Linux 运维规范
账号与权限管理
Linux 系统的安全基础在于严格的账号与权限控制,运维人员需遵循最小权限原则,避免使用 root 账号进行日常操作,普通账号应通过 useradd 命令创建,并设置强密码(至少包含12位,组合大小写字母、数字及特殊字符),关键系统账号(如 oracle、mysql)需禁用直接登录,并通过 sudo 授权执行特定命令。
权限分配需通过角色划分,开发组仅拥有 /home/project 目录的读写权限,运维组负责系统配置文件修改。sudo 配置文件 /etc/sudoers 应使用 visudo 编辑,避免语法错误,定期审计账号权限,每季度清理闲置账号(超过90天未登录)及离职人员账号,权限变更需经审批并记录归档。
系统安全配置
系统安全是运维的核心任务之一,首次安装 Linux 后,需关闭不必要的服务(如 telnet、rsh),启用防火墙(如 firewalld 或 iptables),仅开放必要端口(如SSH默认22端口,生产环境建议修改为非标准端口),系统补丁需及时更新,可通过 yum update -y(CentOS)或 apt upgrade -y(Ubuntu)批量升级,重要更新前需在测试环境验证。
登录安全需强化:禁止root远程登录,修改SSH配置文件 /etc/ssh/sshd_config,设置 PermitRootLogin no 和 PasswordAuthentication no,采用密钥认证,定期检查登录日志 /var/log/secure,发现异常IP立即封禁,敏感文件(如 /etc/shadow)权限应设置为 600,重要目录(如 /etc)权限设置为 755。
日常运维操作规范
日常操作需标准化,避免人为失误,服务器操作前需备份关键数据,配置文件修改前通过 cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak 备份,并记录变更内容,批量操作(如重启服务、更新软件)应在业务低峰期执行,并通过 tmux 或 screen 保持会话,避免意外中断。
日志管理是运维重点:系统日志(/var/log/messages)、应用日志(如Nginx的 /var/log/nginx/access.log)需统一收集至ELK(Elasticsearch、Logstash、Kibana)或Splunk平台,保留至少30天,日志分析需关注错误率、响应时间等关键指标,设置阈值告警(如CPU使用率超过80%、磁盘空间不足20%)。
备份与灾难恢复
数据备份是业务连续性的保障,需制定备份策略:全量备份每周执行一次,增量备份每日执行一次,备份数据需加密存储并异地保存(如上传至OSS或异地服务器),重要数据(如数据库、配置文件)需采用“3-2-1”原则(3份副本、2种介质、1份异地)。
灾难恢复需定期演练:每半年模拟一次系统崩溃场景,测试从备份恢复的流程,记录恢复时间目标(RTO)和恢复点目标(RPO),备份脚本需加入校验机制,md5sum 验证文件完整性,避免备份失效。
文档与协作规范
完善的文档是团队协作的基础,服务器需建立资产清单,记录IP、配置、用途及负责人,使用表格管理如下:
| 服务器IP | 配置 | 用途 | 负责人 |
|---|---|---|---|
| 168.1.10 | 8核16G | Web应用 | 张三 |
| 168.1.20 | 16核32G | 数据库 | 李四 |
操作手册需包含常见问题处理流程(如服务无法启动、磁盘空间不足),变更管理需遵循“申请-审批-执行-验证”流程,所有操作记录需存储至版本控制系统(如Git),便于追溯。
监控与性能优化
系统监控需实时化,使用Zabbix、Prometheus+Grafana等工具采集指标,监控项包括CPU、内存、磁盘I/O、网络流量及应用状态,性能优化需针对性进行:高负载服务器可通过调整内核参数(如 vm.swappiness=10)优化内存使用,数据库服务器可优化索引和查询语句,Web服务器可通过Nginx负载均衡分流。
定期进行性能分析,使用 top、iotop、free 等命令排查瓶颈,避免资源耗尽导致业务中断。
Linux 运维规范的核心是“安全、稳定、高效”,通过严格的账号管理、系统加固、标准化操作及完善的监控备份体系,可有效降低运维风险,保障业务连续性,运维人员需持续学习新技术,结合最佳实践不断优化规范,适应企业发展的需求。
