CentOS Stream服务配置完全指南从入门到精通详解系统服务网络服务安全服务的安装设置与管理技巧

威震华夏关云长

引言

CentOS Stream作为RHEL（Red Hat Enterprise Linux）的上游开发平台，为企业和个人用户提供了一个稳定、可靠且功能丰富的操作系统环境。在现代化的IT基础设施中，正确配置和管理系统服务、网络服务和安全服务是确保服务器高效、安全运行的关键。本文将全面介绍CentOS Stream中各类服务的配置方法，从基础入门到高级技巧，帮助读者掌握服务管理的精髓。

CentOS Stream基础

CentOS Stream是CentOS项目的一个新方向，它位于Fedora Linux和RHEL之间，作为RHEL的上游开发分支。与传统的CentOS不同，CentOS Stream提供了一个滚动更新的平台，让用户能够提前体验到即将在RHEL中发布的功能。

安装CentOS Stream

在开始服务配置之前，首先需要安装CentOS Stream系统。以下是安装过程的简要概述：

1. 从官方网站下载CentOS Stream ISO镜像文件
2. 创建启动媒体（USB或DVD）
3. 启动安装程序并按照向导进行安装
4. 完成基本系统配置（网络、主机名、用户账户等）

安装完成后，建议立即更新系统到最新版本：

2. sudo dnf update -y

复制代码

系统初始化设置

安装完成后，需要进行一些基本的系统初始化设置：

2. # 设置主机名
3. sudo hostnamectl set-hostname your-hostname
5. # 配置网络（以静态IP为例）
6. sudo nmcli connection modify eth0 ipv4.addresses 192.168.1.100/24
7. sudo nmcli connection modify eth0 ipv4.gateway 192.168.1.1
8. sudo nmcli connection modify eth0 ipv4.dns 8.8.8.8
9. sudo nmcli connection modify eth0 ipv4.method manual
10. sudo nmcli connection up eth0
12. # 检查网络状态
13. ip addr show
14. ping -c 4 google.com

复制代码

系统服务配置

CentOS Stream使用systemd作为初始化系统和服务管理器。systemd提供了强大的服务管理功能，包括并行启动、依赖关系管理和按需启动等。

systemd基础

systemd使用单元（unit）文件来定义和控制服务。这些单元文件通常位于以下目录：

• /usr/lib/systemd/system/: 系统安装的单元文件
• /etc/systemd/system/: 系统管理员创建或修改的单元文件

单元文件分为多种类型，包括：

• .service: 系统服务
• .socket: 套接字
• .target: 一组服务
• .mount: 文件系统挂载点
• .timer: 定时器

服务管理命令

以下是一些常用的systemd服务管理命令：

2. # 启动服务
3. sudo systemctl start service_name
5. # 停止服务
6. sudo systemctl stop service_name
8. # 重启服务
9. sudo systemctl restart service_name
11. # 重新加载服务配置
12. sudo systemctl reload service_name
14. # 启用服务（开机自启）
15. sudo systemctl enable service_name
17. # 禁用服务
18. sudo systemctl disable service_name
20. # 查看服务状态
21. sudo systemctl status service_name
23. # 查看所有已启用的服务
24. systemctl list-unit-files --state=enabled
26. # 查看所有活动的服务
27. systemctl list-units --type=service --state=active
29. # 查看服务日志
30. journalctl -u service_name
32. # 实时查看服务日志
33. journalctl -fu service_name

复制代码

创建自定义服务

创建自定义服务是系统管理中的常见任务。以下是一个创建自定义服务的示例：

假设我们要创建一个简单的Web服务，该服务使用Python的内置HTTP服务器：

1. 首先，创建一个简单的Python脚本：

2. sudo mkdir /opt/simple_web
3. sudo nano /opt/simple_web/server.py

复制代码

在server.py中添加以下内容：

2. #!/usr/bin/env python3
3. import http.server
4. import socketserver
6. PORT = 8000
8. Handler = http.server.SimpleHTTPRequestHandler
10. with socketserver.TCPServer(("", PORT), Handler) as httpd:
11.     print("Serving at port", PORT)
12.     httpd.serve_forever()

复制代码

1. 使脚本可执行：

2. sudo chmod +x /opt/simple_web/server.py

复制代码

1. 创建systemd服务单元文件：

2. sudo nano /etc/systemd/system/simple-web.service

复制代码

在simple-web.service中添加以下内容：

2. [Unit]
3. Description=Simple Python Web Server
4. After=network.target
6. [Service]
7. Type=simple
8. User=root
9. ExecStart=/opt/simple_web/server.py
10. Restart=on-failure
11. RestartSec=5s
13. [Install]
14. WantedBy=multi-user.target

复制代码

1. 重新加载systemd配置并启动服务：

2. sudo systemctl daemon-reload
3. sudo systemctl start simple-web
4. sudo systemctl enable simple-web

复制代码

1. 验证服务状态：

2. sudo systemctl status simple-web

复制代码

服务优化技巧

优化系统服务可以提高服务器的性能和稳定性。以下是一些服务优化的技巧：

可以为服务设置资源限制，防止单个服务占用过多系统资源：

2. [Service]
3. ...
4. # 限制CPU使用率
5. CPUQuota=50%
7. # 限制内存使用
8. MemoryLimit=512M
10. # 限制进程数
11. TasksMax=100

复制代码

通过设置服务运行的用户和权限，可以提高安全性：

2. [Service]
3. ...
4. # 以非特权用户运行
5. User=myuser
6. Group=mygroup
8. # 限制文件系统访问
9. ReadWritePaths=/var/log/myapp
10. ReadOnlyPaths=/usr/share/myapp
12. # 禁止特权操作
13. NoNewPrivileges=true
14. PrivateTmp=true
15. ProtectSystem=strict

复制代码

可以通过环境变量配置服务的行为：

2. [Service]
3. ...
4. Environment="DEBUG=false"
5. Environment="DB_HOST=localhost"
6. Environment="DB_PORT=5432"
7. EnvironmentFile=/etc/myapp/environment

复制代码

正确设置服务之间的依赖关系可以确保系统启动的顺序正确：

2. [Unit]
3. Description=My Application
4. After=network.target postgresql.service
5. Requires=postgresql.service

复制代码

网络服务配置

网络服务是CentOS Stream服务器的重要组成部分，包括网络接口配置、防火墙设置和各种网络服务（如SSH、NTP、DHCP、DNS等）的配置。

网络基础设置

CentOS Stream使用NetworkManager进行网络管理。以下是一些基本的网络配置命令：

2. # 查看网络连接
3. nmcli connection show
5. # 查看网络设备状态
6. nmcli device status
8. # 创建新的网络连接
9. nmcli connection add type ethernet ifname eth0 con-name eth0
11. # 配置静态IP
12. nmcli connection modify eth0 ipv4.addresses 192.168.1.100/24
13. nmcli connection modify eth0 ipv4.gateway 192.168.1.1
14. nmcli connection modify eth0 ipv4.dns 8.8.8.8
15. nmcli connection modify eth0 ipv4.method manual
17. # 配置DHCP
18. nmcli connection modify eth0 ipv4.method auto
20. # 激活连接
21. nmcli connection up eth0
23. # 禁用连接
24. nmcli connection down eth0
26. # 删除连接
27. nmcli connection delete eth0

复制代码

防火墙配置

CentOS Stream使用firewalld作为默认的防火墙管理工具。以下是一些基本的防火墙配置命令：

2. # 检查firewalld状态
3. sudo systemctl status firewalld
5. # 启动firewalld并设置开机自启
6. sudo systemctl start firewalld
7. sudo systemctl enable firewalld
9. # 查看当前防火墙规则
10. sudo firewall-cmd --list-all
12. # 开放端口
13. sudo firewall-cmd --permanent --add-port=80/tcp
14. sudo firewall-cmd --permanent --add-port=443/tcp
16. # 开放服务
17. sudo firewall-cmd --permanent --add-service=http
18. sudo firewall-cmd --permanent --add-service=https
20. # 创建自定义服务
21. sudo nano /etc/firewalld/services/myapp.xml

复制代码

在myapp.xml中添加以下内容：

2. <?xml version="1.0" encoding="utf-8"?>
3. <service>
4.   <short>My App</short>
5.   <description>My Application Service</description>
6.   <port protocol="tcp" port="8080"/>
7.   <port protocol="tcp" port="8443"/>
8. </service>

复制代码

然后加载并应用自定义服务：

2. sudo firewall-cmd --permanent --add-service=myapp
3. sudo firewall-cmd --reload

复制代码

常用网络服务配置

SSH（Secure Shell）是远程管理Linux服务器的标准工具。以下是SSH服务的配置和优化方法：

2. # 安装SSH服务
3. sudo dnf install openssh-server -y
5. # 启动SSH服务并设置开机自启
6. sudo systemctl start sshd
7. sudo systemctl enable sshd
9. # 查看SSH服务状态
10. sudo systemctl status sshd
12. # 配置SSH
13. sudo nano /etc/ssh/sshd_config

复制代码

在sshd_config中可以进行以下安全配置：

2. # 更改默认端口
3. Port 2222
5. # 禁用root登录
6. PermitRootLogin no
8. # 仅允许特定用户登录
9. AllowUsers user1 user2
11. # 禁用密码认证，仅允许密钥认证
12. PasswordAuthentication no
13. PubkeyAuthentication yes
15. # 设置登录超时
16. LoginGraceTime 60
18. # 最大尝试次数
19. MaxAuthTries 3

复制代码

配置完成后，重启SSH服务：

2. sudo systemctl restart sshd

复制代码

NTP（Network Time Protocol）用于同步系统时间，确保服务器时间的准确性：

2. # 安装NTP服务
3. sudo dnf install chrony -y
5. # 启动NTP服务并设置开机自启
6. sudo systemctl start chronyd
7. sudo systemctl enable chronyd
9. # 查看NTP服务状态
10. sudo systemctl status chronyd
12. # 查看时间同步状态
13. chronyc tracking
15. # 查看时间源
16. chronyc sources -v
18. # 配置NTP服务器
19. sudo nano /etc/chrony.conf

复制代码

在chrony.conf中可以添加或修改NTP服务器：

2. # 使用默认的NTP服务器池
3. pool 2.centos.pool.ntp.org iburst
5. # 添加特定的NTP服务器
6. server ntp1.example.com iburst
7. server ntp2.example.com iburst
9. # 允许特定网络同步时间
10. allow 192.168.1.0/24

复制代码

配置完成后，重启NTP服务：

2. sudo systemctl restart chronyd

复制代码

DHCP（Dynamic Host Configuration Protocol）用于自动分配IP地址和其他网络配置：

2. # 安装DHCP服务
3. sudo dnf install dhcp-server -y
5. # 配置DHCP服务
6. sudo nano /etc/dhcp/dhcpd.conf

复制代码

在dhcpd.conf中添加以下内容：

2. # 设置DNS域名
3. option domain-name "example.com";
5. # 设置DNS服务器
6. option domain-name-servers 8.8.8.8, 8.8.4.4;
8. # 设置默认租约时间
9. default-lease-time 600;
11. # 设置最大租约时间
12. max-lease-time 7200;
14. # 设置DHCP服务器为权威服务器
15. authoritative;
17. # 定义子网
18. subnet 192.168.1.0 netmask 255.255.255.0 {
19.   range 192.168.1.100 192.168.1.200;
20.   option routers 192.168.1.1;
21.   option broadcast-address 192.168.1.255;
22.   
23.   # 固定IP地址分配
24.   host server1 {
25.     hardware ethernet 00:0c:29:aa:bb:cc;
26.     fixed-address 192.168.1.10;
27.   }
28. }

复制代码

配置完成后，启动DHCP服务并设置开机自启：

2. sudo systemctl start dhcpd
3. sudo systemctl enable dhcpd

复制代码

DNS（Domain Name System）用于将域名解析为IP地址。以下是使用BIND配置DNS服务器的步骤：

2. # 安装BIND
3. sudo dnf install bind bind-utils -y
5. # 配置BIND
6. sudo nano /etc/named.conf

复制代码

在named.conf中进行基本配置：

2. options {
3.     listen-on port 53 { 127.0.0.1; 192.168.1.100; };
4.     listen-on-v6 port 53 { ::1; };
5.     directory       "/var/named";
6.     dump-file       "/var/named/data/cache_dump.db";
7.     statistics-file "/var/named/data/named_stats.txt";
8.     memstatistics-file "/var/named/data/named_mem_stats.txt";
9.     secroots-file   "/var/named/data/named.secroots";
10.     recursing-file  "/var/named/data/named.recursing";
11.     allow-query     { localhost; 192.168.1.0/24; };
12.    
13.     /*
14.      - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
15.      - If you are building a RECURSIVE (caching) DNS server, you need to enable
16.        recursion.
17.      - If your recursive DNS server has a public IP address, you MUST enable access
18.        control to limit queries to your legitimate users. Failing to do so will
19.        cause your server to become part of large scale DNS amplification
20.        attacks. Implementing BCP38 within your network would greatly
21.        reduce such attack surface
22.     */
23.     recursion yes;
24.    
25.     dnssec-enable yes;
26.     dnssec-validation yes;
27.    
28.     managed-keys-directory "/var/named/dynamic";
29.    
30.     pid-file "/run/named/named.pid";
31.     session-keyfile "/run/named/session.key";
32.    
33.     /* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
34.     include "/etc/crypto-policies/back-ends/bind.config";
35. };
37. logging {
38.     channel default_debug {
39.         file "data/named.run";
40.         severity dynamic;
41.     };
42. };
44. zone "." IN {
45.     type hint;
46.     file "named.ca";
47. };
49. include "/etc/named.rfc1912.zones";
50. include "/etc/named.root.key";

复制代码

创建正向解析区域文件：

2. sudo nano /var/named/example.com.zone

复制代码

在example.com.zone中添加以下内容：

2. $TTL 86400
3. @   IN  SOA ns1.example.com. admin.example.com. (
4.         2023040101  ; Serial
5.         3600        ; Refresh
6.         1800        ; Retry
7.         604800      ; Expire
8.         86400       ; Minimum TTL
9. )
10. @   IN  NS  ns1.example.com.
11. @   IN  A   192.168.1.100
12. ns1 IN  A   192.168.1.100
13. www IN  A   192.168.1.101
14. mail IN  A   192.168.1.102

复制代码

创建反向解析区域文件：

2. sudo nano /var/named/1.168.192.in-addr.arpa.zone

复制代码

在1.168.192.in-addr.arpa.zone中添加以下内容：

2. $TTL 86400
3. @   IN  SOA ns1.example.com. admin.example.com. (
4.         2023040101  ; Serial
5.         3600        ; Refresh
6.         1800        ; Retry
7.         604800      ; Expire
8.         86400       ; Minimum TTL
9. )
10. @   IN  NS  ns1.example.com.
11. 100 IN  PTR ns1.example.com.
12. 101 IN  PTR www.example.com.
13. 102 IN  PTR mail.example.com.

复制代码

设置文件权限并启动DNS服务：

2. sudo chown -R named:named /var/named/
3. sudo chmod 640 /var/named/example.com.zone /var/named/1.168.192.in-addr.arpa.zone
4. sudo systemctl start named
5. sudo systemctl enable named

复制代码

网络服务优化

通过调整内核参数，可以优化网络性能：

2. # 创建自定义sysctl配置文件
3. sudo nano /etc/sysctl.d/99-network.conf

复制代码

在99-network.conf中添加以下内容：

2. # 增加TCP最大缓冲区大小
3. net.core.rmem_max = 16777216
4. net.core.wmem_max = 16777216
6. # 增加TCP默认缓冲区大小
7. net.ipv4.tcp_rmem = 4096 87380 16777216
8. net.ipv4.tcp_wmem = 4096 65536 16777216
10. # 启用TCP窗口缩放
11. net.ipv4.tcp_window_scaling = 1
13. # 启用TCP快速打开
14. net.ipv4.tcp_fastopen = 3
16. # 启用BBR拥塞控制算法
17. net.core.default_qdisc = fq
18. net.ipv4.tcp_congestion_control = bbr
20. # 增加最大连接数
21. net.core.somaxconn = 65535
23. # 减少TIME_WAIT连接数
24. net.ipv4.tcp_max_tw_buckets = 1440000
25. net.ipv4.tcp_tw_reuse = 1

复制代码

应用配置：

2. sudo sysctl -p /etc/sysctl.d/99-network.conf

复制代码

优化网络接口设置可以提高网络性能：

2. # 查看当前网络接口设置
3. ethtool eth0
5. # 启用GRO（Generic Receive Offload）
6. sudo ethtool -K eth0 gro on
8. # 启用TSO（TCP Segmentation Offload）
9. sudo ethtool -K eth0 tso on
11. # 启用LRO（Large Receive Offload）
12. sudo ethtool -K eth0 lro on
14. # 启用SG（Scatter-Gather）
15. sudo ethtool -K eth0 sg on
17. # 设置网络接口队列数
18. sudo ethtool -L eth0 combined 4

复制代码

要使这些设置永久生效，可以创建NetworkManager配置文件：

2. sudo nano /etc/NetworkManager/conf.d/99-ethtool.conf

复制代码

在99-ethtool.conf中添加以下内容：

2. [connection]
3. ethernet.ethtool-features-gro=true
4. ethernet.ethtool-features-tso=true
5. ethernet.ethtool-features-lro=true
6. ethernet.ethtool-features-sg=true

复制代码

重启NetworkManager：

2. sudo systemctl restart NetworkManager

复制代码

安全服务配置

安全是服务器管理的重要方面。CentOS Stream提供了多种安全工具和服务，包括SELinux、安全审计和访问控制等。

SELinux配置

SELinux（Security-Enhanced Linux）是Linux内核的一个安全模块，提供了强制访问控制（MAC）功能。

2. # 检查SELinux状态
3. sestatus
5. # 临时禁用SELinux
6. sudo setenforce 0
8. # 临时启用SELinux
9. sudo setenforce 1
11. # 永久禁用SELinux（不推荐）
12. sudo nano /etc/selinux/config

复制代码

在config文件中修改：

2. SELINUX=disabled

复制代码

2. # 查看当前SELinux策略
3. sestatus -b
5. # 查看文件的安全上下文
6. ls -Z /path/to/file
8. # 修改文件的安全上下文
9. sudo chcon -t httpd_sys_content_t /var/www/html/index.html
11. # 恢复文件的默认安全上下文
12. sudo restorecon -v /var/www/html/index.html
14. # 查看端口的安全上下文
15. semanage port -l
17. # 添加新的端口安全上下文
18. sudo semanage port -a -t http_port_t -p tcp 8080
20. # 查看布尔值
21. getsebool -a
23. # 设置布尔值
24. sudo setsebool -P httpd_can_network_connect on

复制代码

当SELinux阻止服务正常运行时，可以按照以下步骤进行故障排除：

2. # 查看SELinux拒绝日志
3. sudo grep AVC /var/log/audit/audit.log
5. # 或者使用ausearch工具
6. sudo ausearch -m AVC -ts recent
8. # 安装SELinux故障排除工具
9. sudo dnf install setroubleshoot -y
11. # 使用sealert分析日志
12. sudo sealert -a /var/log/audit/audit.log
14. # 生成SELinux策略模块
15. sudo grep httpd /var/log/audit/audit.log | audit2allow -m myhttpd
16. sudo grep httpd /var/log/audit/audit.log | audit2allow -M myhttpd
17. sudo semodule -i myhttpd.pp

复制代码

安全审计

Linux审计系统（auditd）提供了强大的安全审计功能，可以记录系统上的安全相关事件。

2. # 安装审计系统
3. sudo dnf install audit -y
5. # 启动审计服务并设置开机自启
6. sudo systemctl start auditd
7. sudo systemctl enable auditd
9. # 查看审计服务状态
10. sudo systemctl status auditd
12. # 配置审计规则
13. sudo nano /etc/audit/rules.d/audit.rules

复制代码

在audit.rules中添加以下内容：

2. # 删除所有规则
3. -D
5. # 设置缓冲区大小
6. -b 8192
8. # 设置失败模式
9. -f 1
11. # 记录文件删除
12. -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F exit=-EACCES -F key=access
13. -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F exit=-EPERM -F key=access
15. # 记录文件权限修改
16. -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=-1 -F key=perm_mod
17. -a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 -F auid!=-1 -F key=perm_mod
19. # 记录用户登录
20. -w /var/log/lastlog -p wa -k logins
21. -w /var/run/faillock -p wa -k logins
23. # 记录sudo使用
24. -w /var/log/sudo.log -p wa -k sudo_actions
26. # 记录系统时间修改
27. -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time_change
29. # 记录网络配置修改
30. -w /etc/hosts -p wa -k network_modifications
31. -w /etc/sysconfig/network -p wa -k network_modifications
33. # 确保规则被加载
34. -e 1

复制代码

加载审计规则：

2. sudo augenrules --load

复制代码

2. # 查看审计日志
3. sudo ausearch -i -m USER_LOGIN
5. # 查看特定时间的审计日志
6. sudo ausearch -i -ts yesterday
8. # 查看特定用户的审计日志
9. sudo ausearch -i -ua username
11. # 生成审计报告
12. sudo aureport -x -i
14. # 查看文件访问日志
15. sudo ausearch -i -f /etc/passwd

复制代码

访问控制

除了SELinux外，还可以使用其他访问控制机制来增强系统安全性。

PAM提供了灵活的身份验证机制，可以配置各种认证策略。

2. # 查看PAM配置
3. ls /etc/pam.d/
5. # 配置密码策略
6. sudo nano /etc/security/pwquality.conf

复制代码

在pwquality.conf中添加以下内容：

2. minlen = 12
3. minclass = 3
4. dcredit = -1
5. ucredit = -1
6. lcredit = -1
7. ocredit = -1
8. maxrepeat = 3
9. gecoscheck = 1
10. dictcheck = 1
11. enforce_for_root

复制代码

配置登录尝试限制：

2. sudo nano /etc/pam.d/system-auth

复制代码

在system-auth中添加以下内容：

2. auth        required      pam_tally2.so deny=5 unlock_time=900 onerr=fail
3. account     required      pam_tally2.so

复制代码

查看登录失败次数：

2. sudo pam_tally2 -u username

复制代码

解锁用户账户：

2. sudo pam_tally2 -u username -r

复制代码

TCP Wrappers提供了一种基于主机的访问控制机制。

2. # 配置允许访问的主机
3. sudo nano /etc/hosts.allow

复制代码

在hosts.allow中添加以下内容：

2. sshd: 192.168.1.0/24, 10.0.0.1
3. vsftpd: 192.168.1.100

复制代码

2. # 配置拒绝访问的主机
3. sudo nano /etc/hosts.deny

复制代码

在hosts.deny中添加以下内容：

2. ALL: ALL

复制代码

安全加固

保持系统更新是安全的基本要求：

2. # 检查可用更新
3. sudo dnf check-update
5. # 安装所有更新
6. sudo dnf update -y
8. # 安装安全更新
9. sudo dnf update --security
11. # 自动安装安全更新
12. sudo dnf install dnf-automatic -y
13. sudo systemctl enable --now dnf-automatic.timer

复制代码

2. # 禁用不必要的服务账户
3. sudo usermod -L username
4. sudo usermod -s /sbin/nologin username
6. # 设置密码过期策略
7. sudo chage -M 90 username
9. # 查看密码过期信息
10. sudo chage -l username
12. # 禁用空密码账户
13. sudo sed -i 's/^nullok//' /etc/pam.d/system-auth
15. # 限制root用户SSH登录
16. sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config
17. sudo systemctl restart sshd

复制代码

2. # 查找SUID/SGID文件
3. sudo find / -type f \( -perm -4000 -o -perm -2000 \) -ls
5. # 查找全局可写文件
6. sudo find / -type f -perm -o+w -ls
8. # 查找无主文件
9. sudo find / -nouser -o -nogroup -ls
11. # 设置umask
12. echo "umask 027" >> /etc/profile
13. echo "umask 027" >> /etc/bashrc

复制代码

2. # 禁用不必要的服务
3. sudo systemctl stop telnet.socket
4. sudo systemctl disable telnet.socket
5. sudo systemctl stop rsh.socket
6. sudo systemctl disable rsh.socket
8. # 查看开放端口
9. sudo ss -tulpn
11. # 使用lynis进行安全扫描
12. sudo dnf install lynis -y
13. sudo lynis audit system

复制代码

服务监控与故障排除

监控服务状态并及时排除故障是系统管理的重要任务。

服务监控

2. # 查看服务状态
3. sudo systemctl status service_name
5. # 查看服务资源使用情况
6. systemd-cgtop
8. # 查看服务日志
9. journalctl -u service_name
11. # 实时查看服务日志
12. journalctl -fu service_name
14. # 查看服务启动时间
15. systemd-analyze blame

复制代码

2. # 安装htop
3. sudo dnf install htop -y
5. # 使用htop监控系统资源
6. htop
8. # 安装nmon
9. sudo dnf install nmon -y
11. # 使用nmon监控系统资源
12. nmon
14. # 安装glances
15. sudo dnf install glances -y
17. # 使用glances监控系统资源
18. glances

复制代码

2. # 安装goaccess
3. sudo dnf install goaccess -y
5. # 分析Apache/Nginx访问日志
6. goaccess /var/log/httpd/access_log -c
8. # 实时分析Apache/Nginx访问日志
9. goaccess /var/log/httpd/access_log -c --real-time-html

复制代码

故障排除

2. # 查看服务状态
3. sudo systemctl status service_name
5. # 查看服务日志
6. journalctl -u service_name -n 100
8. # 查看系统日志
9. sudo tail -n 100 /var/log/messages
11. # 检查配置文件语法
12. sudo httpd -t
13. sudo nginx -t
14. sudo named-checkconf

复制代码

2. # 检查网络连接
3. ping -c 4 google.com
5. # 检查路由
6. traceroute google.com
8. # 检查DNS解析
9. nslookup google.com
10. dig google.com
12. # 检查端口监听
13. sudo ss -tulpn | grep :80
15. # 检查防火墙规则
16. sudo firewall-cmd --list-all
18. # 检查SELinux状态
19. sestatus
21. # 检查SELinux拒绝日志
22. sudo grep AVC /var/log/audit/audit.log | tail -n 10

复制代码

2. # 查看CPU使用率
3. top -c
5. # 查看内存使用情况
6. free -h
8. # 查看磁盘使用情况
9. df -h
11. # 查看磁盘I/O
12. iostat -xz 1
14. # 查看网络I/O
15. sar -n DEV 1
17. # 查看系统负载
18. uptime
20. # 查看进程资源使用情况
21. ps aux --sort=-%cpu | head -n 10
22. ps aux --sort=-%mem | head -n 10

复制代码

最佳实践与高级技巧

1. 自动化服务管理

使用Ansible等自动化工具可以简化服务管理：

2. # 安装Ansible
3. sudo dnf install ansible -y
5. # 创建Ansible playbook
6. mkdir ~/ansible
7. nano ~/ansible/service_management.yml

复制代码

在service_management.yml中添加以下内容：

2. ---
3. - hosts: all
4.   become: yes
5.   tasks:
6.     - name: Install and start Apache
7.       dnf:
8.         name: httpd
9.         state: present
10.       notify:
11.         - Start Apache
12.         
13.     - name: Configure firewall for Apache
14.       firewalld:
15.         service: http
16.         permanent: yes
17.         state: enabled
18.         immediate: yes
19.         
20.     - name: Create website directory
21.       file:
22.         path: /var/www/html/mywebsite
23.         state: directory
24.         mode: '0755'
25.         
26.     - name: Deploy website files
27.       copy:
28.         src: files/index.html
29.         dest: /var/www/html/mywebsite/index.html
30.         
31.   handlers:
32.     - name: Start Apache
33.       systemd:
34.         name: httpd
35.         state: started
36.         enabled: yes

复制代码

运行Ansible playbook：

2. ansible-playbook -i inventory service_management.yml

复制代码

2. 容器化服务

使用Podman可以轻松容器化服务：

2. # 安装Podman
3. sudo dnf install podman -y
5. # 创建一个简单的Web服务容器
6. podman run -d --name myweb -p 8080:80 nginx:latest
8. # 查看容器状态
9. podman ps
11. # 查看容器日志
12. podman logs myweb
14. # 停止容器
15. podman stop myweb
17. # 启动容器
18. podman start myweb
20. # 创建自定义容器镜像
21. mkdir ~/myweb
22. cd ~/myweb
23. echo '<h1>Hello from my custom web server</h1>' > index.html
25. # 创建Dockerfile
26. nano Dockerfile

复制代码

在Dockerfile中添加以下内容：

2. FROM nginx:latest
3. COPY index.html /usr/share/nginx/html/index.html
4. EXPOSE 80
5. CMD ["nginx", "-g", "daemon off;"]

复制代码

构建并运行自定义容器：

2. podman build -t myweb:latest .
3. podman run -d --name myweb-custom -p 8081:80 myweb:latest

复制代码

3. 高可用性服务

使用Pacemaker和Corosync可以配置高可用性服务：

2. # 安装高可用性软件包
3. sudo dnf install pcs pacemaker corosync fence-agents-all -y
5. # 设置hacluster用户密码
6. sudo passwd hacluster
8. # 启动pcsd服务
9. sudo systemctl start pcsd
10. sudo systemctl enable pcsd
12. # 认证节点（在所有节点上执行）
13. sudo pcs host auth node1 node2 -u hacluster
15. # 创建集群
16. sudo pcs cluster setup mycluster node1 node2
17. sudo pcs cluster start --all
18. sudo pcs cluster enable --all
20. # 查看集群状态
21. sudo pcs status
23. # 配置STONITH
24. sudo pcs property set stonith-enabled=false
26. # 配置资源
27. sudo pcs resource create VirtualIP IPaddr2 ip=192.168.1.200 cidr_netmask=24 op monitor interval=30s
28. sudo pcs resource create WebServer systemd:httpd op monitor interval=30s
30. # 设置资源约束
31. sudo pcs constraint colocation add WebServer with VirtualIP INFINITY
32. sudo pcs constraint order VirtualIP then WebServer
34. # 查看资源状态
35. sudo pcs resource show

复制代码

4. 服务性能优化

使用tuned可以轻松优化系统性能：

2. # 安装tuned
3. sudo dnf install tuned -y
5. # 启动tuned服务
6. sudo systemctl start tuned
7. sudo systemctl enable tuned
9. # 查看可用的配置文件
10. sudo tuned-adm list
12. # 应用性能优化配置文件
13. sudo tuned-adm profile throughput-performance
15. # 查看当前配置文件
16. sudo tuned-adm active

复制代码

以Apache HTTP服务器为例：

2. # 安装Apache
3. sudo dnf install httpd -y
5. # 配置MPM（多处理模块）
6. sudo nano /etc/httpd/conf.modules.d/00-mpm.conf

复制代码

在00-mpm.conf中启用事件MPM：

2. LoadModule mpm_event_module modules/mod_mpm_event.so
3. #LoadModule mpm_prefork_module modules/mod_mpm_prefork.so
4. #LoadModule mpm_worker_module modules/mod_mpm_worker.so

复制代码

配置Apache性能参数：

2. sudo nano /etc/httpd/conf/httpd.conf

复制代码

在httpd.conf中添加或修改以下内容：

2. <IfModule mpm_event_module>
3.     StartServers             4
4.     MinSpareThreads         75
5.     MaxSpareThreads        250
6.     ThreadsPerChild         25
7.     MaxRequestWorkers      400
8.     MaxConnectionsPerChild 10000
9. </IfModule>
11. # 启用KeepAlive
12. KeepAlive On
13. MaxKeepAliveRequests 100
14. KeepAliveTimeout 5
16. # 启用压缩
17. AddOutputFilterByType DEFLATE text/plain
18. AddOutputFilterByType DEFLATE text/html
19. AddOutputFilterByType DEFLATE text/xml
20. AddOutputFilterByType DEFLATE text/css
21. AddOutputFilterByType DEFLATE application/xml
22. AddOutputFilterByType DEFLATE application/xhtml+xml
23. AddOutputFilterByType DEFLATE application/rss+xml
24. AddOutputFilterByType DEFLATE application/javascript
25. AddOutputFilterByType DEFLATE application/x-javascript
27. # 启用缓存
28. LoadModule cache_module modules/mod_cache.so
29. LoadModule cache_disk_module modules/mod_cache_disk.so
30. <IfModule mod_cache_disk.c>
31.     CacheRoot /var/cache/httpd/
32.     CacheEnable disk /
33.     CacheDirLevels 2
34.     CacheDirLength 1
35. </IfModule>

复制代码

重启Apache服务：

2. sudo systemctl restart httpd

复制代码

总结

本文全面介绍了CentOS Stream中系统服务、网络服务和安全服务的配置与管理方法，从基础入门到高级技巧，涵盖了服务管理的各个方面。通过本文的学习，读者应该能够：

1. 理解CentOS Stream的基本特点和优势
2. 掌握systemd服务管理的基本命令和技巧
3. 能够创建和优化自定义系统服务
4. 熟练配置网络基础设置、防火墙和常用网络服务
5. 掌握SELinux、安全审计和访问控制等安全服务的配置方法
6. 能够监控服务状态并进行故障排除
7. 了解服务管理的最佳实践和高级技巧

随着技术的不断发展，服务管理的方法和工具也在不断演进。作为系统管理员，我们需要持续学习和实践，不断优化服务配置，提高系统的稳定性、安全性和性能。希望本文能够成为读者在CentOS Stream服务配置和管理道路上的有力参考。