🧭 CentOS — Guide Complet (CentOS Linux vs CentOS Stream • RHEL écosystème • Server/Cloud/AWS)

1.1 CentOS : définition, contexte, réputation

CentOS aujourd’hui

Le projet CentOS met désormais l’accent sur CentOS Stream : une distribution livrée en continu, pensée comme plateforme de collaboration autour du développement de RHEL. :contentReference[oaicite:1]{index=1}

À retenir : “CentOS” dans le monde pro = souvent “Stream” (ou “ex-CentOS Linux 7/8”).

Cas d’usage (réalistes)

Cas	Pourquoi	Remarque
Dev/QA “Enterprise Linux”	proche de RHEL	tests avant prod
Contrib/RHEL ecosystem	upstream workflow	SIGs, packaging
Prod “très régulée”	souvent non	préférer RHEL / clones

Image à insérer :

Placeholder : static/img/centos/centos_positioning.png

Positionnement dans l’écosystème

CentOS Stream se présente comme une “midstream” entre Fedora et RHEL : une base collaborative, continuellement livrée, en avance de quelques pas sur RHEL. :contentReference[oaicite:2]{index=2}

Couche	Objectif	Public
Fedora	innovation rapide	devs, features
CentOS Stream	preview/validation RHEL	builders, QA, ecosystem
RHEL	stabilité/support	prod enterprise

Diagramme (flux simplifié)

                    Fedora (innovations)
                    │
                    ▼
                    CentOS Stream (continuously delivered, upstream RHEL)
                    │
                    ▼
                    RHEL (enterprise release stable + support)

Interprétation : Stream = excellent pour “voir arriver” les changements RHEL, moins adapté si tu veux un OS figé des années.

Liens officiels

Site CentOS : https://www.centos.org/ :contentReference[oaicite:3]{index=3}
CentOS Stream (page) : https://www.centos.org/centos-stream/ :contentReference[oaicite:4]{index=4}
Docs CentOS : https://docs.centos.org/ :contentReference[oaicite:5]{index=5}
Docs CentOS Stream : https://docs.centos.org/centos-stream-docs/ :contentReference[oaicite:6]{index=6}
Red Hat “What is CentOS Stream” : https://www.redhat.com/en/topics/linux/what-is-centos-stream :contentReference[oaicite:7]{index=7}

1.2 CentOS Linux vs CentOS Stream : EOL & implications

CentOS Linux (classique) : fin de support

CentOS Linux 8 est arrivé en EOL le 31 décembre 2021. :contentReference[oaicite:8]{index=8} CentOS Linux 7 a atteint sa fin de vie le 30 juin 2024. :contentReference[oaicite:9]{index=9}

Consequence : si tu “penses” CentOS comme avant (clone gratuit de RHEL), ce n’est plus le modèle principal.

Dates clés (références projet CentOS / Red Hat)

Produit	Statut	Date	Source
CentOS Linux 8	EOL	2021-12-31	CentOS Project :contentReference[oaicite:10]{index=10}
CentOS Linux 7	EOL	2024-06-30	CentOS blog + Red Hat :contentReference[oaicite:11]{index=11}
CentOS Stream 8	Fin de builds	2024-05-31	CentOS Project :contentReference[oaicite:12]{index=12}

Quoi faire si tu as (encore) des CentOS Linux

Rester dans l’écosystème RHEL : aller vers RHEL (support), ou vers une distro compatible “RHEL-like”.
CentOS Stream : si tu veux être proche des évolutions RHEL et participer à l’écosystème. :contentReference[oaicite:13]{index=13}
Alternatives populaires : Rocky Linux / AlmaLinux (souvent choisis après la bascule). :contentReference[oaicite:14]{index=14}

Règle prod : choisis une stratégie (support + cadence de patching + rollback) avant de migrer “au hasard”.

2.1 CentOS Stream : modèle, usages, limites

Définition officielle (résumé)

CentOS Stream est une distribution où la communauté peut développer, tester et contribuer à une distribution livrée en continu en amont de RHEL, en collaboration avec les équipes RHEL. :contentReference[oaicite:15]{index=15}

Traduction “terrain” : Stream = “preview stable-ish” des packages qui iront dans une future RHEL.

Quand Stream est un bon choix

Contexte	Stream	Pourquoi
Dev/QA enterprise	✅	valider compat RHEL à venir
Build d’outils/agents	✅	anticiper changements
Prod “strictement figée”	⚠️	préférer RHEL / compat clones
Audits/compliance lourde	⚠️	support/contrats attendus

Pipeline simplifié (dev → prod)

                    Fedora (features rapides)
                    ▼
                    CentOS Stream (integration / validation upstream RHEL)
                    ▼
                    RHEL (release stable + support)

Image à insérer :

Placeholder : static/img/centos/centos_stream_pipeline.png

Docs à connaître

CentOS Stream docs : https://docs.centos.org/centos-stream-docs/ :contentReference[oaicite:16]{index=16}
Docs CentOS (hub) : https://docs.centos.org/ :contentReference[oaicite:17]{index=17}
CentOS Stream page : https://www.centos.org/centos-stream/ :contentReference[oaicite:18]{index=18}

2.2 Installation & bootstrap (CentOS Stream / EL-like)

Installer “propre” (pattern)

Choisir une installation minimal (moins de surface d’attaque)
Activer SSH, créer un user admin (sudo/wheel), désactiver root login direct
Configurer réseau (DHCP ou statique), hostname, timezone, NTP
Mettre à jour immédiatement après install

Docs : portail docs CentOS (Stream + SIG). :contentReference[oaicite:19]{index=19}

Post-install “serveur” (starter pack)

                    # updates
                    sudo dnf -y update

                    # base tools
                    sudo dnf -y install vim git curl wget htop tar unzip
                    sudo dnf -y install chrony
                    sudo systemctl enable --now chronyd

                    # firewall baseline (ex: SSH seulement)
                    sudo systemctl enable --now firewalld
                    sudo firewall-cmd --permanent --add-service=ssh
                    sudo firewall-cmd --reload

Prod : fixe un process patching (cadence + tests + rollback). Ne “dnf update” pas au hasard.

SELinux : le réflexe “Enterprise Linux”

Sur l’écosystème EL (RHEL-like), SELinux est un pilier. Objectif : rester en Enforcing, et traiter les exceptions proprement (policies) plutôt que désactiver.

                    getenforce
                    sestatus

                    # logs utiles
                    sudo journalctl -t setroubleshoot
                    sudo journalctl | grep -i avc

Bon signal recruteur : “je garde SELinux enforcing et je sais lire les AVC”.

Diagramme bootstrap (infra moderne)

                    Image/ISO → Minimal install → SSH + user admin
                    │
                    ├─ dnf update
                    ├─ firewalld (ports stricts)
                    ├─ SELinux enforcing
                    ├─ agents (monitoring/logs)
                    └─ config management (Ansible) / golden image (Packer)

Image à insérer :

Placeholder : static/img/centos/centos_bootstrap_flow.png

3.1 Paquets : dnf/yum, repos, modules — bonnes pratiques

DNF : commandes essentielles

                    dnf --version
                    sudo dnf -y update
                    dnf list installed | head
                    dnf search nginx
                    sudo dnf -y install nginx
                    dnf info nginx
                    sudo dnf -y remove nginx
                    sudo dnf -y autoremove

Repos : ce que tu veux maîtriser

Quels dépôts sont activés (base/appstream/… selon EL)
Traçabilité : “quel paquet vient d’où”
Verrouillage : éviter d’introduire des repos tiers sans gouvernance

                    dnf repolist
                    dnf repoinfo

Modules (concept)

Les modules permettent de sélectionner des flux de versions pour certaines stacks. À utiliser avec discipline (sinon “drift”).

                    dnf module list
                    dnf module info 
                    sudo dnf module enable :

Best practices “enterprise”

Règle	Pourquoi	Effet
Patch window	maîtrise du risque	moins d’incidents
Golden image + replace	rollback simple	infra reproductible
Repos gouvernés	cohérence	debug plus facile

4.1 Sécurité : SELinux, firewall, SSH hardening, patching

SSH hardening (baseline)

                    # côté serveur : no password + no root
                    sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
                    sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
                    sudo systemctl restart sshd

FirewallD (pattern)

                    sudo systemctl enable --now firewalld
                    sudo firewall-cmd --state
                    sudo firewall-cmd --get-active-zones

                    # ouvrir web
                    sudo firewall-cmd --permanent --add-service=http
                    sudo firewall-cmd --permanent --add-service=https
                    sudo firewall-cmd --reload

SELinux : garder “Enforcing”

                    getenforce
                    sestatus
                    sudo journalctl | grep -i avc

Anti-pattern : “je désactive SELinux pour que ça marche”. Mieux : comprendre, ajuster les contexts/policies.

Policy de sécurité (simple & solide)

Ports minimaux (SG + firewall)
Clés SSH uniquement, bastion si besoin
Patching régulier (cadencé)
Logs centralisés + alerting (auth, sudo, anomalies)
Backups + restore testés

5.1 Cloud & AWS : patterns (et choix CentOS vs RHEL vs alternatives)

Pattern EC2 “clean”

                    Launch instance
                    ├─ Image (CentOS Stream / RHEL-like)
                    ├─ Instance type
                    ├─ Security Groups (ports minimum)
                    ├─ Keypair (SSH)
                    ├─ User-data (bootstrap minimal)
                    └─ Monitoring + logs + backups

Image à insérer :

Placeholder : static/img/centos/aws_centos_reference_arch.png

Immutabilité (recruteur-friendly)

Approche	Principe	Pourquoi
Golden image	AMI/Packer	reproductible
Rolling replace	ASG / blue-green	rollback rapide
Config mgmt	Ansible	traçabilité

Quel OS sur AWS (décision pragmatique)

Besoin	Choix	Pourquoi
Prod avec support Enterprise	RHEL	contrat + conformité
Dev/QA RHEL ecosystem	CentOS Stream	upstream RHEL :contentReference[oaicite:20]{index=20}
Remplacer “ancien CentOS Linux”	Rocky/Alma	alternatives courantes :contentReference[oaicite:21]{index=21}

6.1 Ops : systemd, journald, perf, troubleshooting

Playbook “prod” (toujours le même)

                1) Symptôme précis (quoi / depuis quand / scope)
                2) Service (systemctl status) + logs (journalctl)
                3) Réseau (ip/route/DNS/ports)
                4) Ressources (CPU/RAM/IO/disk)
                5) Changement récent ? (deploy/update/conf)
                6) Fix minimal + plan rollback
                7) Post-mortem (action préventive)

Commandes réflexes

                        systemctl status nginx
                        systemctl restart nginx
                        journalctl -u nginx --since "1 hour ago"
                        ip a ; ip r
                        ss -lntp
                        df -h ; free -h

Perf (baseline)

                        uptime
                        top
                        vmstat 1
                        iostat -xz 1   # si sysstat installé

Tip CV : “je sais diagnostiquer vite : logs → réseau → service → ressources → rollback”. C’est exactement ce que cherche un SRE/DevOps.

7.1 Migrations & alternatives après CentOS Linux

Options “réalistes”

Option	Pour qui	Notes
CentOS Stream	dev/QA, builders	upstream RHEL :contentReference[oaicite:22]{index=22}
RHEL	prod enterprise	support/compliance
Rocky / Alma	ex-CentOS Linux	alternatives courantes :contentReference[oaicite:23]{index=23}

Important : CentOS Linux 7 est EOL (2024-06-30). Si tu en as encore : priorité migration. :contentReference[oaicite:24]{index=24}

Plan de migration (pro, sans panique)

                    1) Inventaire : OS, version, paquets clés, services, dépendances
                    2) Classer : prod critique / non critique / dev
                    3) Choisir cible : Stream vs RHEL vs Rocky/Alma
                    4) Faire un clone/staging : tests fonctionnels + perf
                    5) Automatiser : IaC + config management
                    6) Rollout : blue/green ou rolling
                    7) Observabilité : logs + metrics + alerting
                    8) Décommission : old nodes

Checklist “avant cutover”

Backups + restore testés
Ports/Firewall identiques
SELinux policy validée (ou plan d’ajustement)
Monitoring OK (CPU/IO/disk, logs auth)
Rollback prêt (image précédente, snapshots)

Image à insérer :

Placeholder : static/img/centos/migration_checklist.png

15) Cockpit — Administration Web native

À quoi sert Cockpit ?

Cockpit est une interface web officielle Red Hat / CentOS pour administrer un serveur : services, logs, réseau, stockage, users, conteneurs, VMs.

Installation

                sudo dnf -y install cockpit
                sudo systemctl enable --now cockpit.socket
                # accès : https://server:9090

Ce que tu peux faire

Services	start/stop, status systemd
Logs	journald graphique
Storage	LVM, partitions, mounts
Users	comptes, sudo
Perf	CPU, RAM, IO temps réel

Usage pro : diagnostic rapide, pas un remplacement d’Ansible/IaC.

16) Ansible & EL System Roles

Pourquoi Ansible sur CentOS ?

Ansible est l’outil standard de configuration management dans l’écosystème EL.

Installation

sudo dnf -y install ansible-core
ansible --version

System Roles officiels

network	interfaces, routes
timesync	chrony/NTP
firewall	firewalld
selinux	booleans, state
storage	LVM

Phrase CV : “Infra EL gérée via Ansible System Roles (idempotent)”.

17) Nginx sur CentOS (prod-ready)

Installation

sudo dnf -y install nginx
sudo systemctl enable --now nginx

SELinux (classique)

setsebool -P httpd_can_network_connect on
semanage port -a -t http_port_t -p tcp 8080

Bonnes pratiques

Reverse proxy + app isolée
Timeouts maîtrisés
Logs + rotation

18) PostgreSQL sur CentOS (OS + DB)

Installation (repo PGDG)

sudo dnf -y install https://download.postgresql.org/pub/repos/yum/reporpms/EL-9-x86_64/pgdg-redhat-repo-latest.noarch.rpm
sudo dnf -y install postgresql15-server

Tuning OS essentiel

IO scheduler	SSD → none
vm.swappiness	faible
/var/lib/pgsql	disk dédié

DBA sérieux : OS tuning + DB tuning vont ensemble.

19) Backups & Disaster Recovery

Règle d’or

Backup non testé = pas un backup

Stratégies

Snapshots	rapides, pas suffisants seuls
rsync	simple, efficace
Cloud	S3, Glacier

rsync -av --delete /data backup:/data

20) KVM & libvirt

Installation

sudo dnf -y install qemu-kvm libvirt virt-install
sudo systemctl enable --now libvirtd

Cas d’usage

Labs internes
Legacy workloads
Isolations fortes

21) RAID logiciel (mdadm)

RAID ≠ Backup

RAID protège contre panne disque, pas erreur humaine.

Types courants

RAID 1	miroir
RAID 5	perf + tolérance
RAID 10	perf + sécurité

cat /proc/mdstat
mdadm --detail /dev/md0

22) SELinux Deep-Dive (niveau expert)

Les 3 piliers SELinux

Contexts	type, user, role, level
Booleans	switchs comportement
Policies	règles autorisation

Commandes clés

ls -Z /var/www
semanage fcontext -l | head
getsebool -a | head

Anti-pattern ultime : désactiver SELinux en prod.

Niveau expert : comprendre SELinux = comprendre l’Enterprise Linux.

🧭 CentOS — Guide Complet (CentOS Linux vs CentOS Stream • RHEL ecosystem)

CentOS : c’est quoi ?

CentOS Linux vs Stream

CentOS Stream (modèle)

Installation & bootstrap

Paquets : dnf / yum

Sécurité (SELinux, firewall)

Cloud & AWS (patterns)

Ops : systemd, logs, réseau

Migrations & alternatives

Cockpit (Web Admin)

Ansible & System Roles

Nginx / Web Stack

PostgreSQL (Serveur)

Backups & DR

KVM / Virtualisation

RAID / mdadm

SELinux Deep-Dive