一级片播放器,综合色在线

Centos6/7系統(tǒng)基礎(chǔ)配置-從零到無

2022.05.29 北京

--時(shí)間：2019年2月21日

--作者：飛翔的小胖豬

前言

文檔基于Centos Linux操作系統(tǒng)作為生產(chǎn)服務(wù)器運(yùn)行環(huán)境時(shí)所必須滿足的條件，包括系統(tǒng)核心、運(yùn)行庫、使用工具、以及作為服務(wù)器系統(tǒng)所具有的可擴(kuò)展性、可用性、適用性、可管理性、安全性以及性能要求等。

文檔紅字部分均為自定義內(nèi)容，請(qǐng)維護(hù)者根據(jù)實(shí)際情況填寫。Centos 6系統(tǒng)默認(rèn)使用network程序進(jìn)行網(wǎng)絡(luò)配置，在配置時(shí)請(qǐng)關(guān)閉NetworkManager程序。Centos 7系統(tǒng)網(wǎng)絡(luò)配置默認(rèn)使用NetworkManager配置網(wǎng)絡(luò)，如果需要使用network配置網(wǎng)絡(luò)，在配置時(shí)請(qǐng)關(guān)閉NetworkManager程序，然后使用修改配置文件的方式配置網(wǎng)絡(luò)。藍(lán)色字體部分為文件不需要改動(dòng) 部分。

文檔所有的命令均經(jīng)過測(cè)試可用，在配置時(shí)只需要復(fù)制相關(guān)內(nèi)容然后根據(jù)自己實(shí)際情況修改對(duì)應(yīng)紅色字體參數(shù)即可使用。

系統(tǒng)配置

文檔針對(duì)于現(xiàn)網(wǎng)實(shí)際情況，分別對(duì)Centos 6和Centos 7系統(tǒng)配置規(guī)范進(jìn)行了說明。

Centos 6.X系列和Centos 7.X系列操作系統(tǒng)均使用最小化安裝操作系統(tǒng)，以保證系統(tǒng)的純凈。業(yè)務(wù)如需使用到其他軟件，請(qǐng)業(yè)務(wù)方維護(hù)人員自行通過yum源進(jìn)行安裝配置。

Centos 8.x系列請(qǐng)參考Centos 7.x系列配置謝謝。

文檔作用

文檔主要作用是提醒我自己安裝系統(tǒng)過后需要確認(rèn)的一些配置，不喜勿噴，哈哈。

一、Centos 6.X 系列配置

Centos 6.x系列操作系統(tǒng)、使用network對(duì)外提供網(wǎng)絡(luò)服務(wù)，所有網(wǎng)絡(luò)配置均通過文件的形式進(jìn)行更改。

1.1 主機(jī)名

主機(jī)名：YWXT-YW-ZJLX-ZJXH（業(yè)務(wù)系統(tǒng)-業(yè)務(wù)名-主機(jī)類型-主機(jī)序號(hào)）

例子：

AI智能分析-人臉分析-數(shù)據(jù)庫-001 主機(jī)名設(shè)置為 AIZNFX-RLFX-SJK-001

配置說明：

系統(tǒng)主機(jī)名要準(zhǔn)確的表示出業(yè)務(wù)系統(tǒng)、小業(yè)務(wù)名、主機(jī)類型作用等信息。每個(gè)字段均使用中文首字符簡寫。

配置命令：

[root@oracle_pref ~]# vim /etc/hosts192.168.111.100 AIZNFX-RLFX-SJK-001[root@oracle_pref ~]# vim /etc/sysconfig/network NETWORKING=yes HOSTNAME= AIZNFX-RLFX-SJK-001

centos6.x版本需要在/etc/hosts和/etc/sysconfig/network兩處文件修改配置。

1.2 DNS

根據(jù)實(shí)際情況選擇dns服務(wù)器，處于互聯(lián)網(wǎng)的主機(jī)在設(shè)置dns時(shí)可選用運(yùn)營商提供dns解析服務(wù)器。對(duì)于內(nèi)網(wǎng)環(huán)境下請(qǐng)根據(jù)自己環(huán)境實(shí)際條件設(shè)置響應(yīng)的dns。

互聯(lián)網(wǎng)常見DNS：

IP地址

提供方

114.114.114.114

114

180.76.76.76

百度

223.5.5.5

阿里

119.29.29.29

DNSPod DNS

1.2.4.8

CNNIC SDNS

101.226.4.6

DNS派

208.67.222.222

OpenDNS

8.8.8.8

Google DNS

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置DNS。內(nèi)網(wǎng)選擇自建的dns或者不設(shè)置dns，連接互聯(lián)網(wǎng)的情況下可指定本地網(wǎng)關(guān)或運(yùn)營商提供的dns地址作為域名解析。

配置命令：

[root@oracle_pref ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 IPADDR=192.168.111.100NETMASK=255.255.255.0ONBOOT=yes NAME=eth0 GATEWAY=192.168.111.1DNS1=192.168.111.1BOOTPROTO=static

針對(duì)于Centos 6.X系列的操作系統(tǒng)，使用修改文件的方式完成DNS及網(wǎng)絡(luò)的配置。配置修改完成后需要使用命令重啟service network restart網(wǎng)絡(luò)服務(wù)生效。

1.3 NTP

根據(jù)實(shí)際情況為服務(wù)器設(shè)置ntp時(shí)間同步服務(wù)器，互聯(lián)網(wǎng)中隨意選擇一個(gè)，內(nèi)網(wǎng)環(huán)境中根據(jù)設(shè)置為建的ntp服務(wù)器地址。

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置對(duì)應(yīng)的NTP服務(wù)器地址,可使用域名也可以使用ip地址。

配置命令：

[root@oracle_pref ~]# vim /etc/ntp.conf # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html).#server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server 192.168.111.10 iburst ……………… [root@oracle_pref ~]# chkconfig ntpd on //開機(jī)啟動(dòng)ntp服務(wù)

Centos 6.x使用ntpd服務(wù)提供主機(jī)的時(shí)間服務(wù)，修改過配置文件后需要使用命令service ntpd restart重啟服務(wù)生效。

1.4 YUM

根據(jù)實(shí)際情況設(shè)置yum原，在互聯(lián)網(wǎng)的連接情況下選擇合適的yum源，內(nèi)網(wǎng)環(huán)境中可以配置自建的yum源服務(wù)器，也可以設(shè)置本地yum源。

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置對(duì)應(yīng)的yum源服務(wù)器地址。

配置命令：

[root@oracle_pref ~]# vim /etc/yum.repos.d/local.repo [local_repo] name=local_repo enabled=1gpgcheck=0baseurl=file:///mnt

文件配置完成后，使用命令yum clean all && yum repolist執(zhí)行更新yum配置。

1.5 時(shí)區(qū)

由于ntp服務(wù)只能同步時(shí)間而無法同步時(shí)區(qū)，主機(jī)需要手動(dòng)設(shè)置時(shí)區(qū)。國內(nèi)的服務(wù)器統(tǒng)一使用東八區(qū)時(shí)區(qū)。

配置說明：

設(shè)置服務(wù)器的時(shí)區(qū)為東八區(qū)所在城市。配置完成后需要把設(shè)置保存到硬件時(shí)間內(nèi)。Centos 6.x系列操作系統(tǒng)使用Chongqing為時(shí)區(qū)所在地。

配置命令：

[root@oracle_pref ~]# vim /etc/sysconfig/clock

ZONE="Asia/ Chongqing"[root@oracle_pref ~]# cp /usr/share/zoneinfo/Asia/Chongqing /etc/localtime -R [root@oracle_pref ~]# hwclock -w[root@oracle_pref ~]# date –R [root@oracle_pref ~]# cat /etc/sysconfig/clock

時(shí)區(qū)修改后可通過date -R和cat /etc/sysconfig/clock命令查看確認(rèn)當(dāng)前時(shí)區(qū)是否正確。

1.6 系統(tǒng)字符集

生產(chǎn)環(huán)境中默認(rèn)主機(jī)系統(tǒng)使用語言為LANG="en_US.UTF-8",如果有特殊需求的應(yīng)用需要其他字符集，需要業(yè)務(wù)方自行進(jìn)行修改。

配置說明：

使用cat /etc/sysconfig/i18n命令查看系統(tǒng)字符集。默認(rèn)字符集為"en_US.UTF-8"，所有模板默認(rèn)使用該字符集，后期業(yè)務(wù)方可以自行根據(jù)需求修改字符集。主機(jī)交付后維護(hù)人員不對(duì)其進(jìn)行修改。

配置命令：

[root@oracle_pref ~]# locale -a //查看系統(tǒng)可支持的字符集[root@oracle_pref ~]# vim /etc/sysconfig/i18n LANG="en_US.UTF-8"SYSFONT="latarcyrheb-sun16"[root@oracle_pref ~]# export LANG= en_US.UTF-8[root@oracle_pref ~]# echo $LANG [root@oracle_pref ~]# cat /etc/sysconfig/i18n

首先使用locale -a命令查看系統(tǒng)可支持的字符集，選擇所需要的字符集在/etc/sysconfig/i18n文件中修改。最后使用命令查看確認(rèn)字符集設(shè)置情況。

1.7 用戶

在生產(chǎn)環(huán)境中，業(yè)務(wù)和維護(hù)相對(duì)分離。在每臺(tái)服務(wù)器中需要按需創(chuàng)建對(duì)應(yīng)功能的賬戶，提供相應(yīng)業(yè)務(wù)方維護(hù)使用，同時(shí)業(yè)務(wù)賬號(hào)和運(yùn)維賬號(hào)均開通sudo權(quán)限。賬號(hào)UID和GID從1000開始，每個(gè)業(yè)務(wù)賬號(hào)UID和GID在任何一臺(tái)主機(jī)均為固定的相同的值，方便后期的管理和權(quán)限的設(shè)置。

賬戶名

權(quán)限

密碼組合

作用

sudo

備注

root

超級(jí)管理員

8位字母+數(shù)字組合

系統(tǒng)配置

customer

普通用戶

8位字母+數(shù)字組合

業(yè)務(wù)搭建

是

業(yè)務(wù)方使用賬戶

yw_admin

普通用戶

8位字母+數(shù)字組合

運(yùn)維管理員

是

基礎(chǔ)平臺(tái)維護(hù)組成員使用賬戶

配置說明：

新建兩個(gè)賬戶，同時(shí)設(shè)置UID和GID，加入sudo權(quán)限實(shí)現(xiàn)輸入自身密碼切換到root用戶，不以root用戶直接登錄系統(tǒng)。賬號(hào)創(chuàng)建后使用echo '密碼'|passwd --stdin 用戶命令修改密碼。

應(yīng)用組維護(hù)賬號(hào)： yw_admin UID:1000 GID:1000

配置命令：

新建賬戶 [root@oracle_pref ~]# useadd -u 1000 yw_yyg [root@oracle_pref ~]# useadd -u 1100 customer [root@oracle_pref ~]# echo '12345678' |passwd --stdin root [root@oracle_pref ~]# echo '12345678' |passwd --stdin yw_admin [root@oracle_pref ~]# echo '12345678' |passwd --stdin customer

配置sudo [root@oracle_pref ~]# # visudo yw_admin ALL=PASSWD:/usr/bin/sudo,/bin/sucustomer ALL=PASSWD:/usr/bin/sudo,/bin/su[oracle@oracle_pref ~]$ $sudo su - //切換至root用戶

visudo操作與vim一致，配置完成后使用sudo su -切換到root用戶會(huì)提示輸入自身用戶的密碼。密碼輸入成功后該終端終端保存sudo密碼緩存5分鐘，可使用sudo -k清除。

1.8 歷史命令設(shè)置

Centos 6.x系列系統(tǒng)默認(rèn)保存1000條歷史記錄，修改保留條數(shù)為10000，同時(shí)加上時(shí)間戳。

配置說明：

在/etc/bashrc最后新增export HISTTIMEFORMAT='%F %T'" "內(nèi)容，在/etc/profile中找到HISTSIZE項(xiàng)，并修改為10000。最后使用source命令執(zhí)行文件，生效配置。

配置命令：

[root@oracle_pref ~]# vim /etc/bashrc export HISTTIMEFORMAT='%F %T'" "[root@oracle_pref ~]# vim /etc/profile HISTSIZE=10000[root@oracle_pref ~]# source /etc/bashrc [root@oracle_pref ~]# source /etc/profile

歷史命令參數(shù)修改后可使用history確認(rèn)查看歷史命令格式是否正確，使用echo $HISTSIZE查看歷史命令最大保留數(shù)是否正確。

1.9 ulimit系統(tǒng)資源限制

設(shè)置單個(gè)用戶最大的系統(tǒng)資源，保證系統(tǒng)不會(huì)因?yàn)閱蝹€(gè)用戶的操作而造成同系統(tǒng)中其他用戶無法正常作業(yè)。同時(shí)也保證了用戶因?yàn)槟J(rèn)資源使用太小導(dǎo)致的業(yè)務(wù)無法正常使用故障。

配置說明：

在/etc/security/limits.conf文件中指定每個(gè)用戶最大使用的關(guān)鍵性資源值，在/etc/security/limits.d/90-nproc.conf中指定單個(gè)用戶允許打開最大進(jìn)程數(shù)。

nproc:用戶打開進(jìn)程的最大數(shù)量

core:內(nèi)核文件大小

nofile:用戶打開文件的最大數(shù)目

配置命令：

[root@oracle_pref ~]# vim /etc/security/limits.conf* soft nproc 65533* hard nproc 65534* soft core unlimited* hard core unlimited* soft nofile 65533* hard nofile 65534[root@oracle_pref ~]# vim /etc/security/limits.d/90-nproc.conf* soft nproc 65534root soft nproc unlimited [root@oracle_pref ~]# sysctl -p

1.10 TCP/IP網(wǎng)絡(luò)優(yōu)化

修改系統(tǒng)中的TIMEOUT時(shí)間，避免系統(tǒng)出現(xiàn)大量的TIME_WAIT狀態(tài)連接。

配置說明：

在/etc/sysctl.conf文件最后添加對(duì)內(nèi)容，然后使用sysctl -p 命令生效配置，具體配置詳解如下：

net.ipv4.tcp_syncookies = 1

.標(biāo)識(shí)開啟SYN Cookies。當(dāng)出現(xiàn)SYNC等待隊(duì)列溢出時(shí)，啟用cookies來處理，可防范少量SYNC攻擊，默認(rèn)為1，標(biāo)識(shí)關(guān)閉。

net.ipv4.tcp_tw_reuse = 1

.表示開啟重用。允許將TIME-WAIT sockets 重新用于新的TCP連接，默認(rèn)為0，表示關(guān)閉。

net.ipv4.tcp_tw_recycle = 1

.表示開啟TCP連接中TIME-WAIT sockets 的快遞回收，默認(rèn)為0，表示關(guān)閉。

net.ipv4.tcp_fin_timeout = 30

.修改系統(tǒng)默認(rèn)的TIMEOUT時(shí)間，默認(rèn)為60秒

配置命令：

[root@oracle_pref ~]# vim /etc/sysctl.conf net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_fin_timeout = 30[root@oracle_pref ~]# sysctl -p

使用sysctl -p 生效了配置過后，可使用sysctl -a 查看修改是否成功。

1.11 最大文件句柄限制

file-max決定了當(dāng)前內(nèi)核可以打開的最大的文件句柄數(shù)，系統(tǒng)所有進(jìn)程一共可以打開的文件數(shù)量。file-max設(shè)置過小，系統(tǒng)會(huì)提示"不能打開太多的文件"或者"無法打開更多進(jìn)行"。

配置說明：

file-max值確定了系統(tǒng)可以打開的文件數(shù)，最佳值為內(nèi)存(KB)大小的10%。然后在/etc/sysctl.conf中設(shè)置，最后使用sysctl -p 命令生效。cat /proc/sys/fs/file-max命令可查看配置是否生效。

配置命令：

[root@oracle_pref ~]# cat /proc/sys/fs/file-max [root@oracle_pref ~]# grep -r MemTotal /proc/meminfo | awk '{printf("%d",$2/10)}' //獲取最佳文件句柄值[root@oracle_pref ~]# echo "fs.file-max = 1626660" >> /etc/sysctl.conf [root@oracle_pref ~]# sysctl -p

1.12 ssh遠(yuǎn)程服務(wù)

在Linux操作系統(tǒng)中使用sshd協(xié)議登錄操作系統(tǒng)。為了安全起見系統(tǒng)設(shè)置root用戶不能遠(yuǎn)程登陸，系統(tǒng)只能夠通過普通用戶遠(yuǎn)程登陸，然后通過sudo權(quán)限切換到root賬戶下進(jìn)行操作。

配置說明：

在# vim /etc/ssh/sshd_config中把#PermitRootLogin yes修改為PermitRootLogin no最后重啟遠(yuǎn)程服務(wù)。

配置命令：

[root@oracle_pref ~]# vim /etc/ssh/sshd_configPermitRootLogin yes UseDNS no # GSSAPI options #GSSAPIAuthentication no GSSAPIAuthentication no #GSSAPICleanupCredentials yes GSSAPICleanupCredentials no #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no PubkeyAuthentication yes #啟用公告秘鑰配對(duì)認(rèn)證方式 RSAAuthentication yes #允許RSA秘鑰[root@oracle_pref ~]# service sshd restart

配置不允許root通過sshd直接登錄,用戶使用root權(quán)限需要通過普通用戶切換。

1.13 常用軟件安裝

主機(jī)操作中，在不影響業(yè)務(wù)部署應(yīng)用的情況下，為了方便對(duì)主機(jī)系統(tǒng)的管理，所有Centos 6.x系列主機(jī)均預(yù)裝如下工具。

軟件名

作用

net-tools

網(wǎng)絡(luò)管理工具

lrzsz

scp上傳下載文件

gcc*

軟件編譯用

zip

解壓zip壓縮文件

gzip

解壓gz壓縮文件

bzip2

解壓bz2壓縮文件

ftp

訪問ftp服務(wù)器

vim

文本編輯器

dmidecode

獲取服務(wù)器硬件信息

wget

linux訪問web，下載web數(shù)據(jù)

sshpass

免密工具

配置說明：

在配置了yum源過后直接使用yum工具安裝以上軟件。

配置命令：

[root@oracle_pref ~]# yum install net-tools -y [root@oracle_pref ~]# yum install lrzsz -y [root@oracle_pref ~]# yum install gcc* -y [root@oracle_pref ~]# yum install zip -y [root@oracle_pref ~]# yum install gzip -y [root@oracle_pref ~]# yum install bzip2 -y [root@oracle_pref ~]# yum install ftp -y [root@oracle_pref ~]# yum install vim -y [root@oracle_pref ~]# yum install dmidecode -y

1.14 主機(jī)安全配置

RHEL 6.x系列操作系統(tǒng)默認(rèn)selinux和iptables為開啟狀態(tài)，業(yè)務(wù)方可根據(jù)需求進(jìn)行配置修改或直接關(guān)閉?；A(chǔ)運(yùn)維人員不對(duì)主機(jī)安全配置做任何特殊操作。對(duì)于自己使用的機(jī)器建議關(guān)閉掉selinux，iptables可根據(jù)實(shí)際情況確定是否開啟及具體設(shè)置。

1.15 kdump配置

對(duì)于業(yè)務(wù)不是太重要的業(yè)務(wù)，建議關(guān)閉掉kdump功能。

1.1.16 配置登錄策略

設(shè)置用戶登錄系統(tǒng)時(shí)密碼錯(cuò)誤輸入次數(shù)限制，當(dāng)用戶連續(xù)輸入3次及以上的錯(cuò)誤密碼時(shí)，鎖定賬戶180秒。

配置說明：

linux設(shè)置登錄策略需要在兩個(gè)文件中修改。

終端（KVM或直連顯示器）：/etc/pam.d/system-auth

遠(yuǎn)程(ssh): /etc/pam.d/sshd

分別在這兩個(gè)文件正式配置文件第一行，即#%PAM-1.0的下面。添加策略語句。

配置命令：

[root@oracle_pref ~]# vim /etc/pam.d/system-auth#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run.auth required pam_tally2.so onerr=fail deny=3 unlock=180 even_deny_root root_unlock_time=300[root@oracle_pref ~]# cat /etc/pam.d/sshd#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=30 onerr=fail

二、Centos 7.x 系列配置

Centos 7.x系列操作系統(tǒng)、使用NetworkManager對(duì)外提供網(wǎng)絡(luò)服務(wù)，所有網(wǎng)絡(luò)配置均通過命令實(shí)現(xiàn)永久性更改，無需再次使用文件的形式進(jìn)行更改。

2.1 主機(jī)名

主機(jī)名：YWXT-YW-ZJLX-ZJXH（業(yè)務(wù)系統(tǒng)-業(yè)務(wù)名-主機(jī)類型-主機(jī)序號(hào)）

例子：

AI智能分析-人臉分析-數(shù)據(jù)庫-001 主機(jī)名設(shè)置為 AIZNFX-RLFX-SJK-001

配置說明：

系統(tǒng)主機(jī)名要準(zhǔn)確的表示出業(yè)務(wù)系統(tǒng)、小業(yè)務(wù)名、主機(jī)類型作用等信息。每個(gè)字段均使用中文首字符簡寫。

配置命令：

[root@oracle_pref ~]# hostnamectl set-hostname AIZNFX-RLFX-SJK-001

Centos 7.x系列系統(tǒng)使用hostnamectl set-hostname命令該主機(jī)名后為永久生效，不需要再次到文件中修改配置。

2.2 DNS

根據(jù)實(shí)際情況選擇dns服務(wù)器，處于互聯(lián)網(wǎng)的主機(jī)在設(shè)置dns時(shí)可選用運(yùn)營商提供dns解析服務(wù)器。對(duì)于內(nèi)網(wǎng)環(huán)境下請(qǐng)根據(jù)自己環(huán)境實(shí)際條件設(shè)置響應(yīng)的dns。

互聯(lián)網(wǎng)常見dns地址：

IP地址

提供方

114.114.114.114

114

180.76.76.76

百度

223.5.5.5

阿里

119.29.29.29

DNSPod DNS

1.2.4.8

CNNIC SDNS

101.226.4.6

DNS派

208.67.222.222

OpenDNS

8.8.8.8

Google DNS

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置DNS。內(nèi)網(wǎng)選擇自建的dns或者不設(shè)置dns，連接互聯(lián)網(wǎng)的情況下可指定本地網(wǎng)關(guān)或運(yùn)營商提供的dns地址作為域名解析。

配置命令：

[root@oracle_pref ~]# nmcli conn modify eth0 ipv4.dns "192.168.111.1"; [root@oracle_pref ~]# nmcli conn down eth0;nmcli conn up eth0;

針對(duì)于Centos 7.X系列的操作系統(tǒng)，使用命令方式完成DNS及網(wǎng)絡(luò)的配置。配置修改完成重新讀取端口配置。

2.3 NTP

根據(jù)實(shí)際情況為服務(wù)器設(shè)置ntp時(shí)間同步服務(wù)器，互聯(lián)網(wǎng)中隨意選擇一個(gè)，內(nèi)網(wǎng)環(huán)境中根據(jù)設(shè)置為建的ntp服務(wù)器地址。

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置對(duì)應(yīng)的NTP服務(wù)器地址,可使用域名也可以使用ip地址。

配置命令：

[root@oracle_pref ~]# vim /etc/chrony.conf # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html).#server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server 192.168.111.10 iburst ……………… [root@oracle_pref ~]# systemctl restart chronyd.service //重啟ntp服務(wù)[root@oracle_pref ~]# systemctl enable chronyd.service //開機(jī)啟動(dòng)ntp服務(wù)

Centos 7.x使用ntpd服務(wù)提供主機(jī)的時(shí)間服務(wù)，修改過配置文件后需要使用命令systemctl restart chronyd.service重啟服務(wù)生效。

2.4 YUM

根據(jù)實(shí)際情況設(shè)置yum原，在互聯(lián)網(wǎng)的連接情況下選擇合適的yum源，內(nèi)網(wǎng)環(huán)境中可以配置自建的yum源服務(wù)器，也可以設(shè)置本地yum源。

配置說明：

請(qǐng)系統(tǒng)維護(hù)人員根據(jù)機(jī)器實(shí)際所在區(qū)域選擇設(shè)置對(duì)應(yīng)的yum源服務(wù)器地址。

配置命令：

[root@oracle_pref ~]# vim /etc/yum.repos.d/local.repo [local_repo] name=local_repo enabled=1gpgcheck=0baseurl=file:///mnt

文件配置完成后，使用命令yum clean all && yum repolist執(zhí)行更新yum配置。

2.5 時(shí)區(qū)

時(shí)間同步服務(wù)器無法同步時(shí)區(qū)，針對(duì)主機(jī)需要手動(dòng)設(shè)置時(shí)區(qū)。國內(nèi)的服務(wù)器統(tǒng)一使用東八區(qū)時(shí)區(qū)。Centos 7.x系列主機(jī)時(shí)區(qū)設(shè)置為上海Asia/Shanghai。

配置說明：

設(shè)置服務(wù)器的時(shí)區(qū)為東八區(qū)所在城市。配置完成后需要把設(shè)置保存到硬件時(shí)間內(nèi)。

配置命令：

[root@oracle_pref ~]# timedatectl set-timezone Asia/Shanghai [root@oracle_pref ~]# hwclock -w[root@oracle_pref ~]# timedatectl

時(shí)區(qū)修改后可通過timedatectl命令查看確認(rèn)當(dāng)前時(shí)區(qū)是否正確，該命令為永久生效無需再在文件中進(jìn)行修改。

2.6 系統(tǒng)字符集

生產(chǎn)環(huán)境中默認(rèn)主機(jī)系統(tǒng)使用語言為LANG="en_US.UTF-8",如果有特殊需求的應(yīng)用需要其他字符集，需要業(yè)務(wù)方自行進(jìn)行修改。

配置說明：

主機(jī)默認(rèn)字符集為"en_US.UTF-8"，所有模板默認(rèn)使用該字符集，后期業(yè)務(wù)方可以自行根據(jù)需求修改字符集。主機(jī)交付后維護(hù)人員不對(duì)其進(jìn)行修改。

配置命令：

[root@oracle_pref ~]# echo $LANG //查看當(dāng)前字符集[root@oracle_pref ~]# locale -a //查看系統(tǒng)可支持的字符集[root@oracle_pref ~]# vim /etc/locale.conf LANG="en_US.UTF-8"[root@oracle_pref ~]# export LANG= en_US.UTF-8[root@oracle_pref ~]# echo $LANG

使用echo $LANG命令查看確認(rèn)當(dāng)前字符集是否滿足需求，如不滿足業(yè)務(wù)人員請(qǐng)自行修改。

2.7 用戶

在生產(chǎn)環(huán)境中，業(yè)務(wù)和維護(hù)相對(duì)分離。在每臺(tái)服務(wù)器中需要按需創(chuàng)建對(duì)應(yīng)功能的賬戶，提供相應(yīng)業(yè)務(wù)方維護(hù)使用，同時(shí)業(yè)務(wù)賬號(hào)和運(yùn)維賬號(hào)均開通sudo權(quán)限。賬號(hào)UID和GID從1000開始，每個(gè)業(yè)務(wù)賬號(hào)UID和GID在任何一臺(tái)主機(jī)均為固定的相同的值，方便后期的管理和權(quán)限的設(shè)置。

賬戶名

權(quán)限

密碼組合

作用

sudo

備注

root

超級(jí)管理員

8位字母+數(shù)字組合

系統(tǒng)配置

customer

普通用戶

8位字母+數(shù)字組合

業(yè)務(wù)搭建

是

業(yè)務(wù)方使用賬戶

yw_admin

普通用戶

8位字母+數(shù)字組合

運(yùn)維管理員

是

基礎(chǔ)平臺(tái)維護(hù)組成員使用賬戶

配置說明：

新建兩個(gè)賬戶，同時(shí)設(shè)置UID和GID，加入sudo權(quán)限實(shí)現(xiàn)輸入自身密碼切換到root用戶，不以root用戶直接登錄系統(tǒng)。賬號(hào)創(chuàng)建后使用echo '密碼'|passwd --stdin 用戶命令修改密碼。

應(yīng)用組維護(hù)賬號(hào)： yw_admin UID:1000 GID:1000

配置命令：

新建賬戶 [root@oracle_pref ~]# useadd -u 1000 yw_yyg [root@oracle_pref ~]# useadd -u 1100 customer [root@oracle_pref ~]# echo '12345678' |passwd --stdin root [root@oracle_pref ~]# echo '12345678' |passwd --stdin yw_admin [root@oracle_pref ~]# echo '12345678' |passwd --stdin customer

配置sudo [root@oracle_pref ~]# visudo yw_admin ALL=PASSWD:/usr/bin/sudo,/bin/sucustomer ALL=PASSWD:/usr/bin/sudo,/bin/su[oracle@oracle_pref ~]$ sudo su - //切換至root用戶

visudo操作與vim一致，配置完成后使用sudo su -切換到root用戶會(huì)提示輸入自身用戶的密碼。密碼輸入成功后該終端終端保存sudo密碼緩存5分鐘，可使用sudo -k清除。

2.8 歷史命令設(shè)置

Centos 7.x系列系統(tǒng)默認(rèn)保存1000條歷史記錄，修改保留條數(shù)為10000，同時(shí)在加上時(shí)間戳。

配置說明：

在/etc/bashrc最后新增export HISTTIMEFORMAT='%F %T'" "內(nèi)容，在/etc/profile中找到HISTSIZE項(xiàng)，并修改為10000。最后使用source命令執(zhí)行文件，生效配置。

配置命令：

[root@oracle_pref ~]# vim /etc/= ~]# vim /etc/=~]# source /etc/~]# source /etc/profile

歷史命令參數(shù)修改后可使用history確認(rèn)查看歷史命令格式是否正確，使用echo $HISTSIZE查看歷史命令最大保留數(shù)是否正確。

2.9 ulimit系統(tǒng)資源限制

設(shè)置單個(gè)用戶最大的系統(tǒng)資源，保證系統(tǒng)不會(huì)因?yàn)閱蝹€(gè)用戶的操作而造成同系統(tǒng)中其他用戶無法正常作業(yè)。同時(shí)也保證了用戶因?yàn)槟J(rèn)資源使用太小導(dǎo)致的業(yè)務(wù)無法正常使用故障。

配置說明：

在/etc/security/limits.conf文件中指定每個(gè)用戶最大使用的關(guān)鍵性資源值，在/etc/security/limits.d/90-nproc.conf中指定單個(gè)用戶允許打開最大進(jìn)程數(shù)。

nproc:用戶打開進(jìn)程的最大數(shù)量

core:內(nèi)核文件大小

nofile:用戶打開文件的最大數(shù)目

配置命令：

[root@oracle_pref ~]# vim /etc/security/limits.conf* soft nproc 65533* hard nproc 65534* soft core unlimited* hard core unlimited* soft nofile 65533* hard nofile 65534[root@oracle_pref ~]# vim /etc/security/limits.d/20-nproc.conf* soft nproc 65534root soft nproc unlimited [root@oracle_pref ~]# sysctl -p

2.10 TCP/IP網(wǎng)絡(luò)優(yōu)化

修改系統(tǒng)中的TIMEOUT時(shí)間，避免系統(tǒng)出現(xiàn)大量的TIME_WAIT狀態(tài)連接。

配置說明：

在/etc/sysctl.conf文件最后添加對(duì)內(nèi)容，然后使用sysctl -p 命令生效配置，具體配置詳解如下：

net.ipv4.tcp_syncookies = 1

.標(biāo)識(shí)開啟SYN Cookies。當(dāng)出現(xiàn)SYNC等待隊(duì)列溢出時(shí)，啟用cookies來處理，可防范少量SYNC攻擊，默認(rèn)為1，標(biāo)識(shí)關(guān)閉。

net.ipv4.tcp_tw_reuse = 1

.表示開啟重用。允許將TIME-WAIT sockets 重新用于新的TCP連接，默認(rèn)為0，表示關(guān)閉。

net.ipv4.tcp_tw_recycle = 1

.表示開啟TCP連接中TIME-WAIT sockets 的快遞回收，默認(rèn)為0，表示關(guān)閉。

net.ipv4.tcp_fin_timeout = 30

.修改系統(tǒng)默認(rèn)的TIMEOUT時(shí)間，默認(rèn)為60秒

配置命令：

[root@oracle_pref ~]# vim /etc/sysctl.conf net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_fin_timeout = 30[root@oracle_pref ~]# sysctl -p

使用sysctl -p 生效了配置過后，可使用sysctl -a 查看修改是否成功。

2.11 最大文件句柄限制

file-max決定了當(dāng)前內(nèi)核可以打開的最大的文件句柄數(shù)，系統(tǒng)所有進(jìn)程一共可以打開的文件數(shù)量。file-max設(shè)置過小，系統(tǒng)會(huì)提示"不能打開太多的文件"或者"無法打開更多進(jìn)行"。

配置說明：

file-max值確定了系統(tǒng)可以打開的文件數(shù)，最佳值為內(nèi)存(KB)大小的10%。然后在/etc/sysctl.conf中設(shè)置，最后使用sysctl -p 命令生效。cat /proc/sys/fs/file-max命令可查看配置是否生效。

配置命令：

[root@oracle_pref ~]# cat /proc/sys/fs/file-max [root@oracle_pref ~]# grep -r MemTotal /proc/meminfo | awk '{printf("%d",$2/10)}' //獲取最佳文件句柄值[root@oracle_pref ~]# echo "fs.file-max = 1626660" >> /etc/sysctl.conf [root@oracle_pref ~]# sysctl -p

2.12 ssh遠(yuǎn)程服務(wù)

在Linux操作系統(tǒng)中使用sshd協(xié)議登錄操作系統(tǒng)。為了安全起見系統(tǒng)設(shè)置root用戶不能遠(yuǎn)程登陸，系統(tǒng)只能夠通過普通用戶遠(yuǎn)程登陸，然后通過sudo權(quán)限切換到root賬戶下進(jìn)行操作。

配置說明：

在# vim /etc/ssh/sshd_config中把#PermitRootLogin yes修改為PermitRootLogin no最后重啟遠(yuǎn)程服務(wù)。

配置命令：

[root@oracle_pref ~]# vim /etc/ssh/sshd_config PermitRootLogin yes UseDNS no # GSSAPI options #GSSAPIAuthentication no GSSAPIAuthentication no #GSSAPICleanupCredentials yes GSSAPICleanupCredentials no #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no PubkeyAuthentication yes #啟用公告秘鑰配對(duì)認(rèn)證方式 [root@oracle_pref ~]# service sshd restart

配置不允許root通過sshd直接登錄,用戶使用root權(quán)限需要通過普通用戶切換。

2.13 常用軟件安裝

主機(jī)操作中，在不影響業(yè)務(wù)部署應(yīng)用的情況下，為了方便對(duì)主機(jī)系統(tǒng)的管理，所有Centos 7.x系列主機(jī)均預(yù)裝如下工具。

軟件名

作用

net-tools

網(wǎng)絡(luò)管理工具

lrzsz

scp上傳下載文件

gcc*

軟件編譯用

zip

解壓zip壓縮文件

gzip

解壓gz壓縮文件

bzip2

解壓bz2壓縮文件

ftp

訪問ftp服務(wù)器

bash-completion

操作系統(tǒng)命令補(bǔ)齊工具

vim

文本編輯器

dmidecode

獲取服務(wù)器硬件信息

wget

linux訪問web，下載web數(shù)據(jù)

sshpass

免密工具

配置說明：

在配置了yum源過后直接使用yum工具安裝以上軟件。

配置命令：

[root@oracle_pref ~]# yum install net-tools -y [root@oracle_pref ~]# yum install lrzsz -y [root@oracle_pref ~]# yum install gcc* -y [root@oracle_pref ~]# yum install zip -y [root@oracle_pref ~]# yum install gzip -y [root@oracle_pref ~]# yum install bzip2 -y [root@oracle_pref ~]# yum install ftp -y [root@oracle_pref ~]# yum install bash-completion -y [root@oracle_pref ~]# yum install vim –y [root@oracle_pref ~]# yum install dmidecode -y[root@oracle_pref ~]# source /etc/profile.d/bash_completion.sh #執(zhí)行腳本使系統(tǒng)命令自動(dòng)補(bǔ)齊生效

所有軟件安裝安裝完成后建議重啟操作系統(tǒng)。

2.14 主機(jī)安全配置

RHEL 7.x系列操作系統(tǒng)默認(rèn)selinux和firewalld為開啟狀態(tài)，業(yè)務(wù)方可根據(jù)需求進(jìn)行配置修改或直接關(guān)閉?；A(chǔ)運(yùn)維人員不對(duì)主機(jī)安全配置做任何特殊操作。對(duì)于自己使用的機(jī)器建議關(guān)閉掉selinux，iptables可根據(jù)實(shí)際情況確定是否開啟及具體設(shè)置。

2.15 kdump配置

RHEL 7.x系列操作系統(tǒng)默認(rèn)不開啟kdump功能，業(yè)務(wù)方可根據(jù)需求自行配置決定是否開啟該功能，在業(yè)務(wù)比較重要的服務(wù)器主機(jī)上建議開啟kdump尤其是針對(duì)于物理機(jī)，可以起到很好的故障判斷的作用。

2.16 配置登錄策略

設(shè)置用戶登錄系統(tǒng)時(shí)密碼錯(cuò)誤輸入次數(shù)限制，當(dāng)用戶連續(xù)輸入3次及以上的錯(cuò)誤密碼時(shí)，鎖定賬戶180秒。

配置說明：

linux設(shè)置登錄策略需要在兩個(gè)文件中修改。

終端（KVM或直連顯示器）：/etc/pam.d/system-auth

遠(yuǎn)程(ssh): /etc/pam.d/sshd

分別在這兩個(gè)文件正式配置文件第一行，即#%PAM-1.0的下面。添加策略語句。

配置命令：

[root@oracle_pref ~]# vim /etc/pam.d/system-auth #%PAM-1.0# This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_tally2.so onerr=fail deny=3 unlock=180 even_deny_root root_unlock_time=300 [root@oracle_pref ~]# cat /etc/pam.d/sshd #%PAM-1.0auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=30 onerr=fail

三、配置清單

配置清單為現(xiàn)網(wǎng)環(huán)境下基礎(chǔ)信息清單資料。按照生產(chǎn)系統(tǒng)的實(shí)際情況填入數(shù)據(jù)。方便業(yè)務(wù)方或系統(tǒng)維護(hù)人員快速的掌握生產(chǎn)網(wǎng)中的基礎(chǔ)資源。

3.1 基礎(chǔ)資源

基礎(chǔ)資源包括dns、ntp、yum源、堡壘機(jī)等信息。信息以表格形式展示出來，提供運(yùn)維人員查看使用。

資源名

資源地址

資源域名

DNS服務(wù)器

NTP服務(wù)器

YUM源服務(wù)器

ftp服務(wù)器

3.2 UID/GID信息

UID/GID信息記錄表記錄每個(gè)業(yè)務(wù)方對(duì)應(yīng)的操作系統(tǒng)賬號(hào)名及UID和GID號(hào)。每個(gè)業(yè)務(wù)組在整個(gè)生產(chǎn)環(huán)境下有且只有一個(gè)用戶和唯一的UID。

在一套生產(chǎn)環(huán)境中應(yīng)該為每個(gè)系統(tǒng)都設(shè)置一些固定的賬號(hào)，如系統(tǒng)管理員賬號(hào)、監(jiān)控系統(tǒng)賬號(hào)等，使用列表的方式標(biāo)注出來嗎，以方便維護(hù)人員對(duì)系統(tǒng)進(jìn)行維護(hù)。

用戶表：

UID號(hào)

用戶名

業(yè)務(wù)公司

sudo

作用

使用人

1000

yw_admin

XXX公司

是

維護(hù)系統(tǒng)