Cơn đau đầu mang tên CentOS EOL
Chia sẻ thật lòng, cái ngày Red Hat thông báo khai tử CentOS 8 để chuyển sang mô hình CentOS Stream, team mình đã thực sự sốc. Lúc đó, mình đang quản lý dàn hơn 20 server chạy CentOS cho khách hàng. Cảm giác giống như bạn đang đi trên một con thuyền cực kỳ vững chãi thì bỗng nhiên thuyền trưởng bảo: “Sắp tới thuyền này chỉ để thử nghiệm thôi, ai muốn ổn định thì tự tìm chỗ khác”.
Thực tế, CentOS 7 đã chính thức hết hạn hỗ trợ (EOL) vào ngày 30/06/2024. Nếu vẫn tiếp tục vận hành hệ thống trên nền tảng này, bạn đang đối mặt với rủi ro bảo mật cực lớn. Không còn bản vá, không còn cập nhật kernel, mọi lỗ hổng 0-day sẽ biến server thành miếng mồi ngon cho hacker. Việc tìm một “bến đỗ” mới có độ tương thích 1:1 với RHEL là ưu tiên số một của dân System Admin hiện nay.
Tại sao Red Hat lại “quay xe” với CentOS?
Để hiểu tại sao chúng ta phải vất vả chuyển đổi, cần nhìn vào bản chất vấn đề. Trước đây, CentOS là bản clone hoàn hảo của RHEL (Red Hat Enterprise Linux). Tuy nhiên, Red Hat đã thay đổi chiến lược, biến CentOS thành CentOS Stream – một bản “upstream”. Đây là nơi thử nghiệm các tính năng mới trước khi đưa vào bản RHEL chính thức.
Với môi trường Production cần sự ổn định 99.99%, việc dùng một bản phân phối mang tính thử nghiệm như Stream là một canh bạc quá mạo hiểm. Đó là lý do AlmaLinux và Rocky Linux ra đời. chúng lấp đầy khoảng trống mà CentOS cũ để lại, mang đến sự yên tâm cho doanh nghiệp.
Những lựa chọn thay thế sáng giá nhất
Khi ngồi lại bàn bạc phương án chuyển đổi, team mình đã cân nhắc kỹ 3 cái tên:
- Ubuntu Server: Cộng đồng cực lớn và tài liệu phong phú. Tuy nhiên, cấu trúc file system và cách quản lý package (apt) khác hoàn toàn hệ sinh thái RHEL. Nếu chuyển sang Ubuntu, mình sẽ phải viết lại toàn bộ script automation từ đầu.
- Rocky Linux: Được sáng lập bởi chính cha đẻ của CentOS. Đây là một lựa chọn rất thuần khiết và đáng tin cậy.
- AlmaLinux: Được hậu thuẫn bởi CloudLinux và quản lý bởi một tổ chức phi lợi nhuận. Điểm mình đánh giá cao nhất ở Alma là tốc độ ra bản vá cực nhanh (thường chỉ sau RHEL vài giờ) và cam kết hỗ trợ đến năm 2032 cho bản 9.
Tại sao mình chọn AlmaLinux cho các dự án dài hơi?
Kinh nghiệm thực chiến cho thấy AlmaLinux rất nhạy bén với các lỗ hổng nghiêm trọng. Khi các lỗi kernel hay lỗ hổng Log4j xuất hiện, AlmaLinux thường tung ra bản fix gần như tức thì. Sự tương thích 1:1 với RHEL giúp mình tận dụng toàn bộ kiến thức về dnf, systemd và SELinux. Mọi thứ vận hành trơn tru như thể mình chưa từng rời xa CentOS.
Hướng dẫn cài đặt AlmaLinux 9 chi tiết
Thay vì migrate (nâng cấp trực tiếp) vốn tiềm ẩn nhiều rủi ro xung đột, mình luôn ưu tiên cài mới để hệ thống sạch sẽ nhất. Dưới đây là quy trình chuẩn cho một server sẵn sàng chạy Production.
1. Chuẩn bị ISO và tạo bộ cài
Bạn hãy truy cập trang chủ AlmaLinux để tải file ISO. Mình thường chọn bản Minimal ISO (khoảng 1.5GB) để tối ưu dung lượng, chỉ cài những gì thực sự cần thiết. Nếu có đường truyền mạnh và muốn đầy đủ công cụ, bản DVD ISO (khoảng 9GB) sẽ là lựa chọn phù hợp.
Dùng Rufus hoặc BalenaEtcher để flash ISO vào USB. Đối với anh em chạy ảo hóa như VMware hay Proxmox, chỉ cần mount trực tiếp file ISO vào máy ảo là xong.
2. Các lưu ý quan trọng khi cài đặt
Giao diện Anaconda của AlmaLinux rất quen thuộc với dân chuyên. Tuy nhiên, có 3 điểm bạn cần đặc biệt lưu ý:
- Software Selection: Với bản Minimal, hệ thống sẽ mặc định là Minimal Install. Nếu dùng bản DVD, hãy tích chọn thêm “Standard System Utilities” và “Guest Agents” nếu chạy trên máy ảo.
- Phân vùng ổ cứng (Partitioning): Mình luôn chọn Custom để kiểm soát dữ liệu tốt hơn. Công thức của mình:
/boot(1GB),/boot/efi(600MB), và/cho phần còn lại. Riêng server chứa Database lớn, hãy tách riêng/varđể tránh việc log đầy làm treo hệ thống. - Network & Hostname: Hãy bật card mạng ngay tại bước này và đặt Static IP nếu có thể.
Các bước tối ưu sau cài đặt (Post-Installation)
Cài xong hệ điều hành mới chỉ là bắt đầu. Để server thực sự an toàn và sẵn sàng làm việc, mình luôn thực hiện các bước sau.
Cập nhật hệ thống và cài Tool bổ trợ
Đừng bao giờ quên update mọi thứ lên bản mới nhất ngay khi vừa login.
sudo dnf update -y
sudo dnf install -y vim wget curl net-tools epel-releaseGói epel-release là thứ bắt buộc phải có. Nó mở cửa kho phần mềm cộng đồng, giúp bạn cài được hàng ngàn công cụ mà kho mặc định không cung cấp.
Bảo mật SSH và User
Dùng user root để SSH là thói quen cực kỳ nguy hiểm. Mình luôn tạo user riêng, cấp quyền sudo và đổi port SSH để tránh các cuộc tấn công brute-force.
# Tạo user mới
useradd admin_system
passwd admin_system
# Cấp quyền quản trị
usermod -aG wheel admin_systemTiếp theo, hãy sửa file cấu hình SSH bằng lệnh sudo vim /etc/ssh/sshd_config:
Port 2222 # Đổi từ port 22 mặc định
PermitRootLogin no # Chặn root login trực tiếpLưu lại và khởi động lại dịch vụ: sudo systemctl restart sshd.
Thiết lập Firewall (Firewalld)
Nhiều bạn có thói quen tắt Firewall cho “tiện”. Đây là sai lầm chết người. Hãy chỉ mở đúng những cổng cần dùng.
# Mở port SSH mới
sudo firewall-cmd --permanent --add-port=2222/tcp
# Mở port Web nếu cần
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# Áp dụng thay đổi
sudo firewall-cmd --reloadKinh nghiệm xương máu khi vận hành
Sau khi chuyển đổi hàng chục server, mình rút ra 3 bài học lớn:
- Đừng tắt SELinux: Nếu ứng dụng lỗi permission, hãy học cách cấu hình SELinux thay vì dùng lệnh
setenforce 0. Tắt nó đi là bạn đã gỡ bỏ một lớp giáp bảo vệ cực mạnh của Linux. - Ưu tiên DNF: Dù lệnh
yumvẫn chạy được, nhưngdnfxử lý các gói phụ thuộc thông minh hơn và quản lý bộ nhớ tốt hơn hẳn. - Luôn có file backup: Trước khi sửa bất kỳ file config nào trong
/etc, hãy copy thêm một bản.orighoặc.bak. Nó sẽ cứu bạn trong những tình huống server không thể boot.
Việc chuyển từ CentOS sang AlmaLinux 9 không hề đáng sợ. Nó giống như việc bạn đổi sang một chiếc xe đời mới cùng hãng: vô lăng, nút bấm vẫn ở vị trí cũ nhưng máy móc êm hơn và an toàn hơn nhiều. Nếu bạn đang loay hoay tìm lối thoát cho các server CentOS 7 cũ kỹ, AlmaLinux chính là câu trả lời hợp lý nhất lúc này.
