CentOS如何进行系统更新和维护

CentOS系统更新与维护实操指南

一 更新与升级

• 更新前准备
  • 备份关键数据与配置文件，选择业务低峰时段执行，必要时先在测试环境验证。
• 检查与执行更新
  • 检查可用更新：sudo yum check-update（或 sudo dnf check-update）。
  • 更新全部软件包：sudo yum update（或 sudo dnf update）。
  • 仅更新安全补丁：sudo yum update --security。
  • 更新单个软件包：sudo yum update <package_name>。
• 仓库与扩展源
  • 启用 EPEL 以获取更多软件：sudo yum install epel-release。
• 重启与内核
  • 更新完成后如涉及内核或关键组件，重启：sudo reboot。
  • 单独更新内核：sudo yum install kernel（随后重启）。

二 自动化与安全加固

• 自动更新
  • 安装并启用 yum-cron：sudo yum install yum-cron && sudo systemctl enable --now yum-cron。
  • 配置策略（/etc/yum/yum-cron.conf）：设置 update_cmd = update 与 apply_updates = yes 以自动应用更新。
• 防火墙
  • 启动并持久化规则：sudo systemctl start firewalld && sudo firewall-cmd --reload。
  • 按需放行端口/服务（示例）：sudo firewall-cmd --permanent --add-service=http && sudo firewall-cmd --reload。
• SELinux
  • 查看状态：sestatus；保持 Enforcing 模式，必要时调整策略以兼容业务。
• SSH 安全
  • 建议更改默认端口、禁用 root 远程登录、启用公钥认证，操作前保留一个可回退的会话。
• 密码与账户
  • 设置强密码策略（如安装 libpwquality 并配置 /etc/security/pwquality.conf），定期更换密码并清理不必要的账户。

三 日常维护与清理

• 缓存与仓库元数据
  • 清理缓存释放空间：sudo yum clean all（或 sudo dnf clean all）。
• 旧内核与依赖
  • 列出已安装内核：rpm -q kernel；删除不再需要的旧内核：sudo yum remove kernel-。
  • 移除无用依赖：sudo yum autoremove。
• 日志与磁盘
  • 查看磁盘使用：df -h；查看系统日志：sudo tail -f /var/log/messages /var/log/secure。
  • 清理 systemd 日志：sudo journalctl --vacuum-time=2weeks。
  • 清理临时文件：sudo rm -rf /tmp/ /var/tmp/*（谨慎操作）*。

四 备份与变更管理

• 备份策略
  • 建议至少每周一次全量备份、每日增量备份，并进行异地备份；关键业务采用应用一致性备份方案。
• 变更与审计
  • 维护变更日志，记录更新、配置与回滚方案；定期（如每年）进行安全审计与性能评估。
• 监控与日志
  • 监控资源使用（如 top/htop/vmstat），并对关键日志进行集中收集与轮转，便于快速定位问题。

五 版本升级与注意事项

• 跨小版本或同系列升级
  • 使用发行版同步：sudo yum distro-sync；或更新发行包：sudo yum update centos-release-<new_version>。
• 升级前务必
  • 完整备份、在测试环境验证、规划回滚方案，并安排维护窗口与业务通知。
• 版本差异提示
  • CentOS 8 及更高版本默认使用 DNF，命令与 YUM 类似；CentOS 7 以 YUM 为主。
• 风险提示
  • 更新与清理操作可能影响业务连续性，生产环境请谨慎执行并准备回滚手段。