CentOS Stream 8的更新与维护流程

CentOS Stream 8 更新与维护流程

一 支持状态与总体建议

• CentOS Stream 8 为滚动发布版本，官方已于 2024-05-31 之后停止更新与维护。仍在运行该版本的系统应尽快规划迁移至 CentOS Stream 9 或其他 RHEL 兼容的 LTS 发行版（如 AlmaLinux 8/9、Rocky Linux 8/9），以获得持续的安全修复与稳定支持。若短期内无法迁移，务必加强变更管控与风险隔离，仅从可信源更新，并缩短补丁周期。

二 日常更新与补丁管理

• 基本更新与重启
  • 检查可更新包：sudo dnf check-update
  • 执行全系统更新：sudo dnf update -y
  • 清理缓存：sudo dnf clean all
  • 重启（如内核或关键组件更新）：sudo reboot
• 安全补丁基线筛选
  • 仅查看高优先级安全/缺陷修复：sudo dnf check-update --security --bugfix --secseverity=Critical,Important
  • 仅查看安全更新：sudo dnf check-update --security
  • 安装筛选后的补丁：sudo dnf update（必要时再重启）
• 内核与关键组件
  • 如仅需升级内核：sudo dnf upgrade kernel
  • 内核更新后需重启方可生效
• 自动化与定时
  • 安装并启用自动更新服务（yum-cron）：编辑 /etc/yum/yum-cron.conf，设置 enabled=1、daily_updates=1、update_cmd=distro-sync，然后 sudo systemctl enable --now yum-cron
• 变更管控要点
  • 变更前备份数据与配置；先在测试环境验证；更新后核对关键服务状态与监听端口；必要时回滚（如保留快照/使用 Btrfs 快照、或基于 LVM 快照）。

三 仓库与软件源管理

• 添加 EPEL 仓库（常用附加软件）：sudo dnf install epel-release
• 自定义仓库示例（/etc/yum.repos.d/custom/custom.repo）
  • 示例内容：

    [custom-repo]
    name=Custom Repository
    baseurl=http://your-repo-url/centos/$releasever/$basearch/os/
    enabled=1
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-your-key
    

  • 导入 GPG 密钥：sudo rpm --import /path/to/your-key.gpg
  • 刷新并验证：sudo dnf clean all && sudo dnf makecache
• 仓库优先级（可选）：sudo dnf config-manager --set-enabled custom-repo；sudo dnf config-manager --set-disabled other-repo
• 安全建议：仅启用可信官方与必要第三方源，避免混用来源导致依赖冲突与不可控升级。

四 升级路径与迁移建议

• 从 CentOS Linux 8 切换至 CentOS Stream 8（历史步骤，供参考）
  • 备份数据；安装 Stream 仓库：sudo dnf install centos-release-stream
  • 切换仓库并同步：sudo dnf swap centos-{linux,stream}-repos && sudo dnf distro-sync
  • 重启并验证：cat /etc/redhat-release 应显示 CentOS Stream release 8.x
• 当前更可行的路线
  • 鉴于 Stream 8 已停止维护，建议直接规划迁移至 CentOS Stream 9 或 AlmaLinux/Rocky Linux 8/9 等 LTS 兼容发行版，以获得持续安全更新与更可预期的生命周期支持。

五 安全加固与运维要点

• 账户与权限
  • 清理冗余/共享 root 权限账户；仅对必要人员授予 sudo；强制使用包含大小写字母、数字与特殊字符且长度不少于 10 位的复杂密码
• 防火墙与服务
  • 使用 firewalld 仅开放必要端口（如 SSH/HTTP/HTTPS）；关闭蓝牙、打印等非必要服务
• 日志与审计
  • 集中审计 /var/log/secure 等关键日志，监控异常登录与提权行为
• 内核与网络参数
  • 通过 /etc/sysctl.conf 调整防护参数（如限制 SYN 洪水 等），并定期评估内核更新
• 运行环境
  • 滚动版本稳定性通常低于 LTS，生产环境优先选择 AlmaLinux、Ubuntu LTS 等长期支持系统；对关键业务采用灰度/蓝绿发布与回滚预案。