso比较输出结果与官网提供的校验值,确保下载过程没有数据损坏。对于生产环境,建议选择最新的稳定版本而非测试版。
1.3 最小化安装流程
启动虚拟机后,安装界面选择"Minimal Install"选项,这是服务器环境的最佳实践。分区方案建议采用以下结构:
| 挂载点 | 大小 | 文件系统 | 备注 |
|---|---|---|---|
| /boot | 512MB | xfs | 引导分区 |
| swap | 内存×2 | swap | 交换空间 |
| / | 剩余空间 | xfs | 根分区 |
在Root Password设置环节,强烈建议:
- 设置复杂度足够的密码(至少12位,含大小写字母、数字和特殊字符)
- 取消勾选"Lock root account"
- 勾选"Allow root SSH login with password"
2. 网络配置深度解析
2.1 静态IP地址配置原理
在服务器环境中,静态IP比DHCP更可靠。Rocky Linux 9使用NetworkManager管理网络,但最小化安装后可能需要手动安装相关工具:
dnf install -y network-scripts查看当前网络接口名称(通常为ens33或ens160):
ip addr show2.2 nmcli实战配置
使用NetworkManager的命令行工具nmcli配置静态IP:
nmcli con mod "有线连接 1" ipv4.addresses 192.168.100.100/24 nmcli con mod "有线连接 1" ipv4.gateway 192.168.100.2 nmcli con mod "有线连接 1" ipv4.dns "8.8.8.8,8.8.4.4" nmcli con mod "有线连接 1" ipv4.method manual nmcli con up "有线连接 1"验证配置是否生效:
ping -c 4 google.com2.3 网络故障排查技巧
当网络连接出现问题时,可以按以下顺序排查:
- 检查物理连接状态
ethtool ens33 - 验证IP配置
ip addr show ens33 - 测试网关连通性
ping 192.168.100.2 - 检查DNS解析
dig google.com
3. SSH服务安全加固
3.1 基础SSH配置
Rocky Linux 9默认安装OpenSSH服务器。验证服务状态:
systemctl status sshd关键配置文件位于/etc/ssh/sshd_config,建议修改以下参数:
Port 2222 PermitRootLogin yes PasswordAuthentication yes注意:允许root密码登录仅适用于测试环境,生产环境应禁用
3.2 防火墙规则配置
Rocky Linux 9使用firewalld管理防火墙。开放SSH端口:
firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --reload验证防火墙规则:
firewall-cmd --list-all3.3 SSH安全增强措施
对于生产环境,建议实施以下安全措施:
- 使用密钥认证替代密码登录
ssh-keygen -t ed25519 ssh-copy-id -p 2222 root@192.168.100.100 - 启用Fail2Ban防止暴力破解
dnf install -y fail2ban systemctl enable --now fail2ban - 配置SSH登录提醒
echo 'echo "Last login: $(date)" >> /etc/motd' >> /etc/profile
4. 生产环境必备后续配置
4.1 系统更新与基础工具
完成安装后首先更新系统:
dnf update -y dnf install -y epel-release安装常用管理工具:
dnf install -y vim bash-completion net-tools lsof htop4.2 时间同步配置
确保系统时间准确对于服务器至关重要:
timedatectl set-timezone Asia/Shanghai dnf install -y chrony systemctl enable --now chronyd chronyc sources4.3 性能调优建议
根据服务器用途进行基础调优:
- 内核参数调整
echo "vm.swappiness = 10" >> /etc/sysctl.conf sysctl -p - 文件系统优化
tune2fs -o journal_data_writeback /dev/sda3 - 服务管理
systemctl list-unit-files --type=service | grep enabled
5. 虚拟机快照与备份策略
5.1 VMware快照管理
在关键配置步骤前后创建快照:
# 查看现有快照 vmrun listSnapshots /path/to/vm.vmx建议在以下时机创建快照:
- 完成基础安装后
- 网络配置成功后
- SSH安全加固完成后
5.2 系统备份方案
即使使用虚拟机,也应建立定期备份机制:
# 创建完整系统备份 tar -cvpzf /backup/rocky9-full-$(date +%F).tar.gz \ --exclude=/backup \ --exclude=/proc \ --exclude=/tmp \ --exclude=/mnt \ --exclude=/dev \ --exclude=/sys \ --exclude=/run \ --exclude=/media \ --exclude=/var/cache \ --exclude=/var/tmp \ /5.3 自动化配置管理
对于需要频繁部署的环境,建议使用自动化工具:
dnf install -y ansible创建基础playbook保存配置:
--- - hosts: localhost tasks: - name: Ensure SSH is configured lineinfile: path: /etc/ssh/sshd_config line: "{{ item }}" with_items: - "Port 2222" - "PermitRootLogin no" - "PasswordAuthentication no")
