Rocky Linux实例创建与操作详解 新手也能轻松上手的开源服务器部署与管理教程

威震华夏关云长

1. Rocky Linux简介

Rocky Linux是一个社区支持的企业级操作系统，由CentOS创始人Gregory Kurtzer领导开发，旨在成为CentOS停止维护后的完美替代品。作为Red Hat Enterprise Linux (RHEL)的下游分支，Rocky Linux与RHEL二进制兼容，提供了稳定、安全且高性能的服务器环境。

1.1 Rocky Linux的特点

• 企业级稳定性：基于RHEL，提供长期支持和稳定性
• 完全开源：遵循开源理念，所有组件均可自由使用和修改
• 强大的社区支持：拥有活跃的开发和用户社区
• 无缝迁移：从CentOS迁移到Rocky Linux过程简单
• 安全性高：定期安全更新和补丁

1.2 为什么选择Rocky Linux

随着CentOS 8提前结束生命周期，许多企业和个人用户开始寻找替代方案。Rocky Linux作为CentOS的精神继承者，不仅继承了CentOS的优点，还承诺提供长期支持，使其成为服务器部署的理想选择。

2. Rocky Linux实例创建前的准备工作

在开始创建Rocky Linux实例之前，需要完成一些准备工作，确保安装过程顺利进行。

2.1 系统要求

确保你的硬件满足以下最低要求：

• 处理器：64位x86架构（至少1GHz）
• 内存：最少1GB RAM（推荐2GB以上）
• 存储空间：至少20GB可用空间
• 网络连接：稳定的互联网连接

2.2 获取Rocky Linux镜像

访问Rocky Linux官方网站（https://rockylinux.org/）下载最新的ISO镜像文件。RockyLinux提供多种版本：

• Rocky Linux DVD ISO：包含完整安装程序和软件包，适合离线安装
• Rocky Linux Minimal ISO：仅包含基本安装程序，适合在线安装或定制化安装
• Rocky Linux Boot ISO：最小启动镜像，需要网络连接完成安装

对于新手用户，推荐下载DVD ISO版本，因为它包含了大部分常用软件包，安装过程更加简便。

2.3 创建安装介质

下载完成后，需要将ISO镜像写入到USB驱动器或DVD中。以下是使用不同操作系统创建安装介质的方法：

可以使用Rufus工具来创建可启动的USB安装介质：

1. 下载并安装Rufus（https://rufus.ie/）
2. 插入至少8GB的USB驱动器
3. 打开Rufus，选择USB驱动器
4. 点击”选择”按钮，选择下载的Rocky Linux ISO文件
5. 保持默认设置，点击”开始”按钮
6. 等待过程完成

在Linux系统上，可以使用dd命令创建USB安装介质：

2. # 首先确定USB设备名称（例如/dev/sdb）
3. sudo fdisk -l
5. # 卸载USB设备（如果已挂载）
6. sudo umount /dev/sdb*
8. # 使用dd命令写入ISO镜像
9. sudo dd if=rocky-linux-9.x-x86_64-dvd.iso of=/dev/sdb bs=4M status=progress

复制代码

注意：请确保正确选择USB设备名称，错误的选择可能会导致数据丢失。

在macOS上，可以使用dd命令或Etcher工具创建USB安装介质：

使用dd命令：

2. # 首先确定USB设备名称（例如/disk2）
3. diskutil list
5. # 卸载USB设备
6. diskutil unmountDisk /dev/disk2
8. # 使用dd命令写入ISO镜像
9. sudo dd if=rocky-linux-9.x-x86_64-dvd.iso of=/dev/rdisk2 bs=4m

复制代码

2.4 虚拟机环境准备

如果你计划在虚拟机中安装Rocky Linux，需要准备以下软件之一：

• VMware Workstation（Windows/Linux）
• VirtualBox（Windows/Linux/macOS）
• Parallels Desktop（macOS）
• KVM（Linux）

以VirtualBox为例，创建虚拟机的步骤如下：

1. 下载并安装VirtualBox
2. 打开VirtualBox，点击”新建”按钮
3. 输入虚拟机名称（例如”Rocky Linux”），选择类型为”Linux”，版本为”Red Hat (64-bit)”
4. 分配内存大小（建议至少2048MB）
5. 创建虚拟硬盘（建议至少20GB）
6. 创建完成后，选择虚拟机，点击”设置”
7. 在”存储”选项中，选择控制器，点击光盘图标，选择下载的Rocky Linux ISO文件
8. 点击”确定”保存设置

3. Rocky Linux安装步骤详解

准备工作完成后，现在可以开始安装Rocky Linux。以下是在物理机或虚拟机上安装Rocky Linux的详细步骤。

3.1 启动安装程序

1. 将创建的安装介质插入计算机，或启动虚拟机
2. 重启计算机，并从安装介质启动（可能需要在BIOS/UEFI中设置启动顺序）
3. 在Rocky Linux启动菜单中，选择”Install Rocky Linux 9”并按Enter键

3.2 选择语言和键盘布局

1. 在欢迎界面，选择你偏好的语言（例如”English(United States)“）
2. 点击”Continue”继续

3.3 安装摘要

安装摘要界面显示了安装前的各项配置。以下是主要配置项：

• 点击”Keyboard”配置键盘布局
• 默认通常是”English(US)”
• 可以点击”+“添加其他键盘布局
• 完成后点击”Done”返回

• 点击”Language Support”配置系统语言
• 默认已选择英语，可以添加其他语言
• 完成后点击”Done”返回

• 点击”Time & Date”配置时区
• 在地图上点击你的位置，或从”Region”和”City”下拉菜单中选择
• 确保”Network Time”开关处于打开状态
• 完成后点击”Done”返回

• 如果你使用的是完整的DVD ISO，安装源通常会自动检测
• 如果需要配置网络安装源，点击”Installation Source”
• 选择”On the network”，输入URL（例如：http://download.rockylinux.org/pub/rocky/9/BaseOS/x86_64/os/）
• 完成后点击”Done”返回

• 点击”Software Selection”选择要安装的软件包
• 对于服务器环境，推荐选择”Server with GUI”或”Minimal Install”
• 在右侧可以选择额外的软件包（例如开发工具、服务器应用程序等）
• 完成后点击”Done”返回

• 点击”Installation Destination”配置磁盘分区
• 对于新手，推荐选择”Automatic”自动分区
• 如果需要手动分区，选择”Custom”并配置分区方案建议至少创建以下分区：/boot：500MB-1GB/：剩余空间的大部分swap：与内存大小相同或更大
• 建议至少创建以下分区：/boot：500MB-1GB/：剩余空间的大部分swap：与内存大小相同或更大
• /boot：500MB-1GB
• /：剩余空间的大部分
• swap：与内存大小相同或更大
• 完成后点击”Done”返回

• 建议至少创建以下分区：/boot：500MB-1GB/：剩余空间的大部分swap：与内存大小相同或更大
• /boot：500MB-1GB
• /：剩余空间的大部分
• swap：与内存大小相同或更大

• /boot：500MB-1GB
• /：剩余空间的大部分
• swap：与内存大小相同或更大

• 点击”Network & Host Name”配置网络
• 将”Ethernet”开关打开以启用网络连接
• 在”Host name”字段中输入主机名（例如”rocky-server”）
• 完成后点击”Done”返回

• 点击”Security Policy”配置安全策略
• 对于新手，可以保持默认设置
• 完成后点击”Done”返回

• Kdump是一个内核崩溃转储机制
• 如果不需要，可以禁用以节省内存
• 完成后点击”Done”返回

3.4 开始安装

完成所有配置后，点击”Begin Installation”开始安装过程。

3.5 设置用户和密码

在安装过程中，需要设置root密码和创建用户：

1. 点击”Root Password”
2. 输入并确认root密码
3. 点击”Done”返回

注意：如果密码强度不够，需要点击”Done”两次确认。

1. 点击”User Creation”
2. 输入全名、用户名和密码
3. 可以选择”Make this user administrator”使该用户具有管理员权限
4. 点击”Done”返回

3.6 完成安装

安装完成后，系统会提示重启。点击”Reboot System”按钮重启系统。

3.7 首次启动设置

首次启动后，系统可能会引导你完成一些初始设置：

1. 接受许可协议
2. 连接到网络（如果之前未配置）
3. 设置时间和日期（如果之前未配置）
4. 完成设置后，登录系统

4. 基本系统配置

安装完成后，需要进行一些基本配置，以确保系统正常运行并满足你的需求。

4.1 系统更新

首先，更新系统到最新版本：

2. # 切换到root用户或使用sudo
3. sudo -i
5. # 更新软件包列表
6. dnf check-update
8. # 更新所有已安装的软件包
9. dnf update -y
11. # 如果内核更新，重启系统
12. reboot

复制代码

4.2 网络配置

2. # 查看网络接口
3. ip addr show
5. # 或使用传统命令
6. ifconfig

复制代码

编辑网络配置文件（以eno1接口为例）：

2. # 编辑网络配置文件
3. vi /etc/sysconfig/network-scripts/ifcfg-eno1

复制代码

添加或修改以下内容：

2. TYPE=Ethernet
3. BOOTPROTO=static
4. DEFROUTE=yes
5. IPV4_FAILURE_FATAL=no
6. IPV6INIT=yes
7. IPV6_AUTOCONF=yes
8. IPV6_DEFROUTE=yes
9. IPV6_FAILURE_FATAL=no
10. NAME=eno1
11. UUID=<保持原有UUID>
12. DEVICE=eno1
13. ONBOOT=yes
14. IPADDR=192.168.1.100
15. NETMASK=255.255.255.0
16. GATEWAY=192.168.1.1
17. DNS1=8.8.8.8
18. DNS2=8.8.4.4

复制代码

重启网络服务：

2. # 重启网络服务
3. systemctl restart network
5. # 或使用NetworkManager
6. nmcli connection reload
7. nmcli connection up eno1

复制代码

2. # 查看当前主机名
3. hostnamectl
5. # 设置主机名
6. hostnamectl set-hostname rocky-server
8. # 验证主机名
9. hostname

复制代码

4.3 防火墙配置

Rocky Linux使用firewalld作为默认防火墙：

2. # 查看防火墙状态
3. systemctl status firewalld
5. # 启动防火墙
6. systemctl start firewalld
8. # 设置防火墙开机自启
9. systemctl enable firewalld
11. # 查看当前开放的端口和服务
12. firewall-cmd --list-all
14. # 开放HTTP服务（端口80）
15. firewall-cmd --permanent --add-service=http
17. # 开放HTTPS服务（端口443）
18. firewall-cmd --permanent --add-service=https
20. # 开放自定义端口（例如8080）
21. firewall-cmd --permanent --add-port=8080/tcp
23. # 重新加载防火墙配置
24. firewall-cmd --reload

复制代码

4.4 SELinux配置

SELinux（Security-Enhanced Linux）是Rocky Linux中的安全模块：

2. # 查看SELinux状态
3. sestatus
5. # 临时设置SELinux为Permissive模式（仅记录不阻止）
6. setenforce 0
8. # 临时设置SELinux为Enforcing模式（默认，强制执行）
9. setenforce 1
11. # 永久修改SELinux配置
12. vi /etc/selinux/config
14. # 将SELINUX=enforcing改为SELINUX=disabled或SELINUX=permissive
15. SELINUX=permissive
17. # 重启系统使更改生效
18. reboot

复制代码

注意：对于生产环境，建议保持SELinux为Enforcing模式，以确保系统安全。

4.5 时间同步

配置NTP（Network Time Protocol）以保持系统时间准确：

2. # 安装chrony（NTP客户端）
3. dnf install chrony -y
5. # 启动chrony服务
6. systemctl start chronyd
8. # 设置chrony开机自启
9. systemctl enable chronyd
11. # 查看时间同步状态
12. chronyc sources -v
14. # 手动同步时间
15. chronyc -a makestep

复制代码

4.6 添加用户和配置sudo权限

2. # 添加新用户（例如user1）
3. useradd user1
5. # 设置用户密码
6. passwd user1

复制代码

2. # 安装sudo（如果未安装）
3. dnf install sudo -y
5. # 将用户添加到wheel组（具有sudo权限）
6. usermod -aG wheel user1
8. # 验证用户是否在wheel组中
9. groups user1

复制代码

或者，直接编辑sudoers文件：

2. # 编辑sudoers文件
3. visudo
5. # 在文件中添加以下行（允许user1无需密码使用sudo）
6. user1 ALL=(ALL) NOPASSWD: ALL
8. # 保存并退出

复制代码

5. 常用服务器软件安装与配置

Rocky Linux作为服务器操作系统，通常需要安装各种服务器软件。以下是一些常用服务器软件的安装与配置方法。

5.1 Web服务器安装与配置

2. # 安装Apache
3. dnf install httpd -y
5. # 启动Apache服务
6. systemctl start httpd
8. # 设置Apache开机自启
9. systemctl enable httpd
11. # 查看Apache状态
12. systemctl status httpd
14. # 开放HTTP和HTTPS端口
15. firewall-cmd --permanent --add-service=http
16. firewall-cmd --permanent --add-service=https
17. firewall-cmd --reload

复制代码

创建一个简单的测试页面：

2. # 创建测试页面
3. echo "<html><body><h1>Apache on Rocky Linux</h1><p>Welcome to my website!</p></body></html>" > /var/www/html/index.html

复制代码

在浏览器中访问服务器IP地址，应该能看到测试页面。

2. # 安装EPEL仓库（Extra Packages for Enterprise Linux）
3. dnf install epel-release -y
5. # 安装Nginx
6. dnf install nginx -y
8. # 启动Nginx服务
9. systemctl start nginx
11. # 设置Nginx开机自启
12. systemctl enable nginx
14. # 查看Nginx状态
15. systemctl status nginx
17. # 开放HTTP和HTTPS端口
18. firewall-cmd --permanent --add-service=http
19. firewall-cmd --permanent --add-service=https
20. firewall-cmd --reload

复制代码

创建一个简单的测试页面：

2. # 创建测试页面
3. echo "<html><body><h1>Nginx on Rocky Linux</h1><p>Welcome to my website!</p></body></html>" > /usr/share/nginx/html/index.html

复制代码

在浏览器中访问服务器IP地址，应该能看到测试页面。

5.2 数据库服务器安装与配置

2. # 安装MariaDB服务器
3. dnf install mariadb-server -y
5. # 启动MariaDB服务
6. systemctl start mariadb
8. # 设置MariaDB开机自启
9. systemctl enable mariadb
11. # 查看MariaDB状态
12. systemctl status mariadb
14. # 运行安全安装脚本
15. mysql_secure_installation
17. # 按照提示设置root密码和其他安全选项

复制代码

连接到MariaDB：

2. # 连接到MariaDB
3. mysql -u root -p
5. # 输入设置的root密码

复制代码

2. # 安装PostgreSQL服务器
3. dnf install postgresql-server -y
5. # 初始化数据库
6. postgresql-setup --initdb
8. # 启动PostgreSQL服务
9. systemctl start postgresql
11. # 设置PostgreSQL开机自启
12. systemctl enable postgresql
14. # 查看PostgreSQL状态
15. systemctl status postgresql
17. # 切换到postgres用户
18. su - postgres
20. # 创建新用户和数据库
21. createuser --interactive
22. createdb mydatabase
24. # 退出postgres用户
25. exit

复制代码

5.3 PHP安装与配置

2. # 安装PHP和常用扩展
3. dnf install php php-cli php-common php-fpm php-mysqlnd php-zip php-gd php-mbstring php-curl php-xml php-pear php-bcmath php-json -y
5. # 启动PHP-FPM服务
6. systemctl start php-fpm
8. # 设置PHP-FPM开机自启
9. systemctl enable php-fpm
11. # 查看PHP-FPM状态
12. systemctl status php-fpm
14. # 创建PHP测试页面
15. echo "<?php phpinfo(); ?>" > /var/www/html/info.php

复制代码

在浏览器中访问http://服务器IP/info.php，应该能看到PHP信息页面。

5.4 安装Docker

2. # 安装dnf-plugins-core
3. dnf install dnf-plugins-core -y
5. # 添加Docker仓库
6. dnf config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
8. # 安装Docker
9. dnf install docker-ce docker-ce-cli containerd.io -y
11. # 启动Docker服务
12. systemctl start docker
14. # 设置Docker开机自启
15. systemctl enable docker
17. # 查看Docker状态
18. systemctl status docker
20. # 将用户添加到docker组（避免使用sudo）
21. usermod -aG docker $USER
23. # 重新登录以使组更改生效
25. # 验证Docker安装
26. docker run hello-world

复制代码

5.5 安装Git

2. # 安装Git
3. dnf install git -y
5. # 验证Git安装
6. git --version
8. # 配置Git用户信息
9. git config --global user.name "Your Name"
10. git config --global user.email "your.email@example.com"

复制代码

6. 系统管理与维护

系统安装和软件配置完成后，需要进行定期的管理和维护，以确保系统稳定运行。

6.1 系统监控

2. # 查看CPU和内存使用情况
3. top
5. # 或使用htop（需要安装）
6. dnf install htop -y
7. htop
9. # 查看磁盘使用情况
10. df -h
12. # 查看内存使用情况
13. free -h
15. # 查看系统负载
16. uptime

复制代码

2. # 查看系统日志
3. journalctl
5. # 查看内核日志
6. journalctl -k
8. # 查看特定服务的日志
9. journalctl -u httpd
11. # 查看最近的日志
12. journalctl -n 100
14. # 查看特定时间段的日志
15. journalctl --since "2023-01-01" --until "2023-01-02"

复制代码

6.2 文件系统管理

2. # 查看磁盘分区
3. fdisk -l
5. # 创建新分区（以/dev/sdb为例）
6. fdisk /dev/sdb
8. # 在fdisk命令行中：
9. # n - 创建新分区
10. # p - 主分区
11. # 1 - 分区号
12. # 回车 - 使用默认起始扇区
13. # 回车 - 使用默认结束扇区
14. # w - 保存并退出
16. # 格式化分区为ext4文件系统
17. mkfs.ext4 /dev/sdb1
19. # 创建挂载点
20. mkdir /data
22. # 挂载分区
23. mount /dev/sdb1 /data
25. # 查看挂载情况
26. df -h
28. # 设置开机自动挂载
29. echo "/dev/sdb1 /data ext4 defaults 0 0" >> /etc/fstab

复制代码

2. # 安装LVM工具（如果未安装）
3. dnf install lvm2 -y
5. # 创建物理卷（PV）
6. pvcreate /dev/sdc1
8. # 创建卷组（VG）
9. vgcreate vg_data /dev/sdc1
11. # 创建逻辑卷（LV）
12. lvcreate -n lv_data -l 100%FREE vg_data
14. # 格式化逻辑卷
15. mkfs.ext4 /dev/vg_data/lv_data
17. # 挂载逻辑卷
18. mkdir /data
19. mount /dev/vg_data/lv_data /data
21. # 设置开机自动挂载
22. echo "/dev/vg_data/lv_data /data ext4 defaults 0 0" >> /etc/fstab
24. # 扩展逻辑卷
25. # 首先扩展物理卷（如果有新磁盘）
26. pvcreate /dev/sdd1
27. vgextend vg_data /dev/sdd1
29. # 扩展逻辑卷
30. lvextend -l +100%FREE /dev/vg_data/lv_data
32. # 调整文件系统大小
33. resize2fs /dev/vg_data/lv_data

复制代码

6.3 用户和权限管理

2. # 创建新用户
3. useradd -m -s /bin/bash newuser
5. # 设置用户密码
6. passwd newuser
8. # 创建新组
9. groupadd newgroup
11. # 将用户添加到组
12. usermod -aG newgroup newuser
14. # 查看用户所属组
15. groups newuser
17. # 删除用户
18. userdel newuser
20. # 删除用户及其主目录
21. userdel -r newuser

复制代码

2. # 查看文件权限
3. ls -l /path/to/file
5. # 修改文件所有者
6. chown user:group /path/to/file
8. # 修改文件权限
9. chmod 755 /path/to/file
11. # 递归修改目录权限
12. chmod -R 755 /path/to/directory
14. # 设置SGID位（目录中创建的文件继承目录的组）
15. chmod g+s /path/to/directory
17. # 设置Sticky位（只有文件所有者才能删除文件）
18. chmod +t /path/to/directory

复制代码

6.4 服务管理

2. # 查看所有服务状态
3. systemctl list-units --type=service
5. # 查看特定服务状态
6. systemctl status httpd
8. # 启动服务
9. systemctl start httpd
11. # 停止服务
12. systemctl stop httpd
14. # 重启服务
15. systemctl restart httpd
17. # 重新加载服务配置
18. systemctl reload httpd
20. # 设置服务开机自启
21. systemctl enable httpd
23. # 禁止服务开机自启
24. systemctl disable httpd
26. # 查看服务是否开机自启
27. systemctl is-enabled httpd

复制代码

6.5 定时任务管理

2. # 安装cronie（如果未安装）
3. dnf install cronie -y
5. # 启动crond服务
6. systemctl start crond
8. # 设置crond开机自启
9. systemctl enable crond
11. # 编辑当前用户的定时任务
12. crontab -e
14. # 示例：每天凌晨2点备份
15. # 0 2 * * * /usr/bin/rsync -av /data /backup/data_$(date +\%Y\%m\%d)
17. # 查看当前用户的定时任务
18. crontab -l
20. # 删除当前用户的定时任务
21. crontab -r

复制代码

创建一个定时器文件（例如/etc/systemd/system/backup.timer）：

2. [Unit]
3. Description=Daily backup
5. [Timer]
6. OnCalendar=daily
7. Persistent=true
9. [Install]
10. WantedBy=timers.target

复制代码

创建对应的服务文件（例如/etc/systemd/system/backup.service）：

2. [Unit]
3. Description=Backup service
5. [Service]
6. Type=oneshot
7. ExecStart=/usr/bin/rsync -av /data /backup/data_$(date +%%Y%%m%%d)

复制代码

启用并启动定时器：

2. # 重新加载systemd配置
3. systemctl daemon-reload
5. # 启用定时器
6. systemctl enable backup.timer
8. # 启动定时器
9. systemctl start backup.timer
11. # 查看定时器状态
12. systemctl list-timers --all

复制代码

7. 安全设置与优化

服务器安全是运维工作中至关重要的一环。以下是一些基本的安全设置和优化措施。

7.1 系统安全加固

2. # 编辑SSH配置文件
3. vi /etc/ssh/sshd_config
5. # 找到并修改以下行
6. PermitRootLogin no
8. # 重启SSH服务
9. systemctl restart sshd

复制代码

2. # 编辑SSH配置文件
3. vi /etc/ssh/sshd_config
5. # 找到并修改以下行
6. Port 2222
8. # 重启SSH服务
9. systemctl restart sshd
11. # 更新防火墙规则
12. firewall-cmd --permanent --add-port=2222/tcp
13. firewall-cmd --reload

复制代码

2. # 查看已启用的服务
3. systemctl list-unit-files | grep enabled
5. # 禁用不必要的服务（例如telnet）
6. systemctl stop telnet.socket
7. systemctl disable telnet.socket

复制代码

2. # 安装dnf-automatic
3. dnf install dnf-automatic -y
5. # 编辑配置文件
6. vi /etc/dnf/automatic.conf
8. # 修改以下设置
9. apply_updates = yes
10. emit_via = stdio
11. email_to = your.email@example.com
13. # 启动并启用dnf-automatic.timer
14. systemctl start dnf-automatic.timer
15. systemctl enable dnf-automatic.timer

复制代码

7.2 防火墙高级配置

2. # 创建自定义区域
3. firewall-cmd --permanent --new-zone=myservices
5. # 设置区域默认策略
6. firewall-cmd --permanent --zone=myservices --set-target=DROP
8. # 添加接口到区域
9. firewall-cmd --permanent --zone=myservices --add-interface=eth1
11. # 添加服务到区域
12. firewall-cmd --permanent --zone=myservices --add-service=http
13. firewall-cmd --permanent --zone=myservices --add-service=https
15. # 重新加载防火墙配置
16. firewall-cmd --reload

复制代码

2. # 启用IP伪装
3. firewall-cmd --permanent --add-masquerade
5. # 配置端口转发（例如将8080端口转发到80端口）
6. firewall-cmd --permanent --add-forward-port=port=8080:proto=tcp:toport=80
8. # 重新加载防火墙配置
9. firewall-cmd --reload

复制代码

7.3 Fail2Ban防暴力破解

2. # 安装EPEL仓库
3. dnf install epel-release -y
5. # 安装Fail2Ban
6. dnf install fail2ban -y
8. # 启动并启用Fail2Ban
9. systemctl start fail2ban
10. systemctl enable fail2ban
12. # 创建本地配置文件
13. cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
15. # 编辑配置文件
16. vi /etc/fail2ban/jail.local
18. # 配置SSH保护
19. [sshd]
20. enabled = true
21. port = 22,2222
22. filter = sshd
23. logpath = /var/log/secure
24. maxretry = 3
25. bantime = 3600
27. # 重启Fail2Ban服务
28. systemctl restart fail2ban
30. # 查看Fail2Ban状态
31. fail2ban-client status
32. fail2ban-client status sshd

复制代码

7.4 系统性能优化

2. # 编辑sysctl配置文件
3. vi /etc/sysctl.conf
5. # 添加或修改以下参数
6. # 增加文件描述符限制
7. fs.file-max = 100000
9. # 增加网络连接队列大小
10. net.core.somaxconn = 65535
12. # 优化TCP/IP参数
13. net.ipv4.tcp_max_syn_backlog = 65536
14. net.core.netdev_max_backlog = 65536
15. net.ipv4.tcp_syncookies = 1
16. net.ipv4.tcp_tw_reuse = 1
17. net.ipv4.tcp_fin_timeout = 30
18. net.ipv4.tcp_keepalive_time = 1200
19. net.ipv4.ip_local_port_range = 10000 65000
21. # 应用配置
22. sysctl -p

复制代码

2. # 编辑limits.conf文件
3. vi /etc/security/limits.conf
5. # 添加或修改以下限制
6. * soft nofile 65536
7. * hard nofile 65536
8. * soft nproc 32768
9. * hard nproc 32768
11. # 重新登录以使更改生效

复制代码

7.5 备份策略

2. # 安装rsync
3. dnf install rsync -y
5. # 创建备份脚本
6. vi /usr/local/bin/backup.sh
8. #!/bin/bash
9. # 定义源目录和目标目录
10. SOURCE_DIR="/data"
11. BACKUP_DIR="/backup"
12. DATE=$(date +%Y%m%d)
14. # 创建备份目录
15. mkdir -p $BACKUP_DIR/$DATE
17. # 执行备份
18. rsync -av --delete $SOURCE_DIR/ $BACKUP_DIR/$DATE/
20. # 保留最近7天的备份
21. find $BACKUP_DIR -type d -mtime +7 -exec rm -rf {} \;
23. # 记录备份日志
24. echo "Backup completed on $(date)" >> /var/log/backup.log
26. # 设置脚本可执行权限
27. chmod +x /usr/local/bin/backup.sh
29. # 添加到定时任务
30. crontab -e
32. # 添加以下行（每天凌晨2点执行备份）
33. 0 2 * * * /usr/local/bin/backup.sh

复制代码

2. # 创建备份脚本
3. vi /usr/local/bin/fullbackup.sh
5. #!/bin/bash
6. # 定义源目录和目标目录
7. SOURCE_DIR="/data"
8. BACKUP_DIR="/backup"
9. DATE=$(date +%Y%m%d)
10. BACKUP_FILE="$BACKUP_DIR/full_backup_$DATE.tar.gz"
12. # 创建备份目录
13. mkdir -p $BACKUP_DIR
15. # 执行备份
16. tar -czf $BACKUP_FILE $SOURCE_DIR
18. # 记录备份日志
19. echo "Full backup completed on $(date)" >> /var/log/backup.log
21. # 设置脚本可执行权限
22. chmod +x /usr/local/bin/fullbackup.sh
24. # 添加到定时任务
25. crontab -e
27. # 添加以下行（每周日凌晨2点执行完整备份）
28. 0 2 * * 0 /usr/local/bin/fullbackup.sh

复制代码

8. 常见问题与解决方案

在使用Rocky Linux过程中，可能会遇到一些常见问题。以下是一些常见问题及其解决方案。

8.1 网络连接问题

问题：系统无法连接到网络，无法访问互联网。

解决方案：

2. # 检查网络接口状态
3. ip addr show
5. # 如果网络接口未启用，启用它
6. ip link set eth0 up
8. # 检查网络配置
9. cat /etc/sysconfig/network-scripts/ifcfg-eth0
11. # 如果使用DHCP，确保配置正确
12. DEVICE=eth0
13. BOOTPROTO=dhcp
14. ONBOOT=yes
16. # 重启网络服务
17. systemctl restart network
19. # 检查DNS配置
20. cat /etc/resolv.conf
22. # 如果DNS配置不正确，添加DNS服务器
23. echo "nameserver 8.8.8.8" >> /etc/resolv.conf
24. echo "nameserver 8.8.4.4" >> /etc/resolv.conf
26. # 测试网络连接
27. ping -c 4 google.com

复制代码

问题：服务已启动，但无法从外部访问。

解决方案：

2. # 检查防火墙状态
3. systemctl status firewalld
5. # 查看当前开放的端口和服务
6. firewall-cmd --list-all
8. # 开放所需端口（例如80端口）
9. firewall-cmd --permanent --add-port=80/tcp
11. # 或开放服务（例如HTTP）
12. firewall-cmd --permanent --add-service=http
14. # 重新加载防火墙配置
15. firewall-cmd --reload
17. # 如果使用SELinux，检查SELinux状态
18. sestatus
20. # 如果SELinux为Enforcing模式，可能需要调整SELinux策略
21. # 例如，允许HTTP服务连接到网络
22. setsebool -P httpd_can_network_connect 1

复制代码

8.2 软件包管理问题

问题：使用DNF安装软件包时出现错误。

解决方案：

2. # 清除DNF缓存
3. dnf clean all
5. # 重建DNF缓存
6. dnf makecache
8. # 检查仓库配置
9. ls /etc/yum.repos.d/
11. # 如果仓库配置有问题，可以重新下载
12. # 例如，重新下载Rocky Linux仓库配置
13. dnf reinstall rocky-release -y
15. # 如果特定仓库有问题，可以禁用它
16. dnf config-manager --set-disabled problematic-repo
18. # 更新系统
19. dnf update -y
21. # 再次尝试安装软件包
22. dnf install package-name -y

复制代码

问题：安装软件包时出现依赖冲突。

解决方案：

2. # 查看冲突详情
3. dnf install package-name
5. # 使用--allowerasing选项允许删除冲突的软件包
6. dnf install package-name --allowerasing
8. # 或者使用--skip-broken选项跳过有问题的软件包
9. dnf update --skip-broken
11. # 如果问题仍然存在，可以尝试手动解决
12. # 查看冲突的软件包
13. dnf provides conflicting-file
15. # 删除冲突的软件包
16. dnf remove conflicting-package
18. # 再次尝试安装
19. dnf install package-name -y

复制代码

8.3 服务启动问题

问题：尝试启动服务时失败。

解决方案：

2. # 查看服务状态
3. systemctl status service-name
5. # 查看服务日志
6. journalctl -u service-name -n 100
8. # 检查服务配置文件
9. cat /etc/systemd/system/service-name.service
11. # 如果配置文件有问题，修复它
12. vi /etc/systemd/system/service-name.service
14. # 重新加载systemd配置
15. systemctl daemon-reload
17. # 再次尝试启动服务
18. systemctl start service-name
20. # 如果服务仍然无法启动，检查依赖项
21. systemctl list-dependencies service-name

复制代码

问题：服务启动后立即停止。

解决方案：

2. # 查看服务日志
3. journalctl -u service-name -f
5. # 检查服务配置文件中的Type设置
6. # 如果服务不是forking类型，确保Type设置为simple或notify
7. cat /etc/systemd/system/service-name.service | grep Type
9. # 如果服务需要特定环境，检查环境变量
10. cat /etc/systemd/system/service-name.service | grep Environment
12. # 尝试手动运行服务命令，查看错误信息
13. /usr/bin/service-command --help
15. # 根据错误信息修复问题

复制代码

8.4 磁盘空间问题

问题：系统提示磁盘空间不足。

解决方案：

2. # 查看磁盘使用情况
3. df -h
5. # 查看目录大小
6. du -sh /path/to/directory
8. # 查找大文件
9. find / -type f -size +100M -exec ls -lh {} \;
11. # 清理软件包缓存
12. dnf clean all
14. # 删除旧日志
15. journalctl --vacuum-size=100M
17. # 删除临时文件
18. rm -rf /tmp/*
20. # 清理用户缓存
21. rm -rf ~/.cache/*
23. # 如果需要，可以扩展磁盘空间
24. # 详见6.2.1和6.2.2节

复制代码

问题：磁盘空间还有剩余，但无法创建新文件。

解决方案：

2. # 查看inode使用情况
3. df -i
5. # 查找包含大量小文件的目录
6. find / -xdev -type f | cut -d "/" -f 2 | sort | uniq -c | sort -n
8. # 清理临时文件
9. find /tmp -type f -delete
11. # 清理日志文件
12. find /var/log -type f -name "*.log" -exec truncate -s 0 {} \;
14. # 清理邮件队列（如果使用邮件服务器）
15. find /var/spool/postfix/maildrop -type f -delete
17. # 如果问题仍然存在，可能需要重新格式化分区或扩展文件系统

复制代码

8.5 性能问题

问题：系统响应缓慢，负载高。

解决方案：

2. # 查看系统负载
3. uptime
5. # 查看CPU使用情况
6. top
8. # 或使用htop
9. htop
11. # 查看内存使用情况
12. free -h
14. # 查看磁盘I/O
15. iostat -x 1
17. # 查找占用CPU高的进程
18. ps aux --sort=-%cpu | head
20. # 查找占用内存高的进程
21. ps aux --sort=-%mem | head
23. # 如果是某个进程导致的问题，可以终止它
24. kill -9 PID
26. # 如果是系统配置问题，可以调整内核参数
27. # 详见7.4.1节

复制代码

问题：磁盘读写速度慢，影响系统性能。

解决方案：

2. # 测试磁盘读写速度
3. dd if=/dev/zero of=/tmp/test bs=1G count=1 oflag=direct
4. dd if=/tmp/test of=/dev/null bs=1G iflag=direct
6. # 查看磁盘I/O统计
7. iostat -x 1
9. # 检查磁盘调度器
10. cat /sys/block/sda/queue/scheduler
12. # 更改磁盘调度器（例如deadline）
13. echo deadline > /sys/block/sda/queue/scheduler
15. # 检查文件系统挂载选项
16. mount | grep sda
18. # 如果需要，可以优化挂载选项（例如noatime）
19. # 编辑/etc/fstab
20. vi /etc/fstab
22. # 添加noatime选项
23. /dev/sda1 / ext4 defaults,noatime 0 0
25. # 重新挂载文件系统
26. mount -o remount /

复制代码

9. 总结与资源推荐

Rocky Linux作为一个稳定、安全且开源的企业级操作系统，为服务器部署提供了可靠的选择。通过本教程，我们详细介绍了Rocky Linux的安装、配置、管理和优化过程，帮助新手用户轻松上手。

9.1 最佳实践总结

在使用Rocky Linux时，以下是一些最佳实践：

1. 定期更新系统：保持系统和软件包最新，以获得安全补丁和新功能。
2. 使用最小安装：只安装必要的软件包，减少攻击面。
3. 配置防火墙：使用firewalld保护系统，只开放必要的端口。
4. 启用SELinux：保持SELinux为Enforcing模式，增强系统安全性。
5. 定期备份：实施备份策略，确保数据安全。
6. 监控系统资源：使用监控工具跟踪系统性能，及时发现和解决问题。
7. 使用sudo：避免直接使用root账户，使用sudo进行特权操作。
8. 配置日志轮转：防止日志文件占用过多磁盘空间。
9. 实施安全策略：使用Fail2Ban等工具防止暴力破解攻击。
10. 文档化配置：记录系统配置和更改，便于维护和故障排除。

9.2 有用的资源

以下是一些有用的Rocky Linux资源，可以帮助你进一步学习和解决问题：

• Rocky Linux官方网站：https://rockylinux.org/
• Rocky Linux文档：https://docs.rockylinux.org/
• Rocky Linux论坛：https://forums.rockylinux.org/
• Rocky Linux邮件列表：https://lists.resf.org/
• Rocky Linux GitHub仓库：https://github.com/rocky-linux

• Reddit Rocky Linux社区：https://www.reddit.com/r/RockyLinux/
• Rocky Linux Discord服务器：https://discord.gg/rockylinux
• Rocky Linux Mattermost：https://chat.rockylinux.org/

• Linux命令行基础：https://linuxjourney.com/
• Red Hat Enterprise Linux文档：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/（由于RockyLinux与RHEL兼容，这些文档也适用）
• Linux系统管理手册：https://www.debian.org/doc/manuals/debian-reference/ch01.en.html（虽然是Debian参考，但许多概念通用）

•

2. Cockpit：Web界面系统管理工具dnf install cockpit -y
3. systemctl enable --now cockpit.socket
4. firewall-cmd --permanent --add-service=cockpit
5. firewall-cmd --reload然后通过浏览器访问https://服务器IP:9090

复制代码

•

2. Webmin：另一个Web界面系统管理工具dnf install webmin -y
3. systemctl enable --now webmin
4. firewall-cmd --permanent --add-port=10000/tcp
5. firewall-cmd --reload然后通过浏览器访问https://服务器IP:10000

复制代码

Cockpit：Web界面系统管理工具

2. dnf install cockpit -y
3. systemctl enable --now cockpit.socket
4. firewall-cmd --permanent --add-service=cockpit
5. firewall-cmd --reload

复制代码

然后通过浏览器访问https://服务器IP:9090

Webmin：另一个Web界面系统管理工具

2. dnf install webmin -y
3. systemctl enable --now webmin
4. firewall-cmd --permanent --add-port=10000/tcp
5. firewall-cmd --reload

复制代码

然后通过浏览器访问https://服务器IP:10000

9.3 结语

Rocky Linux作为一个充满活力的开源项目，正在迅速发展并赢得用户的信任。通过本教程，我们希望能够帮助你顺利部署和管理Rocky Linux服务器，并充分发挥其潜力。

随着你对Rocky Linux的深入了解，你将发现它不仅是一个稳定可靠的服务器操作系统，还是一个强大的平台，可以支持各种工作负载和应用场景。无论是Web服务器、数据库服务器、开发环境还是云基础设施，Rocky Linux都能提供出色的性能和安全性。

最后，我们鼓励你参与Rocky Linux社区，分享你的经验和知识，为这个优秀的开源项目做出贡献。无论是报告bug、编写文档、翻译内容还是开发新功能，你的贡献都将帮助Rocky Linux变得更加强大和完善。

祝你在Rocky Linux的世界中探索愉快！