1.梳理这个操作系统基本的配置,网络,防火墙,端口有没有处理好

2.梳理该安装的软件有没有安装,软件包,

3.梳理配置人员权限和密码

4.监控这个服务器的各种资源的状态

5.日常软件常见的处理和配置

针对您提出的服务器运维梳理需求,我整理了一份标准化的Linux服务器运维巡检与执行清单。请根据您的实际发行版(CentOS/RHEL或Ubuntu/Debian)执行对应命令,逐一核对。


1. 操作系统基础配置梳理(网络、防火墙、端口)

检查目标:确认网络连通性、防火墙策略最小化、关键端口监听正常。

检查项 执行命令 标准/处理建议
网络连通性 ping -c 4 114.114.114.114
ip addr (查看IP)
确认外网和内网IP正确。若DNS解析慢,检查 /etc/resolv.conf
防火墙状态 CentOS: systemctl status firewalld
Ubuntu: sudo ufw status
若开启,需放行业务端口。若未开启,需评估内网安全风险(云服务器建议使用安全组替代)。
当前监听端口 ss -tulnp 查看所有TCP/UDP监听端口,关闭非业务端口(如未使用的6379、3306)。
外部端口可达性 telnet <公网IP> <端口> (从外部发起) 确保Web(80/443)、SSH(22)等业务端口可达,非必要端口禁止对外暴露
SELinux/AppArmor getenforce (CentOS)
aa-status (Ubuntu)
若业务非必须,建议设为PermissiveDisabled(生产环境谨慎操作)。

2. 已安装软件与软件包梳理

检查目标:确认核心依赖已安装,清理无用包,保持版本一致性。

检查项 执行命令 标准/处理建议
操作系统版本 cat /etc/os-release 记录发行版及内核版本(uname -r)。
已安装业务软件 rpm -qa | grep -E "nginx|mysql|redis" (CentOS)
dpkg -l | grep nginx (Ubuntu)
对比部署文档,确认Nginx/MySQL/Redis/PHP/Java/Tomcat等是否已安装。
基础编译/运维工具 检查 gcc, make, vim, curl, wget, net-tools, lsof 缺失则安装yum install -y net-tools vimapt install -y curl wget
包更新策略 yum check-updateapt list --upgradable 生产环境不建议直接upgrade。梳理出高危漏洞包(如OpenSSL),评估后单独更新。
包依赖完整性 rpm -Va (验证完整性) 若有依赖缺失,业务启动会报错,需及时补全。

3. 配置人员权限与密码策略

检查目标:遵循最小权限原则,杜绝弱密码和Root直接登录。

检查项 执行命令 标准/处理建议
用户列表核查 cat /etc/passwd 清理离职员工账号及多余系统账号(如games)。
Sudo权限 visudo 或查看 /etc/sudoers.d/ 仅授予运维人员wheel/sudo组权限,禁止所有用户无密码NOPASSWD
Root登录限制 检查 /etc/ssh/sshd_config 设置 PermitRootLogin no(建议),改用普通用户+sudo -i切换。
密码有效期 chage -l <用户名> 建议执行 chage -M 90 <用户名> 设置90天强制过期。
SSH密钥登录 ls ~/.ssh/authorized_keys 强烈建议禁用密码登录PasswordAuthentication no),仅保留密钥对登录。

4. 监控服务器资源状态

检查目标:实时掌握资源水位,提前预警潜在瓶颈。

检查项 执行命令 标准/处理建议
CPU负载 tophtop (查看load average) 负载值应 < CPU核心数 * 0.7。若持续飙升,需排查进程(按P键排序)。
内存使用 free -m 关注available(可用内存),若<10%需排查内存泄漏(如Java堆栈)。
磁盘空间 df -h 根分区使用率严禁超过85%,否则需清理日志或扩容。
磁盘I/O iostat -x 1 查看%util,若接近100%说明磁盘瓶颈,需排查慢查询或换SSD。
网络流量 nloadiftop 检查出入带宽是否占满,防止DDoS或异常挖矿进程。
系统日志监控 journalctl -xe -p err (错误日志) 若有硬件报错(dmesg | grep error),需立即处理。
建议部署专业监控 部署 Node Exporter + Prometheus + Grafana 或 云厂商自带的云监控,配置告警规则(CPU>90%、磁盘>80%)。

5. 日常软件常见处理与配置维护

检查目标:确保日志轮转、定时任务、服务自启等日常运维动作规范。

检查项 执行命令 标准/处理建议
日志轮转(Logrotate) 检查 /etc/logrotate.conf/etc/logrotate.d/ 确认Nginx/应用日志已配置轮转(如daily,保留7天,compress)。防止日志撑爆磁盘
定时任务(Crontab) crontab -l (当前用户)
cat /etc/crontab
检查是否有可疑定时任务(挖矿病毒常见于此)。确认备份、证书续签(如Let’s Encrypt)定时任务正常。
服务自启管理 systemctl list-unit-files | grep enabled 确保Nginx/MySQL/Redis等业务服务设置为enabled(开机自启),防止服务器重启后服务掉线。
程序版本回滚准备 备份当前部署目录(如 /opt/app 每次更新前做软链接备份(如 /opt/app_bak_20260713),确保更新失败可一键切回。
临时文件清理 find /tmp -type f -atime +7 -delete 定期清理7天以上未访问的/tmp临时文件。
内核参数优化 sysctl -p 查看 /etc/sysctl.conf 高并发场景需调整 net.ipv4.tcp_tw_reuse=1net.core.somaxconn 等参数。
安全补丁 安装 yum-plugin-security 或 关注Ubuntu安全公告 定期(如每月)更新高危CVE漏洞补丁,但务必先在测试环境验证

📋 附录:巡检输出建议

建议您将上述检查结果汇总成一个 《服务器日常巡检报告》 ,格式如下:

  • 日期:2026-07-13
  • 服务器IP:xxx
  • 基础网络:✅ 通 / ❌ 断
  • 防火墙开放端口:22, 80, 443
  • 关键软件版本:Nginx 1.24, MySQL 8.0
  • 资源水位:CPU 15%, 内存 60%, 磁盘 45%
  • 异常项:无 / 需处理xxx
Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐