1、openSUSE MicroOS简介

OpenSUSE MicroOS 适用于单一用途的服务器应用。
https://get.opensuse.org/microos/?type=server

OpenSUSE MicroOS是一个不可变的 Linux 发行版。
MicroOS 则利用 Btrfs 的快照等特性来实现事务性和原子性。

https://imbearchild.cyou/archives/2022/09/fedora-kinoite-and-opensuse-microos/

大白话就是：
不要在这个服务器上装了mysql又在上面nginx，最好只跑一个服务，不然这个Linux的变更方式会让你摸不着头脑。
如果只跑一个服务，变更和回滚非常好用，强烈安利。

简单来讲，不可变的Linux发行版会有一个大体只读的根分区。
/etc、 /var、/home 等路径依然可写，
但是 /usr、/lib 是只读挂载。

openSUSE MicroOS 基于tumbleweed(风滚草)版本，是一个滚动更新版。
这个版本的不可变及回滚特性，非常适合服务器。

安装时可能遇到的问题

安装时，先按下F4，选择DVD，才能正常安装.

文章中演示的版本为

2、ssh登录

SLE默认不能以root登录,没有/etc/ssh/sshd_config 文件;

需要新建一个普通账户登录SLE服务器，然后提权到root

# 创建ops用户
useradd ops# 为ops设置密码
passwd ops# 使用ops用户登录sle服务器
ssh ops@sle服务器ip# 提权到ops
sudo -i

3、openSUSE MicroOS配置国内软件源

官方软件源地址：https://zh.opensuse.org

openSUSE MicroOS的源是基于tumbleweed的

# 创建备份软件源 目录
mkdir -p /etc/zypp/repos.d/bak# 备份软件源
mv /etc/zypp/repos.d/*.repo /etc/zypp/repos.d/bak# OSS 更新仓库,用于获取开源软件的安全更新和补丁
sudo zypper ar -cf https://mirrors.ustc.edu.cn/opensuse/tumbleweed/repo/oss/ repo-oss# 添加非开源仓库（Non-OSS）
sudo zypper ar -cf https://mirrors.ustc.edu.cn/opensuse/tumbleweed/repo/non-oss/ repo-non-oss# 添加 SUSE Linux Enterprise (SLE) 的更新仓库
## 阿里只保存了sle的5.5
# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/update/leap-micro/5.5/sle leap-micro
# sudo zypper ar -fc https://mirrors.aliyun.com/opensuse/update/leap-micro/$releasever/sle `leap-micro SUSE Linux Enterprise`# 查看源文件
ls /etc/zypp/repos.d/

#刷新软件包源
zypper ref#查看软件源
zypper ls

4、系统变更

文档参考地址： SUSE Documentation

openSUSE MicroOS是不可变服务器，每安装一次软件都是一次变更，变更完成后， /usr、/lib 登录目录都会变成只读。保证了系统的原子性。

openSUSE MicroOS安装软件包

SLE Micro引入了事务性更新，允许您对根文件系统应用一项或多项更改;

使用transactional-update shell 安装多个软件包，对文件系统的更改并使用该exit命令离开shell后，需要重新启动主机以应用更改.

简单来讲：

就是在每次安装软件时，会自动给系统做快照；

重启操作系统后才能运行新安装的软件.

# 搜索软件
zypper se 包名

方法1：进入事务性更新模式安装软件包

注意： 要一次性把需要的所有软件安装上。

不进入事务性更新模式是不能安装软件包的。

# 进入事务性更新 shell（用于在不影响当前系统的情况下进行软件包修改）
transactional-update shell# 安装软件包
zypper in -y pkg1# 退出事务性更新 shell，提交更改
exit# 重启系统以应用更改
reboot

方法2：继续快照id基于这个快照进行增量安装

transactional-update --continue 可以进行多项更改而无需重新启动,每次运行时都会创建一个单独的快照，其中包含上一个快照的所有更改以及您的新更改,需要重新启动主机以应用更改

# 查询快照id
snapper list# 继续上一个事务 ID 为 12 的操作，并安装 package_2
# --continue <ID> 表示继续之前快照的上下文环境，创建一个新的快照
transactional-update --continue 12 pkg ins package_2# 重启系统以应用所有通过 transactional-update 安装或更新的内容
reboot# 启动服务
systemctl enable --now cockpit.socket

方法3：transactional-update pkg ins

# 使用 transactional-update 安装 package_1 软件包
# 这会创建一个新的系统快照，并在其中安装该软件包
transactional-update pkg ins patterns-microos-cockpit cockpit-ws cockpit-tukit

第一次变更

一次性把需要的软件安装齐全；每次安装的软件不一样，就是不同的镜像

# 进入事务性更新 shell（用于在不影响当前系统的情况下进行软件包修改）
transactional-update shell# 安装网络工具
zypper in -y mosh telnet net-tools wget rsync tcpdump iperf bind-utils# 退出事务性更新 shell，提交更改
exit# 重启系统以应用更改
reboot

第二次变更

第二次安装软件包时，第一次的所有软件包就会失效，又变回未安装软件包状态。

所以，如果要增加软件包，要在第一次软件包的基础上追加软件包。

# 进入事务性更新 shell（用于在不影响当前系统的情况下进行软件包修改）
transactional-update shell# 更新系统到最新
zypper dup# 安装网络工具
zypper in -y mosh telnet net-tools wget rsync tcpdump iperf bind-utils########### 追加的软件部分################ 安装常用工具
zypper in -y htop mlocate bash-completion git vim lrzsz tree screen socat lsof qrencode proxychains-ng traceroute jq sysstat# 性能自动优化
zypper in -y tuned tuned-utils tuned-utils-systemtap# openSUSE使用zypper来管理软件包--非虚拟机不装
zypper in -y open-vm-tools# ssh防护
zypper in -y fail2ban ipset trash-cli# 选装
zypper in -y wireguard-tools lsb-release# 安装glibc-i18ndata包
## glibc-i18ndata 国际化语言数据库
zypper in -y glibc-i18ndata glibc-locale glibc-locale-base## wqy-zenhei-fonts wqy-bitmap-fonts wqy-microhei-fonts 安装文泉驿正黑字体
zypper in -y wqy-zenhei-fonts wqy-bitmap-fonts wqy-microhei-fonts# 退出事务性更新 shell，提交更改
exit# 重启系统以应用更改
reboot

5、openSUSE MicroOS配置静态ip

SLE Micrio通过NetworkManager配置网络,使用nmcli命令行进行网络配置

https://blog.csdn.net/omaidb/article/details/120028501

系统优化和美化

关闭SELinux

# 关闭selinux
sed -ri 's#(SELINUX=).*#\1disabled#' /etc/selinux/config# 临时关闭SELinux
setenforce 0

sudo配置

# 配置admin用户的权限
echo "admin ALL = (root) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/admin# 配置admin的sudo配置文件权限
sudo chmod 0440 /etc/sudoers.d/admin

启动tuned服务

# 开机自启服务并现在就启动服务
systemctl enable --now tuned## 启用虚拟机方案和低时延方案
tuned-adm profile virtual-guest network-latency

美化vim

# 下载vim配置文件
wget -cP $HOME/ https://raw.gitcode.com/liqiaofei/vim-config/raw/main/.vimrc

ps1变量美化

# 下载ps1美化配置
curl -o /etc/profile.d/ps1.sh https://raw.gitcode.com/liqiaofei/profile.d/raw/main/ps1.sh

配置git命令自动补全

# 下载git-completion.sh
wget -cP /etc/profile.d/ https://raw.github.com/git/git/master/contrib/completion/git-completion.bash

配置/etc/motd.d/00-welcome系统欢迎语

tee /etc/motd.d/00-welcome <<-'EOF'
【法律警告】
本系统仅供授权人员访问。所有登录尝试和系统内的操作行为都将被实时监控、记录和审计。未经授权的访问、使用、修改或传播系统信息属于非法行为，将承担严厉的法律责任，包括但不限于民事赔偿、行政处罚乃至刑事起诉。继续登录表示您已阅读、理解并同意接受上述条款和相关信息安全策略的约束。
EOF

设置中文语言显示

# 查询 LANG 可以设置的值
localectl list-locales |grep -i zh

# 查询 LC_ALL 可以设置的值
locale -a |grep -i zh

配置/etc/locale.conf

vim /etc/locale.conf

# 设置默认语言
LANG=zh_CN.UTF-8
# 覆盖系统所有语言设置
LC_ALL=zh_CN.utf8

使locale.conf配置生效

# 立即生效
source /etc/locale.conf# 开机自动生效
echo "source /etc/locale.conf" >/etc/profile.d/locale.sh

安全防护

使用fail2ban防止ssh穷举爆破 ：

https://blog.csdn.net/omaidb/article/details/120231345

配置ipset

配置IP白名单和IP黑名单
https://blog.csdn.net/omaidb/article/details/120405741

rm删除到回收站

https://blog.csdn.net/omaidb/article/details/148346377

Linux服务器防止误关机

https://blog.csdn.net/omaidb/article/details/148352044

系统快照管理

https://documentation.suse.com/zh-cn/sle-micro/6.0/html/Micro-transactional-updates/index.html

创建快照

每安装一次软件包后重启，就会生成一个快照

snapper create

查看快照列表

# 查看快照列表
snapper list

修改快照描述

# 修改快照12的 描述
snapper modify -d "安装了mosh" 12

回滚快照

# 回滚快照
snapper rollback 快照编号

对比快照

snapper status 15..16 |less  # 查看文件变化
snapper diff 15..16 |less   # 内容差异对比

删除快照

# 删除快照
snapper delete 快照编号