需系统掌握麒麟OS服务器版从最小化安装、网络与SSH配置、SELinux及防火墙加固、systemd服务管理到rsyslog日志集中采集与轮转的完整运维链。
如果您正在部署麒麟操作系统(kylinos)服务器版,并计划将其投入生产环境运行,则需系统掌握从初始安装、基础配置到日常运维的完整操作链。以下是覆盖该过程的关键环节:
一、系统部署与最小化安装
麒麟OS服务器版支持多种安装方式,推荐采用最小化安装以减少攻击面并提升后续配置可控性。安装过程中应避免默认启用非必要服务,确保系统初始状态精简可靠。
1、准备U盘启动介质,使用KylinOS官方ISO镜像刻录工具(如Rufus或dd命令)制作可引导U盘。
2、BIOS中设置U盘为第一启动项,重启后进入KylinOS图形化安装向导。
3、在“安装类型”页面选择最小化安装,取消勾选“桌面环境”“办公套件”等非服务器必需组件。
4、分区时建议单独划分/boot、/home和/var/log挂载点,便于日志隔离与系统维护。
二、网络与SSH基础配置
服务器上线前必须确保稳定网络连通性及安全远程访问能力。KylinOS默认启用NetworkManager,但生产环境建议切换至systemd-networkd以增强稳定性。
1、执行sudo systemctl disable NetworkManager && sudo systemctl enable systemd-networkd停用NetworkManager并启用networkd。
2、在/etc/systemd/network/20-eth0.network中配置静态IP,内容包含[Match]、[Network]和[Address]三段,其中Address字段值设为192.168.10.50/24(按实际规划调整)。
3、编辑/etc/ssh/sshd_config,将Port修改为2222,将PermitRootLogin设为no,并添加AllowUsers指定授权账户。
4、运行sudo systemctl restart systemd-networkd sshd使配置生效,验证SSH端口监听状态及非root用户登录能力。
三、安全加固:SELinux与防火墙策略
KylinOS内核集成SELinux强制访问控制机制,配合firewalld可构建多层防御体系。默认策略为permissive模式,需根据业务需求切换至enforcing并加载定制策略模块。
1、检查当前SELinux状态:sestatus,确认Current mode为permissive。
2、临时启用强制模式:sudo setenforce 1;永久生效需修改/etc/selinux/config中SELINUX=字段为enforcing。
3、配置firewalld仅开放必要端口:执行sudo firewall-cmd --permanent --remove-service=cockpit关闭Web管理界面,再执行sudo firewall-cmd --permanent --add-port=2222/tcp显式放行自定义SSH端口。
4、加载规则并重载:运行sudo firewall-cmd --reload,随后验证sudo firewall-cmd --list-all输出中仅含预期服务与端口。
四、系统服务管理与开机自启控制
麒麟OS服务器版基于systemd架构,所有服务均通过unit文件定义。生产环境中需严格审查服务依赖关系与启动时机,禁用非核心服务以缩短启动时间并降低资源占用。
1、列出所有已启用服务:systemctl list-unit-files --state=enabled,识别出kylin-update、avahi-daemon等非必需项。
2、禁用非关键服务:sudo systemctl disable kylin-update avahi-daemon bluetooth ModemManager。
3、对关键服务如nginx、postgresql设置启动超时限制,在对应unit文件的[Service]段添加TimeoutStartSec=30,防止异常阻塞。
4、验证服务状态一致性:sudo systemctl daemon-reload && sudo systemctl list-dependencies --reverse multi-user.target,确认无意外依赖链。
五、日志集中采集与轮转配置
服务器长期运行需保障日志可追溯性与磁盘空间可控性。KylinOS默认使用journald,但生产环境建议启用rsyslog进行结构化落盘,并配置logrotate实现自动归档。
1、启用rsyslog服务:sudo systemctl enable rsyslog && sudo systemctl start rsyslog,确保其优先级高于journald。
2、在/etc/rsyslog.d/50-kylin-server.conf中定义日志路径,例如将authpriv日志写入/var/log/secure,将daemon日志写入/var/log/daemon.log。
3、编辑/etc/logrotate.d/rsyslog,设置weekly轮转、rotate 12保留周期、compress压缩选项,并添加sharedscripts确保postrotate脚本仅执行一次。
4、手动触发测试:sudo logrotate -d /etc/logrotate.conf查看调试输出,确认无语法错误且目标路径可写。
