拿到操作系统以后,我们应该做什么(实操篇)
·
1.梳理这个操作系统基本的配置,网络,防火墙,端口有没有处理好
2.梳理该安装的软件有没有安装,软件包,
3.梳理配置人员权限和密码
4.监控这个服务器的各种资源的状态
5.日常软件常见的处理和配置
针对您提出的服务器运维梳理需求,我整理了一份标准化的Linux服务器运维巡检与执行清单。请根据您的实际发行版(CentOS/RHEL或Ubuntu/Debian)执行对应命令,逐一核对。
1. 操作系统基础配置梳理(网络、防火墙、端口)
检查目标:确认网络连通性、防火墙策略最小化、关键端口监听正常。
| 检查项 | 执行命令 | 标准/处理建议 |
|---|---|---|
| 网络连通性 | ping -c 4 114.114.114.114 ip addr (查看IP) |
确认外网和内网IP正确。若DNS解析慢,检查 /etc/resolv.conf。 |
| 防火墙状态 | CentOS: systemctl status firewalld Ubuntu: sudo ufw status |
若开启,需放行业务端口。若未开启,需评估内网安全风险(云服务器建议使用安全组替代)。 |
| 当前监听端口 | ss -tulnp |
查看所有TCP/UDP监听端口,关闭非业务端口(如未使用的6379、3306)。 |
| 外部端口可达性 | telnet <公网IP> <端口> (从外部发起) |
确保Web(80/443)、SSH(22)等业务端口可达,非必要端口禁止对外暴露。 |
| SELinux/AppArmor | getenforce (CentOS) aa-status (Ubuntu) |
若业务非必须,建议设为Permissive或Disabled(生产环境谨慎操作)。 |
2. 已安装软件与软件包梳理
检查目标:确认核心依赖已安装,清理无用包,保持版本一致性。
| 检查项 | 执行命令 | 标准/处理建议 |
|---|---|---|
| 操作系统版本 | cat /etc/os-release |
记录发行版及内核版本(uname -r)。 |
| 已安装业务软件 | rpm -qa | grep -E "nginx|mysql|redis" (CentOS) dpkg -l | grep nginx (Ubuntu) |
对比部署文档,确认Nginx/MySQL/Redis/PHP/Java/Tomcat等是否已安装。 |
| 基础编译/运维工具 | 检查 gcc, make, vim, curl, wget, net-tools, lsof |
缺失则安装:yum install -y net-tools vim 或 apt install -y curl wget。 |
| 包更新策略 | yum check-update 或 apt list --upgradable |
生产环境不建议直接upgrade。梳理出高危漏洞包(如OpenSSL),评估后单独更新。 |
| 包依赖完整性 | rpm -Va (验证完整性) |
若有依赖缺失,业务启动会报错,需及时补全。 |
3. 配置人员权限与密码策略
检查目标:遵循最小权限原则,杜绝弱密码和Root直接登录。
| 检查项 | 执行命令 | 标准/处理建议 |
|---|---|---|
| 用户列表核查 | cat /etc/passwd |
清理离职员工账号及多余系统账号(如games)。 |
| Sudo权限 | visudo 或查看 /etc/sudoers.d/ |
仅授予运维人员wheel/sudo组权限,禁止所有用户无密码NOPASSWD。 |
| Root登录限制 | 检查 /etc/ssh/sshd_config |
设置 PermitRootLogin no(建议),改用普通用户+sudo -i切换。 |
| 密码有效期 | chage -l <用户名> |
建议执行 chage -M 90 <用户名> 设置90天强制过期。 |
| SSH密钥登录 | ls ~/.ssh/authorized_keys |
强烈建议禁用密码登录(PasswordAuthentication no),仅保留密钥对登录。 |
4. 监控服务器资源状态
检查目标:实时掌握资源水位,提前预警潜在瓶颈。
| 检查项 | 执行命令 | 标准/处理建议 |
|---|---|---|
| CPU负载 | top 或 htop (查看load average) |
负载值应 < CPU核心数 * 0.7。若持续飙升,需排查进程(按P键排序)。 |
| 内存使用 | free -m |
关注available(可用内存),若<10%需排查内存泄漏(如Java堆栈)。 |
| 磁盘空间 | df -h |
根分区使用率严禁超过85%,否则需清理日志或扩容。 |
| 磁盘I/O | iostat -x 1 |
查看%util,若接近100%说明磁盘瓶颈,需排查慢查询或换SSD。 |
| 网络流量 | nload 或 iftop |
检查出入带宽是否占满,防止DDoS或异常挖矿进程。 |
| 系统日志监控 | journalctl -xe -p err (错误日志) |
若有硬件报错(dmesg | grep error),需立即处理。 |
| 建议部署专业监控 | 部署 Node Exporter + Prometheus + Grafana 或 云厂商自带的云监控,配置告警规则(CPU>90%、磁盘>80%)。 |
5. 日常软件常见处理与配置维护
检查目标:确保日志轮转、定时任务、服务自启等日常运维动作规范。
| 检查项 | 执行命令 | 标准/处理建议 |
|---|---|---|
| 日志轮转(Logrotate) | 检查 /etc/logrotate.conf 和 /etc/logrotate.d/ |
确认Nginx/应用日志已配置轮转(如daily,保留7天,compress)。防止日志撑爆磁盘。 |
| 定时任务(Crontab) | crontab -l (当前用户) cat /etc/crontab |
检查是否有可疑定时任务(挖矿病毒常见于此)。确认备份、证书续签(如Let’s Encrypt)定时任务正常。 |
| 服务自启管理 | systemctl list-unit-files | grep enabled |
确保Nginx/MySQL/Redis等业务服务设置为enabled(开机自启),防止服务器重启后服务掉线。 |
| 程序版本回滚准备 | 备份当前部署目录(如 /opt/app) |
每次更新前做软链接备份(如 /opt/app_bak_20260713),确保更新失败可一键切回。 |
| 临时文件清理 | find /tmp -type f -atime +7 -delete |
定期清理7天以上未访问的/tmp临时文件。 |
| 内核参数优化 | sysctl -p 查看 /etc/sysctl.conf |
高并发场景需调整 net.ipv4.tcp_tw_reuse=1、net.core.somaxconn 等参数。 |
| 安全补丁 | 安装 yum-plugin-security 或 关注Ubuntu安全公告 |
定期(如每月)更新高危CVE漏洞补丁,但务必先在测试环境验证。 |
📋 附录:巡检输出建议
建议您将上述检查结果汇总成一个 《服务器日常巡检报告》 ,格式如下:
- 日期:2026-07-13
- 服务器IP:xxx
- 基础网络:✅ 通 / ❌ 断
- 防火墙开放端口:22, 80, 443
- 关键软件版本:Nginx 1.24, MySQL 8.0
- 资源水位:CPU 15%, 内存 60%, 磁盘 45%
- 异常项:无 / 需处理xxx
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐

所有评论(0)