CentOS 配置下载：安全获取与高效部署的核心指南

对于服务器管理员和开发者而言,CentOS 的稳定性和可靠性是构建关键业务系统的基石，获取正确的安装镜像并完成基础配置，是保障后续系统健康运行的关键第一步，以下是经过实践验证的 CentOS 下载与初始配置流程：

精准定位：获取官方 CentOS 镜像

• 访问权威源头： 始终通过 CentOS 官方镜像站或可信赖的大学/机构镜像源下载，直接输入 https://www.centos.org/download/ 或 https://mirrors.centos.org 进入官网下载页面。
• 明确版本需求：
  • CentOS Stream: 适合追求前沿更新、参与社区贡献或为未来 RHEL 版本做准备的用户（当前主要为 Stream 8, 9）。
  • CentOS Linux 7： 仍被广泛使用，拥有最庞大的兼容软件库和社区支持，长期支持维护至 2024 年 6 月。
  • 历史版本： 仅在特殊兼容性需求时考虑，需自行评估安全风险。
• 选择安装媒介：
  • DVD ISO: 最常用选择，包含基础系统及大量常用软件包（约 4-10GB）。
  • Minimal ISO: 仅含启动安装程序所需最小组件，系统安装后需联网下载软件包（约 1-2GB），适合对系统纯净度要求高或带宽有限的场景。
  • Everything ISO: 包含仓库中几乎所有软件包（超 10GB），适合完全离线安装或构建本地镜像仓库。
  • NetInstall ISO: 极小镜像（几百 MB），必须全程联网安装，适合快速启动或自动化部署。

安全至上：验证镜像完整性与真实性

下载大型文件易出错,且需防范篡改风险。忽略验证是重大安全隐患。

1. 获取校验文件： 在镜像下载目录，找到同版本配套的 CHECKSUM 或 SHA256SUM 文件（通常为文本格式）。
2. 导入 GPG 公钥（首次）：

   gpg --keyserver keyserver.ubuntu.com --recv-keys 0x24C6A8A7F4A80EB5

   此命令导入 CentOS 官方签名密钥（密钥 ID 可能随版本更新，请以官网说明为准）。

3. 验证签名文件：

   gpg --verify sha256sum.txt.asc sha256sum.txt

   确认输出包含 Good signature from "CentOS (CentOS Official Signing Key) <security@centos.org>" 字样。

4. 校验 ISO 文件哈希值：

   sha256sum -c --ignore-missing sha256sum.txt

   检查输出的 ISO 文件名旁是否为 OK，或在 Windows 使用 CertUtil -hashfile yourfile.iso SHA256 手动比对哈希值。

启动安装：介质准备与引导

1. 制作启动盘：
   • Windows: 推荐使用 Rufus (DD 模式) 或 balenaEtcher。
   • Linux/macOS: 使用 dd 命令 (谨慎操作！) 或 balenaEtcher。

     sudo dd if=/path/to/CentOS-Stream-9-x86_64-latest-dvd1.iso of=/dev/sdX bs=4M status=progress oflag=sync

     (务必替换 /dev/sdX 为 U 盘实际设备名，错误操作会抹掉硬盘数据！)

2. 服务器引导：
   • 物理服务器：重启并选择从 U 盘/DVD 启动 (通常按 F12/DEL 等进入启动菜单)。
   • 虚拟机 (VMware, KVM, VirtualBox)：创建新虚拟机，挂载 ISO 文件或物理 U 盘作为启动设备。

初始配置：安装过程的核心设置

启动进入 CentOS 安装程序 (通常为图形化 Anaconda 界面)，关键配置步骤：

1. 语言与时区： 选择系统语言和对应时区 (如 Asia/Shanghai)。
2. 安装源： 默认使用加载的安装介质，如需网络安装或附加仓库，在此配置。
3. 软件选择：
   • Minimal Install: 最精简基础系统，强烈推荐服务器使用，后续可按需 dnf install 添加组件。
   • Server with GUI: 需要图形界面时选择。
   • 附加软件： 右侧勾选特定环境 (如 Compatibility Libraries, Development Tools)。
4. 磁盘分区 (至关重要)：
   • 自动分区： 新手可选，但需理解其默认布局 (通常包含 /boot, swap, )。
   • 手动分区 (高级)：
     • 推荐布局：
       • /boot： 1 GiB (标准分区，Ext4/XFS)。
       • swap： 物理内存的 1-2 倍 (内存 > 8GB 时，可等于或略小于内存；内存极大时可省略或设小值)。
       • ： 剩余大部分空间 (LVM, XFS/Ext4)。 重要提示： 强烈建议 使用 LVM，为未来扩展留足灵活性。
       • (可选)/home： 分离用户数据 (LVM)。
       • (可选)/var： 分离日志/缓存 (尤其对频繁写入的服务)。
   • 文件系统： XFS 是 CentOS 7/8/Stream 的默认和推荐选择，尤其擅长处理大文件。
5. 网络与主机名：
   • 设置易识别的主机名 (如 web-server-01)。
   • 配置网络连接 (通常启用 Ethernet 连接，DHCP 或手动设置静态 IP/网关/DNS)。
6. 安全策略：
   • 设置 Root 密码： 务必设置强密码。
   • 创建用户账户：强烈建议 创建一个具有 sudo 权限的普通管理员用户 (wheel 组)，日常使用此账户登录，减少 root 直接登录风险。
7. 开始安装： 确认配置无误后，点击开始安装，安装过程中可设置用户密码。

首次启动与基础加固

1. 接受许可证 (首次启动时)。
2. 登录： 使用创建的普通管理员用户登录。
3. 系统更新：

   sudo dnf update -y

   首次更新可能涉及大量软件包,完成后建议重启。

4. 基础安全加固：
   • 配置防火墙 (firewalld)：

     sudo systemctl enable --now firewalld
     sudo firewall-cmd --permanent --add-service=ssh # 允许 SSH
     sudo firewall-cmd --permanent --add-service=http # 允许 HTTP (Web 服务器)
     sudo firewall-cmd --permanent --add-service=https # 允许 HTTPS
     sudo firewall-cmd --reload

   • 强化 SSH：
     • 修改 /etc/ssh/sshd_config：

       Port 2222 # 修改默认端口 (可选，但建议)
       PermitRootLogin no # 禁止 root 直接 SSH 登录
       PasswordAuthentication no # 禁用密码登录，强制使用密钥 (需提前配置好密钥)

     • 重启 SSH 服务：

       sudo systemctl restart sshd

   • 安装基础工具： 如 vim, wget, curl, net-tools, tcpdump, htop 等。
   • 配置 SELinux： 理解其工作模式 (Enforcing, Permissive, Disabled)。除非明确需求并有能力管理，否则建议保持 Enforcing 状态。 它是重要的安全层。

重要提示：CentOS 项目转型

CentOS Linux 8 的传统支持已结束，CentOS Stream 成为 CentOS 项目的重心，作为 RHEL 的上游开发分支，对于追求传统 CentOS Linux 长期稳定支持的用户，社区驱动的替代项目如 Rocky Linux 和 AlmaLinux 提供了与之前 CentOS 高度兼容的选项，选择 CentOS Stream 意味着更接近开发前沿，需更主动的更新管理；选择 Rocky/Alma 则延续了类似之前 CentOS 的稳定体验。

选择哪个发行版取决于项目对稳定性、支持周期、更新策略的具体要求，清晰理解 CentOS Stream 的定位与社区替代品的存在，是当前环境下做出明智决策的基础，无论选择哪条路径，遵循安全的下载验证流程和严谨的初始配置规范，都是保障系统可靠性的核心要素。