Rocky Linux vs. CentOS – Was ist passiert?
2021 hat Red Hat angekündigt CentOS 8 abzukündigen und durch CentOS Stream zu ersetzen. CentOS Stream ist ein Rolling-Release das dem RHEL-Entwicklungszweig vorausläuft – nicht mehr die stabile, nachgelagerte Version.
Für Unternehmen die stabile, enterprise-kompatible Server brauchten entstanden zwei Alternativen:
| Distribution | Herausgeber | RHEL-kompatibel | Support |
|---|---|---|---|
| Rocky Linux | Rocky Enterprise Software Foundation | 100% | bis 2032 (v9) |
| AlmaLinux | CloudLinux | 99% (ABI-kompatibel) | bis 2032 (v9) |
| CentOS Stream | Red Hat | Upstream | Rolling |
| RHEL | Red Hat | Original | bis 2032 (v9) |
Rocky Linux ist binärkompatibel zu RHEL: Alle RPM-Pakete die für RHEL 9 kompiliert wurden laufen 1:1 auf Rocky Linux 9.
ISO herunterladen und Installation starten
Download: rockylinux.org → Rocky Linux 9 → DVD ISO (ca. 10 GB) oder Minimal ISO (ca. 2 GB)
Installationstypen
| Typ | Verwendung |
|---|---|
| Minimal | Server ohne GUI, ca. 1,5 GB nach Installation |
| Server | Typischer Server mit Basis-Tools |
| Server with GUI | GNOME-Desktop (für Workstations) |
| Workstation | Desktop-Nutzung |
Für Server empfehlen wir Minimal.
Partitionierungsschema (empfohlen für Server)
| Partition | Größe | Dateisystem | Mountpunkt |
|---|---|---|---|
| /boot | 1 GB | xfs | /boot |
| /boot/efi | 600 MB | EFI | /boot/efi |
| swap | 2× RAM (max. 8 GB) | swap | - |
| / | restlicher Platz | xfs | / |
Für Datenbank-Server empfiehlt sich eine separate /var-Partition.
Erster Login und Grundkonfiguration
System aktualisieren
sudo dnf update -y
sudo reboot
Hostname setzen
sudo hostnamectl set-hostname server01.ihredomain.de
# Überprüfen
hostnamectl
Zeitzone und NTP
sudo timedatectl set-timezone Europe/Berlin
sudo timedatectl set-ntp true
timedatectl status
Statische IP konfigurieren
# Netzwerk-Interface ermitteln
ip link show
# NetworkManager-Verbindung konfigurieren
sudo nmcli con mod ens192 ipv4.addresses 192.168.10.50/24 ipv4.gateway 192.168.10.1 ipv4.dns "192.168.10.10,8.8.8.8" ipv4.method manual
sudo nmcli con up ens192
# Überprüfen
ip addr show ens192
Firewalld – Zone-basierte Firewall
Rocky Linux nutzt firewalld als Standard-Firewall (nicht iptables direkt):
# Status prüfen
sudo systemctl status firewalld
# Aktive Zone anzeigen
sudo firewall-cmd --get-active-zones
# SSH erlauben (meist schon aktiv)
sudo firewall-cmd --permanent --add-service=ssh
# HTTP und HTTPS
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# Benutzerdefinierten Port öffnen
sudo firewall-cmd --permanent --add-port=8080/tcp
# Regeln laden
sudo firewall-cmd --reload
# Aktuelle Regeln anzeigen
sudo firewall-cmd --list-all
Zones verstehen
Firewalld verwendet Zones:
- public: Standard für externe Interfaces (nur erlaubte Services)
- internal: Internes Netzwerk (mehr Vertrauen)
- trusted: Alle Verbindungen erlaubt
- block: Alle eingehenden Verbindungen blockiert
# Interface einer Zone zuordnen
sudo firewall-cmd --permanent --zone=internal --add-interface=ens224
sudo firewall-cmd --reload
SELinux verstehen und konfigurieren
SELinux (Security-Enhanced Linux) ist in Rocky Linux/RHEL standardmäßig aktiv und im Enforcing-Modus. SELinux ist eine der stärksten Sicherheitsmaßnahmen – Prozesse können nur auf genehmigte Ressourcen zugreifen.
SELinux-Status prüfen
getenforce
# Ausgabe: Enforcing | Permissive | Disabled
sestatus
SELinux im Permissive-Modus (für Troubleshooting)
# Temporär (bis Neustart)
sudo setenforce 0
# Permanent (nicht empfohlen für Produktion!)
sudo sed -i 's/^SELINUX=enforcing/SELINUX=permissive/' /etc/selinux/config
Häufige SELinux-Probleme lösen
Nginx darf standardmäßig nur Port 80/443 binden. Für andere Ports:
# SELinux-Audit-Log prüfen
sudo ausearch -c 'nginx' --raw | audit2allow -M nginx-custom
sudo semodule -i nginx-custom.pp
Oder Port freigeben:
sudo semanage port -a -t http_port_t -p tcp 8080
SSH-Härtung
sudo nano /etc/ssh/sshd_config
Empfohlene Einstellungen:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2
Protocol 2
sudo systemctl restart sshd
Wichtig: Stellen Sie sicher dass Ihr SSH-Key in ~/.ssh/authorized_keys hinterlegt ist bevor Sie Passwort-Login deaktivieren!
EPEL und Zusatz-Repositories
Für Software die nicht in den Standard-Repos ist:
# EPEL (Extra Packages for Enterprise Linux)
sudo dnf install -y epel-release
# PowerTools / CRB (für Build-Dependencies)
sudo dnf config-manager --set-enabled crb
# Nach Installation aktualisieren
sudo dnf update -y
Wichtige Dienste verwalten
# Dienst starten und autostart aktivieren
sudo systemctl enable --now nginx
# Dienst-Status
sudo systemctl status nginx
# Logs anzeigen
sudo journalctl -u nginx -f
FAQ
Kann ich CentOS 7 direkt zu Rocky Linux 9 migrieren?
Nein, ein direktes In-Place-Upgrade von CentOS 7 auf Rocky Linux 9 ist nicht offiziell unterstützt. Empfohlen ist eine Neuinstallation oder Migration über CentOS 8 → Rocky Linux 8 → Rocky Linux 9.
Ist Rocky Linux für Produktionsserver geeignet?
Ja. Rocky Linux 9 ist RHEL-9-binärkompatibel, hat dasselbe Kernel-Patchlevel und wird in zahlreichen Produktionsumgebungen eingesetzt.
Bis wann wird Rocky Linux 9 unterstützt?
Bis Mai 2032 (RHEL 9 End of Maintenance). Das ist einer der längsten Support-Zeiträume unter Linux-Distributionen.
Fazit
Rocky Linux 9 ist für Unternehmen die bisher CentOS eingesetzt haben die klare Empfehlung: kostenlos, langfristig supportet, RHEL-kompatibel und aktiv entwickelt.
Wir migrieren CentOS-Server auf Rocky Linux und betreuen Linux-Infrastrukturen für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Linux-Migration anfragen.