《企业生产Linux系统配置》由会员分享,可在线阅读,更多相关《企业生产Linux系统配置(4页珍藏版)》请在金锄头文库上搜索。
1、企业生产 Linux 系统配置1.生产环境 LINUX 服务器系统版本的选择选择 CentOS6.5 版本 64 位的 LINUX 操作系统CentOS (Community Enterprise Operating System,中文意思是:社区企业操作系统)是Linux 发行版之一,它是来自于红帽的 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此和红帽商业版的 RHEL 系统用着同样的高度稳定性。两者的不同,在于 CentOS 并不包含红帽的商业支持和一些 RHEL 商业版隐藏的功能。CentOS 是完全开源和免费的,
2、企业可以在生产环境上自由部署2.一般服务器的初始磁盘分区1)/boot 引导分区,存放引导文件和内核等。分区大小设定 200M。一般正式环境下,linux 引导文件及内核全部大小在 100M 以内。2)swap 交换分区,作为虚拟内存使用,用于当物理内存不足时,调用硬盘的一部分当内存使用。使用虚拟内存,会保障服务器在内存不足的时候不会宕机。一般生产环境服务器内存较大,交换分区大小与内存相同即可3)/分区根分区,将分完/boot 和 swap 分区剩下的空间都分给/分区3.数据库服务器的初始磁盘分区1)/boot 引导分区,分区大小设定 200M2)swap 交换分区,交换分区大小与内存相同3)
3、逻辑卷建立 LVM 逻辑卷,将逻辑卷挂载到相应的文件路径,后期可以轻松扩充或减小文件系统的大小4)/分区根分区使用逻辑卷, 数据库服务器的根分区主要存放系统相关文件、日志、用户信息等,由于不用存放数据文件,并且可以通过逻辑卷随意扩充,大小满足系统运行需要即可。lv 大小设定 200G5)数据分区为数据库软件和数据库文件单独划分一个逻辑卷分区,以保证数据的独立性和安全性,如果 linux 操作系统崩溃,可以格式化/boot 分区和根分区重新安装系统,而保留数据分区下的数据库软件和数据文件。将所有剩余的卷组空间都分配给数据分区的逻辑卷,Mysql 数据库一般将数据分区挂载在/usr/local ,
4、Oracle 数据库一般将数据分区挂载在/u02上4.多网卡绑定 bond 配置生产环境多块物理网卡,需要用 bond 绑定为一块虚拟网卡对外提供服务,配置一个 ip,可以实现网卡的负载均衡和高可用性,规划生产环境用两块网卡 eth0、eth1 绑定为 bond01)虚拟网卡 bond0 配置文件vim /etc/sysconfig/network-scripts/ifcfg-bond0DEVICE=bond0BOOTPROTO=noneONBOOT=yesIPADDR=192.168.10.93NETMASK=255.255.255.0GATEWAY=192.168.10.12)物理网卡 e
5、th0 配置文件vim /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0ONBOOT=yesBOOTPROTO=noneMASTER=bond0SLAVE=yes3)物理网卡 eth1 配置文件vim /etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=eth1ONBOOT=yes BOOTPROTO=noneMASTER=bond0SLAVE=yes4)修改 modprobe 相关设定文件,并加载 bonding 模块vim /etc/modprobe.d/bonding.confalias
6、bond0 bondingoptions bond mode=0 miimon=100mode 模式:0 提供负载均衡和高可用,按顺序轮流把包发给绑定在在 bond 口内的网卡1 主备策略,提供高可用性,逻辑简单,同时只有一个网卡处于激活状态,一个失败,另外一个自动激活miimon:监视网络链接的频度,单位是毫秒5)加载模块(或重启)modprobe bonding6)查看模块加载情况lsmod | grep bonding7)重启网络service network restart8)确认绑定情况cat /proc/net/bonding/bond0ifconfig5.关闭本地防火墙iptab
7、les -Fiptables Lservice iptables save6.关闭 NetworkManager 服务service NetworkManager stopchkconfig NetworkManager off7.账户安全权限配置1)禁用 root 以外的超级用户cat /etc/passwd | awk -F : print $1,$3 | grep 0$ 检测其他超级用户passwd -l username 锁定用户2)删除不必要的账号awk -F : print $1 /etc/passwd | grep -E adm|lp|sync|shutdown|halt|new
8、s|uucp|operator|games|gopheruserdel username3)删除不必要的组awk -F : print $1 /etc/group | grep -E adm|lp|news|uucp|games|dip|pppusers|popusers|slipusersgroupdel groupname4)设置 root 用户口令passwd5)检查空口令账号,如发现则设置口令awk -F: ($2 = ) print $1 /etc/shadowpasswd username6)口令文件加锁chattr +i /etc/passwdchattr +i /etc/sha
9、dowchattr +i /etc/groupchattr +i /etc/gshadow当需要改密码的时候,要先解锁 shadow 文件:chattr i /etc/shadow7)设置 root 账户自动注销时限vim /etc/profile在HISTFILESIZE=后面加入下面TMOUT=3008)限制普通用户通过 su 切换为 root 用户vim /etc/pam.d/suauth required pam_wheel.so use_uid如果需要用户可以 su 成为 root,要将其加入 wheel 组usermod -G 10 username9)限制普通用户无法执行关机、重启、配置网络等敏感操作rm -rf /etc/security/console.apps/*10)禁用 Ctrl+Alt+Delete 组合键重新启动机器命令vim /etc/inittab#ca:ctrlaltdel:/sbin/shutdown-t3-rnow11)设置开机启动项权限chmod R 700 /etc/rc.d/init.d/12)避免 login 时显示系统和版本信息rm -rf /etc/issuerm -rf /etc/13)删除多余登录终端vim /etc/securettytty1#tty2#tty3#tty4
