centos minimal系统更新指南

CentOS Minimal 系统更新指南

一 更新前准备

• 备份关键数据与配置：如 /etc、/var/lib、数据库数据目录、应用配置等，建议使用 rsync 或快照功能。
• 确保网络连通：最小化系统默认已安装 SSH，可直接通过 ssh 登录操作；如需远程桌面，请另行安装并加固。
• 检查磁盘与空间：执行 df -h、free -m，确保 /var 与 /boot 有足够空间（内核与 initramfs 更新会占用空间）。
• 选择维护窗口与变更记录：在可回退的时间段执行，并记录变更步骤与命令输出，便于审计与回滚。

二 执行系统更新

• 连接终端并以 root 或具备 sudo 权限的用户登录。
• 更新元数据缓存并全量升级：
  • 命令：yum makecache && yum update -y
  • 说明：升级完成后建议重启以加载新内核：reboot
• 清理无用依赖与缓存：
  • 命令：yum autoremove -y && yum clean all
• 可选 升级策略说明：
  • yum update：常规安全与功能更新，保留现有内核版本（除非有新内核包被安装）。
  • yum upgrade：在部分环境中等同于 update；若仓库提供 yum-plugin-upgrade-helper，可用于跨小版本升级场景（请先在测试环境验证）。
• 最小化系统常用增强（便于后续维护）：
  • 命令：yum install -y bash-completion vim net-tools wget
  • 说明：提供命令补全、常用网络工具与编辑器，提升可运维性。

三 更新后验证与回滚

• 验证版本与内核：
  • 命令：uname -r、cat /etc/redhat-release
  • 说明：确认已加载新内核或系统版本号符合预期。
• 检查服务状态与日志：
  • 命令：systemctl list-units --failed、journalctl -xe
  • 说明：如有失败单元，优先排查相关服务与依赖。
• 回滚思路（如更新异常）：
  • 重启并在 GRUB 菜单选择旧内核启动；
  • 卸载问题包：yum remove ；
  • 使用 yum history 查看与回滚事务：yum history list、yum history undo ；
  • 仍异常时从备份恢复关键数据与配置。

四 安全与加固建议

• 保持持续更新：定期执行 yum update -y，及时修补安全漏洞。
• 启用并最小化防火墙：
  • 启动：systemctl enable --now firewalld
  • 仅开放必要端口（示例）：firewall-cmd --zone=public --add-port=22/tcp --permanent && firewall-cmd --reload
• 禁用不必要服务与端口：如 telnet、未使用的数据库/缓存端口等，降低攻击面。
• 强化认证与访问控制：
  • 使用强口令策略，限制 root 直接登录，使用 sudo 授权；
  • 仅允许特定用户使用 su：usermod -G wheel ，并在 /etc/pam.d/su 中限制 su 使用组。
• 会话与登录安全：
  • 设置 root 自动注销：echo “export TMOUT=300” >> /etc/profile && source /etc/profile
  • 禁止 Ctrl+Alt+Del 硬重启（如仍在 inittab 管理的系统）：编辑 /etc/inittab 注释相关行。