Redhat8.4系统安装与生产环境初始化实战指南

1. Redhat8.4系统安装全流程详解第一次接触Redhat8.4安装的朋友可能会觉得有点复杂但其实跟着步骤走一点都不难。我去年给公司部署了二十多台Redhat8.4服务器这套流程已经验证过无数次了。安装过程主要分为准备阶段、安装阶段和初始化配置三个阶段。先说准备工作你需要准备一个至少8GB的U盘下载好Redhat8.4的ISO镜像文件。推荐使用Rufus或者Ventoy这类工具制作启动盘实测下来Ventoy特别方便一个U盘可以放多个系统镜像。制作好启动盘后插入服务器USB接口开机时按F12不同品牌服务器可能不同进入启动菜单选择U盘启动。安装界面第一个要注意的是语言选择。虽然选英文看起来更专业但我建议新手还是选简体中文毕竟后续的报错信息中文更容易理解。键盘布局直接选汉语就行这个不用纠结。2. 磁盘分区方案设计与实战分区规划是安装过程中最关键的一步分不好后面会很麻烦。根据我的经验生产环境最少要分三个区/boot、/ 和 swap。boot分区建议给1GB就够了这个分区存放的是系统启动所需的文件不需要太大。根分区/的大小要根据实际需求来定。如果是应用服务器建议至少50GB如果是数据库服务器最好100GB起步。我遇到过因为根分区太小导致系统无法正常更新的情况所以宁可给大一点。swap分区的大小一直有争议传统建议是物理内存的1.5-2倍。但现在服务器内存都很大这个规则就不适用了。我的经验是内存小于8GB时swap设为内存的2倍8-64GB内存时swap等于内存大小超过64GB内存swap给32GB就够了。3. 系统基础配置要点安装过程中有几个配置项需要特别注意。KDUMP建议保持启用状态虽然会占用一些内存但在系统崩溃时能保存关键信息对排查问题很有帮助。时区选择要根据实际地理位置来中国用户直接选亚洲/上海就行。软件选择界面有多个选项生产环境我推荐选最小安装需要什么软件后面再装。这样系统最干净安全性也更高。如果确实需要图形界面可以选带GUI的服务器但要注意这会占用更多系统资源。网络配置可以先保持默认等系统安装完成后再详细设置。主机名建议在这里就设置好遵循公司的命名规范比如按地域-用途-序号这样的规则来命名。4. 生产环境初始化必备操作系统安装完成后还有几个必须做的初始化操作。首先是更新系统执行yum update -y把所有软件包更新到最新版本。这个步骤不能省新安装的系统往往有很多安全补丁需要更新。安全加固是另一个重点。建议立即修改SSH默认端口禁用root远程登录配置防火墙规则。我常用的做法是# 修改SSH配置 sed -i s/#Port 22/Port 2222/ /etc/ssh/sshd_config sed -i s/PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config systemctl restart sshd # 防火墙配置 firewall-cmd --permanent --add-port2222/tcp firewall-cmd --reload5. 网络与软件源配置技巧生产环境强烈建议使用静态IP避免DHCP分配的IP变化导致服务不可用。Redhat8.4的网络配置有两种方式传统ifcfg文件和新的nmcli命令。我更喜欢用nmcli因为它更灵活nmcli connection modify ens192 ipv4.addresses 192.168.1.100/24 nmcli connection modify ens192 ipv4.gateway 192.168.1.1 nmcli connection modify ens192 ipv4.dns 8.8.8.8 nmcli connection modify ens192 ipv4.method manual nmcli connection up ens192软件源配置是个大问题因为Redhat官方源需要订阅。我的解决方案是使用阿里云的CentOS镜像源速度又快又稳定。配置方法如下curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-8.repo sed -i s/\$releasever/8.5.2111/g /etc/yum.repos.d/CentOS-Base.repo yum makecache6. 常见问题排查与解决安装过程中最常遇到的问题是磁盘识别不到。这种情况多半是驱动问题可以尝试在安装界面按e键修改启动参数加上nodmraid或者nomodeset等参数。系统安装完成后如果遇到网络不通首先检查网卡是否启用nmcli device status nmcli connection show如果网卡没激活用nmcli connection up 连接名来启用。另一个常见问题是yum安装软件报错这通常是因为软件源没配置好。可以先用yum clean all清除缓存再yum makecache重建缓存试试。如果还是不行检查/etc/yum.repos.d/目录下的repo文件格式是否正确。7. 生产环境优化建议根据实际使用经验我有几个优化建议值得分享。首先是调整swappiness值默认的60对服务器来说太高了建议设为10echo vm.swappiness10 /etc/sysctl.conf sysctl -p其次是修改文件描述符限制特别是高并发服务器echo * soft nofile 65535 /etc/security/limits.conf echo * hard nofile 65535 /etc/security/limits.conf最后建议安装一些常用的运维工具yum install -y htop iotop iftop net-tools lsof telnet8. 系统监控与维护生产环境一定要配置系统监控。最简单的方法是安装和配置sysstatyum install -y sysstat systemctl enable --now sysstat这样就能用sar命令查看历史性能数据了。我习惯每天检查一次系统日志journalctl --since 1 day ago -p err定期清理旧内核和缓存也很重要yum autoremove yum clean all9. 备份与恢复策略系统配置好后建议立即做个全盘备份。可以用dd命令制作系统镜像dd if/dev/sda of/backup/sda.img bs4M statusprogress更专业的做法是使用Redhat自带的LVM快照功能。先创建一个快照卷lvcreate -L 10G -s -n lv_root_snap /dev/vg00/lv_root然后挂载快照进行备份mount /dev/vg00/lv_root_snap /mnt tar czf /backup/system_backup.tar.gz /mnt umount /mnt lvremove /dev/vg00/lv_root_snap10. 安全加固进阶操作除了基本的SSH加固生产环境还需要做更多安全配置。比如配置fail2ban防止暴力破解yum install -y epel-release yum install -y fail2ban systemctl enable --now fail2ban然后编辑/etc/fail2ban/jail.local添加SSH防护规则[sshd] enabled true port 2222 filter sshd logpath /var/log/secure maxretry 3 bantime 86400另外建议定期检查系统漏洞yum install -y openscap-scanner oscap xccdf eval --profile stig --results /tmp/scan.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml