拿到操作系统以后,我们应该做什么(实操篇)

📅 2026/7/13 21:07:54
拿到操作系统以后,我们应该做什么(实操篇)
1.梳理这个操作系统基本的配置网络防火墙端口有没有处理好2.梳理该安装的软件有没有安装软件包3.梳理配置人员权限和密码4.监控这个服务器的各种资源的状态5.日常软件常见的处理和配置针对您提出的服务器运维梳理需求我整理了一份标准化的Linux服务器运维巡检与执行清单。请根据您的实际发行版CentOS/RHEL或Ubuntu/Debian执行对应命令逐一核对。1. 操作系统基础配置梳理网络、防火墙、端口检查目标确认网络连通性、防火墙策略最小化、关键端口监听正常。检查项执行命令标准/处理建议网络连通性ping -c 4 114.114.114.114ip addr(查看IP)确认外网和内网IP正确。若DNS解析慢检查/etc/resolv.conf。防火墙状态CentOS:systemctl status firewalldUbuntu:sudo ufw status若开启需放行业务端口。若未开启需评估内网安全风险云服务器建议使用安全组替代。当前监听端口ss -tulnp查看所有TCP/UDP监听端口关闭非业务端口如未使用的6379、3306。外部端口可达性telnet 公网IP 端口(从外部发起)确保Web(80/443)、SSH(22)等业务端口可达非必要端口禁止对外暴露。SELinux/AppArmorgetenforce(CentOS)aa-status(Ubuntu)若业务非必须建议设为Permissive或Disabled生产环境谨慎操作。2. 已安装软件与软件包梳理检查目标确认核心依赖已安装清理无用包保持版本一致性。检查项执行命令标准/处理建议操作系统版本cat /etc/os-release记录发行版及内核版本uname -r。已安装业务软件rpm -qa | grep -E nginx|mysql|redis(CentOS)dpkg -l | grep nginx(Ubuntu)对比部署文档确认Nginx/MySQL/Redis/PHP/Java/Tomcat等是否已安装。基础编译/运维工具检查gcc,make,vim,curl,wget,net-tools,lsof缺失则安装yum install -y net-tools vim或apt install -y curl wget。包更新策略yum check-update或apt list --upgradable生产环境不建议直接upgrade。梳理出高危漏洞包如OpenSSL评估后单独更新。包依赖完整性rpm -Va(验证完整性)若有依赖缺失业务启动会报错需及时补全。3. 配置人员权限与密码策略检查目标遵循最小权限原则杜绝弱密码和Root直接登录。检查项执行命令标准/处理建议用户列表核查cat /etc/passwd清理离职员工账号及多余系统账号如games。Sudo权限visudo或查看/etc/sudoers.d/仅授予运维人员wheel/sudo组权限禁止所有用户无密码NOPASSWD。Root登录限制检查/etc/ssh/sshd_config设置PermitRootLogin no建议改用普通用户sudo -i切换。密码有效期chage -l 用户名建议执行chage -M 90 用户名设置90天强制过期。SSH密钥登录ls ~/.ssh/authorized_keys强烈建议禁用密码登录PasswordAuthentication no仅保留密钥对登录。4. 监控服务器资源状态检查目标实时掌握资源水位提前预警潜在瓶颈。检查项执行命令标准/处理建议CPU负载top或htop(查看load average)负载值应 CPU核心数 * 0.7。若持续飙升需排查进程按P键排序。内存使用free -m关注available可用内存若10%需排查内存泄漏如Java堆栈。磁盘空间df -h根分区使用率严禁超过85%否则需清理日志或扩容。磁盘I/Oiostat -x 1查看%util若接近100%说明磁盘瓶颈需排查慢查询或换SSD。网络流量nload或iftop检查出入带宽是否占满防止DDoS或异常挖矿进程。系统日志监控journalctl -xe -p err(错误日志)若有硬件报错dmesg | grep error需立即处理。建议部署专业监控部署Node Exporter Prometheus Grafana或 云厂商自带的云监控配置告警规则CPU90%、磁盘80%。5. 日常软件常见处理与配置维护检查目标确保日志轮转、定时任务、服务自启等日常运维动作规范。检查项执行命令标准/处理建议日志轮转(Logrotate)检查/etc/logrotate.conf和/etc/logrotate.d/确认Nginx/应用日志已配置轮转如daily保留7天compress。防止日志撑爆磁盘。定时任务(Crontab)crontab -l(当前用户)cat /etc/crontab检查是否有可疑定时任务挖矿病毒常见于此。确认备份、证书续签如Let’s Encrypt定时任务正常。服务自启管理systemctl list-unit-files | grep enabled确保Nginx/MySQL/Redis等业务服务设置为enabled开机自启防止服务器重启后服务掉线。程序版本回滚准备备份当前部署目录如/opt/app每次更新前做软链接备份如/opt/app_bak_20260713确保更新失败可一键切回。临时文件清理find /tmp -type f -atime 7 -delete定期清理7天以上未访问的/tmp临时文件。内核参数优化sysctl -p查看/etc/sysctl.conf高并发场景需调整net.ipv4.tcp_tw_reuse1、net.core.somaxconn等参数。安全补丁安装yum-plugin-security或 关注Ubuntu安全公告定期如每月更新高危CVE漏洞补丁但务必先在测试环境验证。 附录巡检输出建议建议您将上述检查结果汇总成一个《服务器日常巡检报告》格式如下日期2026-07-13服务器IPxxx基础网络✅ 通 / ❌ 断防火墙开放端口22, 80, 443关键软件版本Nginx 1.24, MySQL 8.0资源水位CPU 15%, 内存 60%, 磁盘 45%异常项无 / 需处理xxx