RHEL 系列系统初始化方案
目标:精简系统、清理冗余文件和包,提高安全性与性能。
操作项:
- 删除非系统自带包或工具(如 aliyun_assist)
- 清理 /usr/local 目录
- 移除 桌面/GUI 组件
- 删除系统安装和升级产生的临时文件、日志文件
- 删除无效符号链接
- 清理旧内核
- 清理缓存 (dnf)
- 删除无用语言包
目标:强化系统安全,限制未授权访问。
操作项:
- 关闭 SELinux
- 关闭 防火墙(生产可选择精简规则)
- SSH 安全优化
- 禁用空密码、密码认证只允许特定用户
- 设置 MaxAuthTries
- SSH 限制 root 用户登录
- 禁用 IPv6
- 安装安全增强工具
- 配置 sudo 安全策略
- 系统账户安全
- 删除或锁定默认无用账户,如 games、lp
- 设置口令策略 /etc/security/pwquality.conf
目标:保证系统软件可用且安全。
操作项:
- 清理并设置 dnf/yum 源
- 安装第三方源,例如:EPEL
- 系统升级
- 安装常用工具(vim、wget、curl、net-tools、lsof、bash-completion、git)
- 禁用自动更新
- 配置包管理加速(缓存/镜像选择)
- 启用模块流(module streams)管理关键软件
目标:合理分配权限,保证系统安全。
操作项:
- 添加用户
- 调整资源限制(limits)
- SSH root 登录限制
目标:保证系统时间准确,防止时钟漂移。
操作项:
- 设置时区 /etc/localtime
- 配置时间同步(chrony)
- 启用硬件时钟同步
- 可选:监控时间漂移
目标:优化网络性能与内核参数。
操作项:
- 禁用 IPv6
- 精简系统服务(只保留基础服务)
- 调整内核参数 /etc/sysctl.conf
- 加载常用系统模块 /etc/modules-load.d/
- 网络安全强化:
- 禁用 IP 转发除非必要
- 开启 TCP SYN cookie
- 防止 core dump 泄露敏感信息
- 启用 BBR
目标:精简开机服务,优化日志策略。
操作项:
- 精简 systemd 服务
- 调整开机启动脚本(rc.local)
- 日志优化 (journald 日志大小限制)
- 设置 cron 任务清理缓存 / 临时文件
目标:优化挂载和性能。
操作项:
- 调整 fstab 格式(column -t)
- 挂载选项优化 (noatime, nodiratime)
- 清理临时文件
- 删除无效链接
- LVM 或磁盘分区检查
目标:保证配置规范化和备份。
操作项:
- bashrc, profile, inputrc, locale.conf, sshd_config, sysctl.conf
- rc.local
- modules-load.d/*.conf
- /etc/tmpfiles.d
- /etc/systemd/journald.conf
目标:保证可观测性和运维效率。
建议安装:
- 系统监控工具:htop, atop, glances, iotop, net-tools
- 日志收集/分析工具:rsyslog, journalctl, logrotate
- 安全审计工具:auditd, fail2ban
- 设置主机名称
初始化目标
- 精简系统,删除冗余包与文件
- 强化安全:SELinux、SSH、用户、密码策略
- 软件源管理:官方 + 第三方源 + 系统升级
- 用户与权限规范化
- 时间同步可靠
- 网络与内核优化
- 服务精简,日志优化
- 文件系统优化,挂载参数调整
- /etc 配置规范化,统一管理
- 安装监控与运维工具,提高可观测性
💡 建议落地方式:
- 按模块编写初始化脚本,每一类操作独立执行
- 每一步操作前进行检查或备份
- 可结合 ansible 或 shell 脚本实现批量初始化