Red Hat Enterprise Linux高级配置实例企业服务器性能优化安全加固网络配置与故障排除详解系统管理员实战指南

威震华夏关云长

1. Red Hat Enterprise Linux系统基础与高级配置

Red Hat Enterprise Linux (RHEL) 是全球领先的企业级Linux发行版，广泛应用于企业服务器环境。作为系统管理员，掌握RHEL的高级配置对于确保服务器稳定运行至关重要。

1.1 系统安装与初始化配置

RHEL的安装可以通过多种方式进行，包括传统DVD安装、网络安装(PXE)和自动化安装(Kickstart)。

Kickstart是一种自动化安装方法，可以大大简化多台服务器的部署过程。以下是一个基本的Kickstart配置文件示例：

2. #version=RHEL8
3. install
4. cdrom
5. lang en_US.UTF-8
6. keyboard us
7. network --bootproto=dhcp --device=eth0 --onboot=on
8. rootpw --iscrypted $6$longhashedpasswordstring
9. firewall --enabled --ssh
10. authconfig --enableshadow --passalgo=sha512
11. selinux --enforcing
12. timezone --utc America/New_York
13. bootloader --location=mbr --drive-name=sda
14. clearpart --all --initlabel
15. part /boot --fstype=xfs --size=500
16. part pv.01 --size=1 --grow
17. volgroup vg_root pv.01
18. logvol / --fstype=xfs --name=lv_root --vgname=vg_root --size=1 --grow
19. reboot
21. %packages
22. @core
23. @base
24. %end
26. %post
27. #!/bin/bash
28. echo "Custom post-installation script"
29. # Add custom configurations here
30. %end

复制代码

1.2 系统服务管理

RHEL 7及以后版本使用systemd作为系统和服务管理器。以下是一些常用的systemd命令：

2. # 启动服务
3. systemctl start httpd
5. # 停止服务
6. systemctl stop httpd
8. # 重启服务
9. systemctl restart httpd
11. # 重新加载服务配置
12. systemctl reload httpd
14. # 设置服务开机自启
15. systemctl enable httpd
17. # 禁用服务开机自启
18. systemctl disable httpd
20. # 查看服务状态
21. systemctl status httpd
23. # 查看所有服务的状态
24. systemctl list-units --type=service --all
26. # 查看服务日志
27. journalctl -u httpd

复制代码

1.3 内核参数调优

通过修改/etc/sysctl.conf文件或使用sysctl命令可以调整内核参数，优化系统性能。以下是一些常用的内核参数优化：

2. # 增加文件描述符限制
3. echo "fs.file-max = 100000" >> /etc/sysctl.conf
5. # 优化网络参数
6. cat >> /etc/sysctl.conf << EOF
7. # TCP优化
8. net.ipv4.tcp_fin_timeout = 30
9. net.ipv4.tcp_keepalive_time = 1200
10. net.ipv4.tcp_max_syn_backlog = 8192
11. net.ipv4.tcp_max_tw_buckets = 5000
12. net.ipv4.tcp_tw_reuse = 1
13. net.ipv4.tcp_tw_recycle = 1
15. # 网络队列优化
16. net.core.netdev_max_backlog = 65535
17. net.core.somaxconn = 65535
19. # 内存优化
20. vm.swappiness = 10
21. vm.dirty_ratio = 60
22. vm.dirty_background_ratio = 2
23. EOF
25. # 应用配置
26. sysctl -p

复制代码

1.4 文件系统高级配置

RHEL支持多种文件系统，包括XFS、ext4等。以下是XFS文件系统的高级配置示例：

2. # 创建XFS文件系统
3. mkfs.xfs -f /dev/sdb1
5. # 挂载XFS文件系统并指定选项
6. mount -o noatime,nodiratime,largeio,inode64,swalloc /dev/sdb1 /data
8. # 永久挂载配置
9. echo "/dev/sdb1 /data xfs defaults,noatime,nodiratime,largeio,inode64,swalloc 0 0" >> /etc/fstab
11. # 调整XFS文件系统参数
12. xfs_admin -L "DataVolume" /dev/sdb1
14. # 扩展XFS文件系统（如果使用LVM）
15. lvextend -L +10G /dev/vg_root/lv_data
16. xfs_growfs /data

复制代码

2. 企业服务器性能优化

性能优化是系统管理员的核心职责之一。本节将详细介绍如何优化RHEL服务器的性能。

2.1 CPU性能优化

CPU亲和性可以绑定进程到特定的CPU核心，减少缓存失效和上下文切换开销：

2. # 查看CPU核心信息
3. lscpu
5. # 查看当前进程的CPU亲和性
6. taskset -p <PID>
8. # 设置进程的CPU亲和性
9. taskset -cp 0,1,2,3 <PID>
11. # 启动程序时指定CPU亲和性
12. taskset -c 0,1,2,3 <command>
14. # 使用numactl控制NUMA系统上的内存和CPU分配
15. numactl --cpubind=0 --membind=0 <command>

复制代码

通过调整CPU频率可以平衡性能和能耗：

2. # 安装cpufreq工具
3. yum install cpupowerutils
5. # 查看CPU频率驱动信息
6. cpupower frequency-info
8. # 设置CPU频率调节策略
9. cpupower frequency-set -g performance
11. # 查看可用的调节策略
12. ls /sys/devices/system/cpu/cpufreq/policy0/scaling_available_governors
14. # 设置CPU频率上限和下限
15. cpupower frequency-set -u 3.0GHz
16. cpupower frequency-set -d 1.2GHz

复制代码

2.2 内存性能优化

2. # 查看内存使用情况
3. free -h
4. cat /proc/meminfo
6. # 查看进程内存使用情况
7. ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem | head
9. # 使用smem工具查看更详细的内存使用情况
10. yum install smem
11. smem -k -p
13. # 查看内存映射信息
14. pmap <PID>

复制代码

2. # 创建交换文件
3. dd if=/dev/zero of=/swapfile bs=1M count=2048
4. chmod 600 /swapfile
5. mkswap /swapfile
6. swapon /swapfile
8. # 永久启用交换文件
9. echo "/swapfile swap swap defaults 0 0" >> /etc/fstab
11. # 调整swappiness参数（值越小，越倾向于使用物理内存）
12. echo "vm.swappiness = 10" >> /etc/sysctl.conf
13. sysctl -p
15. # 查看交换空间使用情况
16. swapon -s
17. cat /proc/swaps

复制代码

2.3 磁盘I/O性能优化

2. # 查看当前I/O调度器
3. cat /sys/block/sda/queue/scheduler
5. # 临时更改I/O调度器
6. echo deadline > /sys/block/sda/queue/scheduler
8. # 永久更改I/O调度器（通过udev规则）
9. echo "ACTION=="add|change", KERNEL=="sd[a-z]", ATTR{queue/rotational}=="0", ATTR{queue/scheduler}="deadline"" > /etc/udev/rules.d/60-io-scheduler.rules
10. udevadm control --reload-rules
11. udevadm trigger

复制代码

2. # 安装fio工具
3. yum install fio
5. # 随机读测试
6. fio --name=randread --ioengine=libaio --iodepth=16 --rw=randread --bs=4k --direct=1 --size=1G --numjobs=4 --runtime=60 --group_reporting
8. # 随机写测试
9. fio --name=randwrite --ioengine=libaio --iodepth=16 --rw=randwrite --bs=4k --direct=1 --size=1G --numjobs=4 --runtime=60 --group_reporting
11. # 混合随机读写测试
12. fio --name=randrw --ioengine=libaio --iodepth=16 --rw=randrw --rwmixread=70 --bs=4k --direct=1 --size=1G --numjobs=4 --runtime=60 --group_reporting

复制代码

2.4 网络性能优化

2. # 查看网络接口信息
3. ethtool eth0
5. # 启用网络接口的多队列支持
6. ethtool -L eth0 combined 8
8. # 调整网络接口的队列长度
9. ifconfig eth0 txqueuelen 10000
11. # 启用网络接口的卸载功能
12. ethtool -K eth0 gso on
13. ethtool -K eth0 tso on
14. ethtool -K eth0 lro on
15. ethtool -K eth0 gro on

复制代码

2. # 增加本地端口范围
3. echo "net.ipv4.ip_local_port_range = 1024 65535" >> /etc/sysctl.conf
5. # 优化TCP连接参数
6. echo "net.ipv4.tcp_rmem = 4096 87380 16777216" >> /etc/sysctl.conf
7. echo "net.ipv4.tcp_wmem = 4096 65536 16777216" >> /etc/sysctl.conf
8. echo "net.core.rmem_max = 16777216" >> /etc/sysctl.conf
9. echo "net.core.wmem_max = 16777216" >> /etc/sysctl.conf
11. # 应用配置
12. sysctl -p

复制代码

3. 安全加固

安全加固是保护企业服务器免受攻击的关键步骤。本节将介绍如何加强RHEL服务器的安全性。

3.1 系统访问控制

2. # 创建新用户并设置强密码
3. useradd -m -s /bin/bash admin
4. passwd admin
6. # 限制sudo访问
7. visudo
8. # 添加以下行，允许admin用户以root权限执行所有命令
9. admin ALL=(ALL) ALL
11. # 或者更严格的限制，只允许执行特定命令
12. admin ALL=(ALL) /usr/bin/systemctl, /usr/bin/rpm, /usr/bin/yum
14. # 禁用root用户SSH登录
15. echo "PermitRootLogin no" >> /etc/ssh/sshd_config
16. systemctl restart sshd
18. # 设置密码策略
19. yum install libpwquality
20. echo "minlen = 12" >> /etc/security/pwquality.conf
21. echo "minclass = 3" >> /etc/security/pwquality.conf
22. echo "dcredit = -1" >> /etc/security/pwquality.conf
23. echo "ucredit = -1" >> /etc/security/pwquality.conf
24. echo "lcredit = -1" >> /etc/security/pwquality.conf
25. echo "ocredit = -1" >> /etc/security/pwquality.conf

复制代码

2. # 备份SSH配置文件
3. cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
5. # 修改SSH配置
6. cat > /etc/ssh/sshd_config << EOF
7. Port 2222
8. Protocol 2
9. PermitRootLogin no
10. MaxAuthTries 3
11. MaxSessions 3
12. PubkeyAuthentication yes
13. PasswordAuthentication yes
14. PermitEmptyPasswords no
15. ChallengeResponseAuthentication no
16. UsePAM yes
17. X11Forwarding no
18. PrintMotd no
19. AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
20. AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
21. AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
22. AcceptEnv XMODIFIERS
23. Subsystem sftp  /usr/libexec/openssh/sftp-server
24. EOF
26. # 重启SSH服务
27. systemctl restart sshd

复制代码

3.2 防火墙配置

RHEL 7及以后版本使用firewalld作为默认防火墙管理工具：

2. # 启动并启用firewalld
3. systemctl start firewalld
4. systemctl enable firewalld
6. # 查看防火墙状态
7. firewall-cmd --state
9. # 查看默认区域
10. firewall-cmd --get-default-zone
12. # 查看活动区域
13. firewall-cmd --get-active-zones
15. # 查看当前区域的规则
16. firewall-cmd --list-all
18. # 开放端口
19. firewall-cmd --permanent --add-port=80/tcp
20. firewall-cmd --permanent --add-port=443/tcp
22. # 开放服务
23. firewall-cmd --permanent --add-service=http
24. firewall-cmd --permanent --add-service=https
26. # 重新加载防火墙规则
27. firewall-cmd --reload
29. # 端口转发
30. firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
32. # 丰富的规则
33. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
34. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" reject'

复制代码

3.3 SELinux配置

SELinux是RHEL中的强制访问控制(MAC)系统，提供额外的安全层：

2. # 查看SELinux状态
3. sestatus
5. # 临时设置SELinux为 enforcing模式
6. setenforce 1
8. # 永久设置SELinux为 enforcing模式
9. sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config
11. # 查看SELinux布尔值
12. getsebool -a
14. # 设置SELinux布尔值
15. setsebool -P httpd_can_network_connect on
17. # 查看文件和进程的SELinux上下文
18. ls -Z
19. ps -Z
21. # 修改文件和目录的SELinux上下文
22. chcon -t httpd_sys_content_t /var/www/html/*
23. restorecon -Rv /var/www/html
25. # 查看SELinux日志
26. ausearch -m avc -ts recent
27. sealert -a /var/log/audit/audit.log

复制代码

3.4 系统审计

审计系统可以记录系统上的活动，帮助检测和调查安全事件：

2. # 安装审计工具
3. yum install audit
5. # 启动并启用auditd服务
6. systemctl start auditd
7. systemctl enable auditd
9. # 查看审计规则
10. auditctl -l
12. # 添加审计规则
13. auditctl -w /etc/passwd -p wa -k passwd_changes
14. auditctl -w /etc/selinux/ -p wa -k selinux_changes
15. auditctl -w /var/log/audit/ -p wa -k audit_log_changes
17. # 永久保存审计规则
18. echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules
19. echo "-w /etc/selinux/ -p wa -k selinux_changes" >> /etc/audit/rules.d/audit.rules
20. echo "-w /var/log/audit/ -p wa -k audit_log_changes" >> /etc/audit/rules.d/audit.rules
22. # 查看审计日志
23. ausearch -k passwd_changes
24. ausearch -m avc -ts recent
25. aureport -x
27. # 生成审计报告
28. aureport -m
29. aureport -l
30. aureport -au

复制代码

4. 网络配置

网络配置是系统管理员的重要职责之一。本节将详细介绍如何在RHEL中配置和管理网络。

4.1 基本网络配置

2. # 查看网络连接
3. nmcli connection show
5. # 查看活动连接
6. nmcli connection show --active
8. # 查看网络设备状态
9. nmcli device status
11. # 创建新的以太网连接
12. nmcli connection add type ethernet ifname eth0 con-name eth0-static
14. # 配置静态IP地址
15. nmcli connection modify eth0-static ipv4.addresses 192.168.1.100/24
16. nmcli connection modify eth0-static ipv4.gateway 192.168.1.1
17. nmcli connection modify eth0-static ipv4.dns "8.8.8.8 8.8.4.4"
18. nmcli connection modify eth0-static ipv4.method manual
20. # 启用连接
21. nmcli connection up eth0-static
23. # 配置动态IP地址
24. nmcli connection modify eth0-static ipv4.method auto
26. # 禁用IPv6
27. nmcli connection modify eth0-static ipv6.method ignore

复制代码

2. # 配置以太网接口
3. cat > /etc/sysconfig/network-scripts/ifcfg-eth0 << EOF
4. TYPE=Ethernet
5. BOOTPROTO=static
6. DEFROUTE=yes
7. PEERDNS=yes
8. PEERROUTES=yes
9. IPV4_FAILURE_FATAL=no
10. IPV6INIT=no
11. NAME=eth0
12. DEVICE=eth0
13. ONBOOT=yes
14. IPADDR=192.168.1.100
15. PREFIX=24
16. GATEWAY=192.168.1.1
17. DNS1=8.8.8.8
18. DNS2=8.8.4.4
19. EOF
21. # 重启网络服务
22. systemctl restart network
24. # 配置DNS
25. cat > /etc/resolv.conf << EOF
26. nameserver 8.8.8.8
27. nameserver 8.8.4.4
28. search example.com
29. EOF

复制代码

4.2 高级网络配置

2. # 安装绑定工具
3. yum install teamd
5. # 创建绑定接口
6. nmcli connection add type bond ifname bond0 con-name bond0 mode 802.3ad
7. nmcli connection modify bond0 ipv4.addresses 192.168.1.200/24
8. nmcli connection modify bond0 ipv4.gateway 192.168.1.1
9. nmcli connection modify bond0 ipv4.dns "8.8.8.8 8.8.4.4"
10. nmcli connection modify bond0 ipv4.method manual
12. # 添加从接口到绑定
13. nmcli connection add type ethernet ifname eth1 slave-type bond master bond0
14. nmcli connection add type ethernet ifname eth2 slave-type bond master bond0
16. # 启用绑定接口
17. nmcli connection up bond0
19. # 查看绑定状态
20. cat /proc/net/bonding/bond0

复制代码

2. # 创建VLAN接口
3. nmcli connection add type vlan ifname eth0.100 dev eth0 id 100 con-name vlan100
4. nmcli connection modify vlan100 ipv4.addresses 192.168.100.100/24
5. nmcli connection modify vlan100 ipv4.gateway 192.168.100.1
6. nmcli connection modify vlan100 ipv4.method manual
8. # 启用VLAN接口
9. nmcli connection up vlan100

复制代码

2. # 安装网桥工具
3. yum install bridge-utils
5. # 创建网桥
6. nmcli connection add type bridge ifname br0 con-name br0
7. nmcli connection modify br0 ipv4.addresses 192.168.1.150/24
8. nmcli connection modify br0 ipv4.gateway 192.168.1.1
9. nmcli connection modify br0 ipv4.method manual
11. # 添加接口到网桥
12. nmcli connection add type ethernet ifname eth0 master br0
14. # 启用网桥
15. nmcli connection up br0
17. # 查看网桥状态
18. brctl show

复制代码

4.3 网络故障排除

2. # 测试网络连通性
3. ping 8.8.8.8
4. ping -c 4 example.com
6. # 跟踪网络路径
7. traceroute 8.8.8.8
8. tracepath example.com
10. # 查看路由表
11. ip route show
12. netstat -rn
14. # 查看网络连接
15. netstat -tuln
16. ss -tuln
18. # 查看网络接口统计信息
19. ip -s link show eth0
20. cat /proc/net/dev

复制代码

2. # 安装网络诊断工具
3. yum install tcpdump nmap-ncat mtr nmap
5. # 使用tcpdump捕获网络数据包
6. tcpdump -i eth0 -n -c 10
7. tcpdump -i eth0 port 80 -w capture.pcap
9. # 使用ncat进行网络连接测试
10. nc -zv 192.168.1.1 80
11. nc -l -p 8080
12. nc 192.168.1.100 8080
14. # 使用mtr进行网络诊断
15. mtr 8.8.8.8
17. # 使用nmap进行端口扫描
18. nmap -sT -p- 192.168.1.100
19. nmap -sU -p 53,67,68 192.168.1.100

复制代码

2. # 安装网络性能测试工具
3. yum install iperf3 netperf
5. # 使用iperf3测试网络带宽
6. # 服务器端
7. iperf3 -s
9. # 客户端
10. iperf3 -c 192.168.1.100 -t 60
12. # 使用netperf测试网络性能
13. # 服务器端
14. netserver
16. # 客户端
17. netperf -H 192.168.1.100 -t TCP_STREAM -l 60
18. netperf -H 192.168.1.100 -t UDP_STREAM -l 60

复制代码

5. 故障排除

故障排除是系统管理员的核心技能之一。本节将介绍如何诊断和解决RHEL系统中的常见问题。

5.1 系统启动问题

2. # 查看GRUB配置
3. cat /etc/default/grub
4. cat /boot/grub2/grub.cfg
6. # 重新生成GRUB配置
7. grub2-mkconfig -o /boot/grub2/grub.cfg
9. # 安装GRUB到MBR
10. grub2-install /dev/sda
12. # 进入救援模式
13. # 1. 重启系统并在GRUB菜单按'e'编辑启动参数
14. # 2. 在linux行末尾添加 'rd.break'
15. # 3. 按'Ctrl+X'启动
16. # 4. 在救援模式下执行以下命令
18. # 挂载根文件系统
19. mount -o remount,rw /sysroot
20. chroot /sysroot
22. # 修复SELinux上下文
23. touch /.autorelabel
24. exit
25. reboot

复制代码

2. # 查看系统启动日志
3. journalctl -b
4. journalctl -b -p err
5. journalctl -b -1  # 查看上次启动的日志
7. # 查看服务启动失败原因
8. systemctl --failed
9. systemctl status <failed-service>
10. journalctl -u <failed-service>
12. # 重置失败的服务
13. systemctl reset-failed <failed-service>
15. # 分析启动时间
16. systemd-analyze
17. systemd-analyze blame
18. systemd-analyze critical-chain

复制代码

5.2 文件系统问题

2. # 查看磁盘使用情况
3. df -h
4. df -i  # 查看inode使用情况
6. # 查找大文件
7. find / -type f -size +100M -exec ls -lh {} \;
8. find / -type f -size +100M -exec du -h {} \;
10. # 查找大目录
11. du -sh /var/* | sort -rh
12. du -sh /home/* | sort -rh
14. # 清理旧日志
15. journalctl --vacuum-size=100M
16. logrotate -f /etc/logrotate.conf

复制代码

2. # 检查文件系统
3. fsck -n /dev/sda1  # 只检查，不修复
5. # 修复文件系统
6. # 首先卸载文件系统
7. umount /dev/sda1
9. # 修复ext4文件系统
10. fsck -y /dev/sda1
12. # 修复XFS文件系统
13. xfs_repair -n /dev/sda1  # 只检查，不修复
14. xfs_repair /dev/sda1     # 修复文件系统

复制代码

5.3 性能问题

2. # 查看CPU使用情况
3. top
4. htop
5. mpstat 1 5
7. # 查看CPU负载
8. uptime
9. cat /proc/loadavg
11. # 查看CPU使用率高的进程
12. ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%cpu | head
14. # 查看进程的线程
15. ps -eLf
16. ps -T -p <PID>
17. top -H -p <PID>

复制代码

2. # 查看内存使用情况
3. free -h
4. cat /proc/meminfo
6. # 查看内存使用率高的进程
7. ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem | head
9. # 查看进程的内存映射
10. pmap <PID>
12. # 查看系统内存统计信息
13. vmstat 1 5
14. sar -r 1 5

复制代码

2. # 查看磁盘I/O统计
3. iostat -xz 1 5
4. iotop
6. # 查看进程的I/O统计
7. pidstat -d 1 5
9. # 查看块设备统计
10. cat /proc/diskstats
11. lsblk

复制代码

5.4 网络问题

2. # 检查网络接口状态
3. ip addr show
4. ip link show
6. # 检查网络连接
7. ping 8.8.8.8
8. ping -c 4 example.com
10. # 检查DNS解析
11. nslookup example.com
12. dig example.com
13. host example.com
15. # 检查路由
16. ip route show
17. traceroute 8.8.8.8
18. tracepath example.com

复制代码

2. # 检查网络服务状态
3. systemctl status network
4. systemctl status NetworkManager
6. # 检查网络连接
7. netstat -tuln
8. ss -tuln
10. # 检查防火墙状态
11. firewall-cmd --state
12. firewall-cmd --list-all
14. # 检查SELinux状态
15. sestatus
16. getsebool -a | grep http

复制代码

6. 系统管理员实战案例

本节将通过一些实际案例，展示如何应用前面介绍的知识解决实际问题。

6.1 案例一：Web服务器性能优化

一个运行Apache的Web服务器在高峰期响应缓慢，需要优化性能。

2. # 1. 检查系统资源使用情况
3. top
4. free -h
5. iostat -xz 1 5
7. # 2. 检查Apache配置
8. cat /etc/httpd/conf/httpd.conf | grep -E "^KeepAlive|^MaxKeepAliveRequests|^KeepAliveTimeout|^ServerLimit|^MaxClients"
10. # 3. 优化Apache配置
11. cat >> /etc/httpd/conf/httpd.conf << EOF
12. # 性能优化配置
13. KeepAlive On
14. MaxKeepAliveRequests 100
15. KeepAliveTimeout 5
16. <IfModule prefork.c>
17.     ServerLimit 256
18.     MaxClients 256
19.     StartServers 10
20.     MinSpareServers 10
21.     MaxSpareServers 30
22.     MaxRequestsPerChild 4000
23. </IfModule>
24. EOF
26. # 4. 启用Apache缓存模块
27. yum install mod_cache
28. cat >> /etc/httpd/conf.d/cache.conf << EOF
29. LoadModule cache_module modules/mod_cache.so
30. LoadModule cache_disk_module modules/mod_cache_disk.so
31. <IfModule mod_cache_disk.c>
32.     CacheEnable disk /
33.     CacheRoot /var/cache/httpd
34.     CacheDirLevels 2
35.     CacheDirLength 1
36. </IfModule>
37. EOF
39. # 5. 优化系统内核参数
40. cat >> /etc/sysctl.conf << EOF
41. # 网络优化
42. net.ipv4.tcp_fin_timeout = 30
43. net.ipv4.tcp_keepalive_time = 1200
44. net.ipv4.tcp_max_syn_backlog = 8192
45. net.ipv4.tcp_max_tw_buckets = 5000
46. net.ipv4.tcp_tw_reuse = 1
47. net.ipv4.tcp_tw_recycle = 1
48. net.core.netdev_max_backlog = 65535
49. net.core.somaxconn = 65535
51. # 文件系统优化
52. vm.swappiness = 10
53. vm.dirty_ratio = 60
54. vm.dirty_background_ratio = 2
55. EOF
57. # 6. 应用配置并重启服务
58. sysctl -p
59. systemctl restart httpd
61. # 7. 监控性能
62. yum install htop iotop
63. htop
64. iotop

复制代码

6.2 案例二：数据库服务器安全加固

一个运行MySQL的数据库服务器需要加强安全性，防止未授权访问和数据泄露。

2. # 1. 更新系统
3. yum update -y
5. # 2. 安装MySQL
6. yum install mysql-server -y
7. systemctl start mysqld
8. systemctl enable mysqld
10. # 3. 运行MySQL安全脚本
11. mysql_secure_installation
13. # 4. 配置MySQL
14. cat > /etc/my.cnf << EOF
15. [mysqld]
16. # 安全配置
17. skip-symbolic-links
18. local-infile=0
19. skip-show-database
20. max_connect_errors=10
21. max_user_connections=25
23. # 网络配置
24. bind-address=127.0.0.1
25. port=3306
27. # 日志配置
28. log-error=/var/log/mysqld.log
29. slow_query_log=1
30. slow_query_log_file=/var/log/mysql-slow.log
31. long_query_time=2
33. # 性能配置
34. innodb_buffer_pool_size=2G
35. innodb_log_file_size=256M
36. innodb_log_buffer_size=8M
37. innodb_flush_log_at_trx_commit=2
38. innodb_flush_method=O_DIRECT
39. innodb_file_per_table=1
40. EOF
42. # 5. 重启MySQL服务
43. systemctl restart mysqld
45. # 6. 配置防火墙
46. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="mysql" accept'
47. firewall-cmd --reload
49. # 7. 配置SELinux
50. setsebool -P mysql_connect_any on
51. setsebool -P daemons_enable_cluster_mode on
53. # 8. 创建数据库用户并授权
54. mysql -u root -p
55. CREATE DATABASE myapp;
56. CREATE USER 'myappuser'@'localhost' IDENTIFIED BY 'strongpassword';
57. GRANT ALL PRIVILEGES ON myapp.* TO 'myappuser'@'localhost';
58. FLUSH PRIVILEGES;
59. EXIT;
61. # 9. 配置数据库备份
62. yum install mariadb-backup
63. cat > /etc/cron.daily/mysql-backup << EOF
64. #!/bin/bash
65. DATE=\$(date +%Y%m%d)
66. mkdir -p /backup/mysql
67. mysqldump --all-databases --single-transaction --routines --triggers | gzip > /backup/mysql/mysql-backup-\$DATE.sql.gz
68. find /backup/mysql -name "*.sql.gz" -mtime +7 -delete
69. EOF
70. chmod +x /etc/cron.daily/mysql-backup
72. # 10. 配置审计规则
73. echo "-w /etc/my.cnf -p wa -k mysql_config" >> /etc/audit/rules.d/audit.rules
74. echo "-w /var/lib/mysql -p wa -k mysql_data" >> /etc/audit/rules.d/audit.rules
75. systemctl restart auditd

复制代码

6.3 案例三：高可用性集群配置

需要配置一个高可用性的Web服务集群，确保在节点故障时服务不中断。

2. # 1. 在所有节点上安装必要的软件
3. yum install -y pacemaker pcs fence-agents-all resource-agents
5. # 2. 设置hacluster用户密码
6. echo "hacluster:StrongPassword" | chpasswd
8. # 3. 启动并启用pcsd服务
9. systemctl start pcsd
10. systemctl enable pcsd
12. # 4. 认证集群节点
13. pcs cluster auth node1 node2 node3 -u hacluster -p StrongPassword
15. # 5. 创建集群
16. pcs cluster setup --name mycluster node1 node2 node3
18. # 6. 启动集群
19. pcs cluster start --all
20. pcs cluster enable --all
22. # 7. 查看集群状态
23. pcs status
25. # 8. 禁用STONITH（用于测试环境，生产环境应配置STONITH）
26. pcs property set stonith-enabled=false
28. # 9. 配置浮动IP
29. pcs resource create vip ocf:heartbeat:IPaddr2 ip=192.168.1.100 cidr_netmask=24 op monitor interval=20s
31. # 10. 配置Web服务
32. pcs resource create webserver systemd:httpd op monitor interval=20s
34. # 11. 配置资源约束
35. pcs constraint colocation add webserver with vip
36. pcs constraint order vip then webserver
38. # 12. 配置文件系统（如果需要共享存储）
39. # 假设使用NFS共享存储
40. yum install -y nfs-utils
41. mkdir -p /var/www/html
42. echo "192.168.1.200:/share /var/www/html nfs defaults 0 0" >> /etc/fstab
43. mount -a
45. # 13. 配置文件系统资源
46. pcs resource create websitefs Filesystem device="192.168.1.200:/share" directory="/var/www/html" fstype="nfs" op monitor interval=20s
48. # 14. 更新资源约束
49. pcs constraint colocation add websitefs with vip
50. pcs constraint order vip then websitefs
51. pcs constraint colocation add webserver with websitefs
52. pcs constraint order websitefs then webserver
54. # 15. 查看集群状态
55. pcs status
57. # 16. 测试故障转移
58. # 在node1上停止pacemaker服务
59. systemctl stop pacemaker
61. # 在其他节点上查看集群状态
62. pcs status

复制代码

6.4 案例四：系统备份与恢复

需要为关键服务器配置可靠的备份策略，并测试恢复流程。

2. # 1. 安装备份工具
3. yum install -y rsync tar
5. # 2. 创建备份脚本
6. cat > /usr/local/bin/system-backup.sh << 'EOF'
7. #!/bin/bash
9. # 配置变量
10. BACKUP_DIR="/backup"
11. DATE=$(date +%Y%m%d)
12. HOSTNAME=$(hostname)
13. RETENTION_DAYS=30
15. # 创建备份目录
16. mkdir -p $BACKUP_DIR/$DATE
18. # 备份系统配置文件
19. tar -czf $BACKUP_DIR/$DATE/etc-$DATE.tar.gz /etc
21. # 备份用户数据
22. tar -czf $BACKUP_DIR/$DATE/home-$DATE.tar.gz /home
24. # 备份系统引导信息
25. dd if=/dev/sda of=$BACKUP_DIR/$DATE/mbr-$DATE.img bs=512 count=1
27. # 备份分区表
28. sfdisk -d /dev/sda > $BACKUP_DIR/$DATE/partitions-$DATE.sfdisk
30. # 备份RPM包列表
31. rpm -qa > $BACKUP_DIR/$DATE/rpmlist-$DATE.txt
33. # 创建备份清单
34. cat > $BACKUP_DIR/$DATE/backup-manifest-$DATE.txt << EOM
35. Backup Date: $(date)
36. Hostname: $HOSTNAME
37. Kernel: $(uname -r)
38. EOM
40. # 清理旧备份
41. find $BACKUP_DIR -type d -mtime +$RETENTION_DAYS -exec rm -rf {} \;
43. # 记录备份日志
44. logger "System backup completed on $DATE"
45. EOF
47. # 3. 设置脚本权限
48. chmod +x /usr/local/bin/system-backup.sh
50. # 4. 配置cron任务
51. echo "0 2 * * 6 /usr/local/bin/system-backup.sh" > /etc/cron.d/system-backup
53. # 5. 创建恢复脚本
54. cat > /usr/local/bin/system-restore.sh << 'EOF'
55. #!/bin/bash
57. # 检查参数
58. if [ $# -ne 1 ]; then
59.     echo "Usage: $0 <backup-date>"
60.     exit 1
61. fi
63. BACKUP_DATE=$1
64. BACKUP_DIR="/backup/$BACKUP_DATE"
66. # 检查备份是否存在
67. if [ ! -d "$BACKUP_DIR" ]; then
68.     echo "Backup directory $BACKUP_DIR not found"
69.     exit 1
70. fi
72. # 恢复MBR
73. dd if=$BACKUP_DIR/mbr-$BACKUP_DATE.img of=/dev/sda
75. # 恢复分区表
76. sfdisk /dev/sda < $BACKUP_DIR/partitions-$BACKUP_DATE.sfdisk
78. # 重新读取分区表
79. partprobe
81. # 恢复系统配置文件
82. tar -xzf $BACKUP_DIR/etc-$BACKUP_DATE.tar.gz -C /
84. # 恢复用户数据
85. tar -xzf $BACKUP_DIR/home-$BACKUP_DATE.tar.gz -C /
87. # 记录恢复日志
88. logger "System restore completed from backup $BACKUP_DATE"
89. EOF
91. # 6. 设置恢复脚本权限
92. chmod +x /usr/local/bin/system-restore.sh
94. # 7. 创建系统镜像备份脚本（用于完整系统恢复）
95. cat > /usr/local/bin/system-image-backup.sh << 'EOF'
96. #!/bin/bash
98. # 配置变量
99. BACKUP_DIR="/backup/images"
100. DATE=$(date +%Y%m%d)
101. HOSTNAME=$(hostname)
102. RETENTION_DAYS=30
104. # 创建备份目录
105. mkdir -p $BACKUP_DIR
107. # 创建系统镜像
108. fsarchiver savefs $BACKUP_DIR/system-$DATE.fsa /dev/sda1 /dev/sda2
110. # 清理旧备份
111. find $BACKUP_DIR -name "*.fsa" -mtime +$RETENTION_DAYS -delete
113. # 记录备份日志
114. logger "System image backup completed on $DATE"
115. EOF
117. # 8. 设置镜像备份脚本权限
118. chmod +x /usr/local/bin/system-image-backup.sh
120. # 9. 安装fsarchiver
121. yum install -y fsarchiver
123. # 10. 配置cron任务（每月一次完整镜像备份）
124. echo "0 3 1 * * /usr/local/bin/system-image-backup.sh" > /etc/cron.d/system-image-backup
126. # 11. 创建系统镜像恢复脚本
127. cat > /usr/local/bin/system-image-restore.sh << 'EOF'
128. #!/bin/bash
130. # 检查参数
131. if [ $# -ne 1 ]; then
132.     echo "Usage: $0 <backup-date>"
133.     exit 1
134. fi
136. BACKUP_DATE=$1
137. BACKUP_FILE="/backup/images/system-$BACKUP_DATE.fsa"
139. # 检查备份是否存在
140. if [ ! -f "$BACKUP_FILE" ]; then
141.     echo "Backup file $BACKUP_FILE not found"
142.     exit 1
143. fi
145. # 恢复系统镜像
146. fsarchiver restfs $BACKUP_FILE id=0,dest=/dev/sda1 id=1,dest=/dev/sda2
148. # 记录恢复日志
149. logger "System image restore completed from backup $BACKUP_DATE"
150. EOF
152. # 12. 设置镜像恢复脚本权限
153. chmod +x /usr/local/bin/system-image-restore.sh
155. # 13. 创建测试恢复脚本（测试恢复而不实际执行）
156. cat > /usr/local/bin/test-restore.sh << 'EOF'
157. #!/bin/bash
159. # 配置变量
160. BACKUP_DIR="/backup"
161. DATE=$(date +%Y%m%d)
162. TEST_DIR="/tmp/restore-test"
164. # 创建测试目录
165. mkdir -p $TEST_DIR
167. # 查找最新备份
168. LATEST_BACKUP=$(ls -t $BACKUP_DIR | head -n1)
170. # 测试恢复系统配置文件
171. tar -tzf $BACKUP_DIR/$LATEST_BACKUP/etc-$LATEST_BACKUP.tar.gz > /dev/null
172. if [ $? -eq 0 ]; then
173.     echo "System configuration backup is valid"
174. else
175.     echo "System configuration backup is corrupted"
176. fi
178. # 测试恢复用户数据
179. tar -tzf $BACKUP_DIR/$LATEST_BACKUP/home-$LATEST_BACKUP.tar.gz > /dev/null
180. if [ $? -eq 0 ]; then
181.     echo "User data backup is valid"
182. else
183.     echo "User data backup is corrupted"
184. fi
186. # 记录测试日志
187. logger "Backup test completed on $DATE"
188. EOF
190. # 14. 设置测试恢复脚本权限
191. chmod +x /usr/local/bin/test-restore.sh
193. # 15. 配置cron任务（每周测试备份）
194. echo "0 4 * * 5 /usr/local/bin/test-restore.sh" > /etc/cron.d/test-backup

复制代码

结论

Red Hat Enterprise Linux作为企业级服务器操作系统，提供了强大的功能和灵活性。通过本文详细介绍的高级配置、性能优化、安全加固、网络配置和故障排除技术，系统管理员可以更好地管理和维护RHEL服务器。

在实际工作中，系统管理员需要不断学习和实践，结合具体的应用场景和需求，灵活运用这些技术，以确保服务器的稳定、安全和高效运行。同时，定期进行系统备份和测试恢复流程也是保障业务连续性的重要措施。

希望本文能够为系统管理员提供实用的指导和参考，帮助他们更好地应对日常工作中的挑战。