centos定期维护如何做

CentOS定期维护清单与自动化方案

一 维护周期与核心任务

二 系统更新与补丁管理

• 检查与更新
  • 查看可用更新：sudo yum check-update（或 sudo dnf check-update）
  • 执行更新：sudo yum update（或 sudo dnf update）
  • 仅安全更新：sudo yum update --security
  • 刷新元数据缓存：sudo yum update --refresh
• 自动化更新（推荐）
  • 安装并启用 yum-cron：sudo yum install -y yum-cron && sudo systemctl enable --now yum-cron
  • 配置策略（/etc/yum/yum-cron.conf）：设置 update_cmd = update 与 apply_updates = yes，按需调整更新时段与是否下载仅、是否应用
• 变更控制
  • 更新前备份关键数据与配置；变更窗口内执行；更新后重启并验证业务状态；核对 /var/log/yum.log 了解更新结果

三 安全加固与访问控制

• 防火墙
  • 启用并配置 firewalld：sudo systemctl enable --now firewalld
  • 规则变更后重载：sudo firewall-cmd --reload
• SSH 安全
  • 修改默认端口、禁用 root 远程登录、使用 sudo、启用公钥认证并禁用密码登录
• SELinux
  • 保持 SELinux=enforcing，按需配置策略以放行必需服务
• 用户与权限
  • 实施最小权限原则，定期清理不再使用的账户与SSH密钥
• 漏洞扫描
  • 定期使用 OpenVAS 或 Nessus 扫描并整改高中危漏洞

四 日志与磁盘空间维护

• 日志轮转（logrotate）
  • 检查与手动触发：logrotate -vf /etc/logrotate.conf 或针对某服务：logrotate -vf /etc/logrotate.d/nginx
  • 自定义示例（/etc/logrotate.d/myapp）：

    /var/log/myapp/*.log {dailymissingokrotate 7compressdelaycompressnotifemptycreate 0640 root admsharedscriptspostrotate/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || trueendscript}

• systemd 日志（journald）
  • 查看占用：journalctl --disk-usage
  • 按时间清理：journalctl --vacuum-time=7d
  • 限制大小：echo “SystemMaxUse=100M” >> /etc/systemd/journald.conf && sudo systemctl restart systemd-journald
• 快速清理单个日志文件（保留 inode 与权限）
  • 推荐：truncate -s 0 /var/log/messages
  • 或：> /var/log/messages
• 按时间清理旧日志
  • 示例：find /var/log -type f -name “*.log” -mtime +30 -exec rm -f {} ;
• 容量巡检
  • 查看目录大小：du -sh /var/log/

五 备份恢复与巡检自动化

• 备份策略
  • 频率：每周全量 + 每日增量；至少1份异地备份
  • 验证：定期恢复演练与校验和核对；保留变更与恢复记录
• 时间同步
  • 使用 NTP/chrony 保持系统时间准确，避免因时间漂移影响证书、日志与审计
• 巡检脚本示例（可加入 cron）
  • 检查系统日志错误/告警：

    #!/usr/bin/env bashLOGDIR="/var/log/"logs=(boot.log messages secure)for log in "${logs[@]}"; doecho "=== $log ==="grep -iE 'fail|error|warning' "${LOGDIR}${log}"done

  • 检查磁盘使用阈值（示例阈值 80%）：

    #!/usr/bin/env bashTHRESHOLD=80usage=$(df -Ph / | awk 'NR==2 {print $5}' | tr -d '%')if [ "$usage" -gt "$THRESHOLD" ]; thenecho "WARN: Rootfs usage ${usage}% > ${THRESHOLD}%"elseecho "OK: Rootfs usage ${usage}%"fi

  • 检查关键服务状态：

    #!/usr/bin/env bashfor svc in sshd rsyslog crond nginx mysqld; doif systemctl is-active --quiet "$svc"; thenecho "$svc: running"elseecho "ERROR: $svc: stopped"fidone

• 例行检查清单
  • 资源与负载：top/htop/vmstat、I/O 与网络
  • 磁盘与 inode：df -h、df -i
  • 服务与端口：systemctl、ss -tulpen
  • 登录与安全：last -f /var/log/wtmp、/var/log/secure
  • 防火墙与 SELinux：firewall-cmd --list-all、sestatus