AlmaLinux 9.6 基础环境配置全攻略：从yum源优化到SSH安全加固

1. AlmaLinux 9.6 环境初始化实战刚装好的AlmaLinux 9.6系统就像毛坯房得先做好基础装修才能住得舒服。作为CentOS的完美替代品AlmaLinux继承了RHEL系的稳定基因但默认配置往往需要根据实际需求调整。下面我就用自己趟过坑的经验带你一步步打造高效安全的实验环境。先说说我的测试环境AlmaLinux 9.6内核5.14.0-570运行在VMware Workstation 17上。建议至少分配2核CPU、4GB内存和50GB存储空间。特别提醒如果你和我一样有强迫症看到ens开头的网卡名就难受接下来的操作会让你倍感舒适。2. 网络配置优化2.1 网卡命名规则改造现代Linux系统默认使用基于硬件的网卡命名如ens160但老派运维更习惯传统的eth0风格。修改前先用ip a确认当前网卡名称通常第一个网卡是ens32或ens160。# 永久修改网卡命名规则 vi /etc/default/grub # 在GRUB_CMDLINE_LINUX参数追加 net.ifnames0 biosdevname0更新GRUB配置后别急着重启AlmaLinux 9有个新坑——必须手动绑定网卡MAC到udev规则grub2-mkconfig -o /boot/grub2/grub.cfg # 获取网卡MAC地址 MAC$(ip a show dev ens32 | grep link/ether | awk {print $2}) echo SUBSYSTEM\net\, ACTION\add\, ATTR{address}\$MAC\, NAME\eth0\ /etc/udev/rules.d/70-my-net.rules接着同步更新NetworkManager配置nmcli con mod ens32 connection.interface-name eth0 nmcli con mod ens32 connection.id eth0 mv /etc/NetworkManager/system-connections/ens32.nmconnection /etc/NetworkManager/system-connections/eth0.nmconnection systemctl restart NetworkManager注意虚拟机克隆时会导致MAC变化需要重新执行上述udev规则配置。建议在拍摄快照前先恢复默认网卡名克隆后再统一修改。2.2 国内源加速配置默认的国外yum源速度堪忧换成阿里云镜像能提速10倍不止。先备份原始repo文件mkdir -p /etc/yum.repos.d/backup cp /etc/yum.repos.d/almalinux-*.repo /etc/yum.repos.d/backup/用sed批量替换镜像地址sed -i.bak \ -e s|^mirrorlist|#mirrorlist|g \ -e s|^#baseurlhttps://repo.almalinux.org|baseurlhttps://mirrors.aliyun.com/almalinux|g \ /etc/yum.repos.d/almalinux-*.repoEPEL源配置有讲究要特别注意openh264仓库的特殊处理yum install epel-release -y sed -i \ -e s|^metalink|#metalink|g \ -e s|^#baseurlhttps://download.example/pub|baseurlhttps://mirrors.aliyun.com/epel|g \ /etc/yum.repos.d/epel*.repo # 处理openh264仓库冲突 mv /etc/yum.repos.d/epel-cisco-openh264.repo /etc/yum.repos.d/epel-cisco-openh264.repo.disabledDocker CE源建议使用中科大镜像兼容性更好yum install -y yum-utils yum-config-manager --add-repo https://mirrors.ustc.edu.cn/docker-ce/linux/centos/docker-ce.repo最后清理并重建缓存yum clean all yum makecache3. 必备软件全家桶基础环境搭好后推荐安装这些效率工具开发工具组development包含gcc/make等编译工具链运维神器vim-enhanced带语法高亮、bash-completion命令补全、net-toolsifconfig等传统命令诊断工具sysstat性能监控、tcpdump抓包、lsof进程文件分析实用工具tree目录树、unzip压缩包、telnet网络测试一键安装命令yum groupinstall -y Development Tools yum install -y vim-enhanced bash-completion net-tools sysstat tcpdump lsof tree unzip telnet对于Python环境建议使用模块化安装yum module install -y python39 alternatives --set python /usr/bin/python3.94. 安全加固策略4.1 防火墙精细配置虽然测试环境可以关闭防火墙但生产环境建议保留并精确放行端口。Firewalld的zone概念很实用# 查看默认zone firewall-cmd --get-default-zone # 永久放行SSH端口 firewall-cmd --permanent --add-port10000/tcp # 重载配置 firewall-cmd --reload4.2 SSH安全加固修改默认22端口是基本操作但还有更多安全措施# 生成高强度Diffie-Hellman参数 openssl dhparam -out /etc/ssh/dhparams.pem 2048编辑/etc/ssh/sshd_config关键参数Port 10000 PermitRootLogin no PubkeyAuthentication yes PasswordAuthentication no UseDNS no GSSAPIAuthentication no KexAlgorithms curve25519-sha256libssh.org Ciphers chacha20-poly1305openssh.com,aes256-gcmopenssh.com MACs hmac-sha2-512-etmopenssh.com HostKeyAlgorithms ssh-ed25519,rsa-sha2-5124.3 密钥对认证实战生成ED25519密钥比RSA更安全ssh-keygen -t ed25519 -a 100 -f ~/.ssh/almalinux_key部署公钥时要确保权限正确cat ~/.ssh/almalinux_key.pub ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys chmod 700 ~/.ssh5. 系统快照与克隆技巧VMware快照不是简单点按钮就行要注意快照前清理缓存sync; echo 3 /proc/sys/vm/drop_caches关闭所有服务systemctl stop docker nginx mysql使用完整克隆而非链接克隆避免依赖问题克隆后必做操作# 清除机器ID echo /etc/machine-id # 重建SSH主机密钥 rm -f /etc/ssh/ssh_host_* ssh-keygen -A最后给个实用建议用Ansible批量初始化多台主机。准备好playbook后新建主机只需运行ansible-playbook -i new_hosts, init_env.yml