--時間:2019年2月21日
--作者:飛翔的小胖豬
前言
檔案基于Centos Linux作業系統作為生產服務器運行環境時所必須滿足的條件,包括系統核心、運行庫、使用工具、以及作為服務器系統所具有的可擴展性、可用性、適用性、可管理性、安全性以及性能要求等,
檔案紅字部分均為自定義內容,請維護者根據實際情況填寫,Centos 6系統默認使用network程式進行網路配置,在配置時請關閉NetworkManager程式,Centos 7系統網路配置默認使用NetworkManager配置網路,如果需要使用network配置網路,在配置時請關閉NetworkManager程式,然后使用修改組態檔的方式配置網路,藍色字體部分為檔案不需要改動 部分,
檔案所有的命令均經過測驗可用,在配置時只需要復制相關內容然后根據自己實際情況修改對應紅色字體引數即可使用,
系統配置
檔案針對于現網實際情況,分別對Centos 6和Centos 7系統配置規范進行了說明,
Centos 6.X系列和Centos 7.X系列作業系統均使用最小化安裝作業系統,以保證系統的純凈,業務如需使用到其他軟體,請業務方維護人員自行通過yum源進行安裝配置,
Centos 8.x系列請參考Centos 7.x系列配置謝謝,
檔案作用
檔案主要作用是提醒我自己安裝系統過后需要確認的一些配置,不喜勿噴,哈哈,
一、Centos 6.X 系列配置
Centos 6.x系列作業系統、使用network對外提供網路服務,所有網路配置均通過檔案的形式進行更改,
1.1 主機名
主機名:YWXT-YW-ZJLX-ZJXH(業務系統-業務名-主機型別-主機序號)
例子:
AI智能分析-人臉分析-資料庫-001 主機名設定為 AIZNFX-RLFX-SJK-001
配置說明:
系統主機名要準確的表示出業務系統、小業務名、主機型別作用等資訊,每個欄位均使用中文首字符簡寫,
配置命令:
[root@oracle_pref ~]# vim /etc/hosts 192.168.111.100 AIZNFX-RLFX-SJK-001 [root@oracle_pref ~]# vim /etc/sysconfig/network NETWORKING=yes HOSTNAME= AIZNFX-RLFX-SJK-001
centos6.x版本需要在/etc/hosts和/etc/sysconfig/network兩處檔案修改配置,
1.2 DNS
根據實際情況選擇dns服務器,處于互聯網的主機在設定dns時可選用運營商提供dns決議服務器,對于內網環境下請根據自己環境實際條件設定回應的dns,
互聯網常見DNS:
|
IP地址 |
提供方 |
|
114.114.114.114 |
114 |
|
180.76.76.76 |
百度 |
|
223.5.5.5 |
阿里 |
|
119.29.29.29 |
DNSPod DNS |
|
1.2.4.8 |
CNNIC SDNS |
|
101.226.4.6 |
DNS派 |
|
208.67.222.222 |
OpenDNS |
|
8.8.8.8 |
Google DNS |
配置說明:
請系統維護人員根據機器實際所在區域選擇設定DNS,內網選擇自建的dns或者不設定dns,連接互聯網的情況下可指定本地網關或運營商提供的dns地址作為域名決議,
配置命令:
[root@oracle_pref ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 IPADDR=192.168.111.100 NETMASK=255.255.255.0 ONBOOT=yes NAME=eth0 GATEWAY=192.168.111.1 DNS1=192.168.111.1 BOOTPROTO=static
針對于Centos 6.X系列的作業系統,使用修改檔案的方式完成DNS及網路的配置,配置修改完成后需要使用命令重啟service network restart網路服務生效,
1.3 NTP
根據實際情況為服務器設定ntp時間同步服務器,互聯網中隨意選擇一個,內網環境中根據設定為建的ntp服務器地址,
配置說明:
請系統維護人員根據機器實際所在區域選擇設定對應的NTP服務器地址,可使用域名也可以使用ip地址,
配置命令:
[root@oracle_pref ~]# vim /etc/ntp.conf # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). #server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server 192.168.111.10 iburst ……………… [root@oracle_pref ~]# chkconfig ntpd on //開機啟動ntp服務
Centos 6.x使用ntpd服務提供主機的時間服務,修改過組態檔后需要使用命令service ntpd restart重啟服務生效,
1.4 YUM
根據實際情況設定yum原,在互聯網的連接情況下選擇合適的yum源,內網環境中可以配置自建的yum源服務器,也可以設定本地yum源,
配置說明:
請系統維護人員根據機器實際所在區域選擇設定對應的yum源服務器地址,
配置命令:
[root@oracle_pref ~]# vim /etc/yum.repos.d/local.repo [local_repo] name=local_repo enabled=1 gpgcheck=0 baseurl=file:///mnt
檔案配置完成后,使用命令yum clean all && yum repolist執行更新yum配置,
1.5 時區
由于ntp服務只能同步時間而無法同步時區,主機需要手動設定時區,國內的服務器統一使用東八區時區,
配置說明:
設定服務器的時區為東八區所在城市,配置完成后需要把設定保存到硬體時間內,Centos 6.x系列作業系統使用Chongqing為時區所在地,
配置命令:
[root@oracle_pref ~]# vim /etc/sysconfig/clock
ZONE="Asia/ Chongqing"
[root@oracle_pref ~]# cp /usr/share/zoneinfo/Asia/Chongqing /etc/localtime -R [root@oracle_pref ~]# hwclock -w [root@oracle_pref ~]# date –R [root@oracle_pref ~]# cat /etc/sysconfig/clock
時區修改后可通過date -R和cat /etc/sysconfig/clock命令查看確認當前時區是否正確,
1.6 系統字符集
生產環境中默認主機系統使用語言為LANG="en_US.UTF-8",如果有特殊需求的應用需要其他字符集,需要業務方自行進行修改,
配置說明:
使用cat /etc/sysconfig/i18n命令查看系統字符集,默認字符集為"en_US.UTF-8",所有模板默認使用該字符集,后期業務方可以自行根據需求修改字符集,主機交付后維護人員不對其進行修改,
配置命令:
[root@oracle_pref ~]# locale -a //查看系統可支持的字符集 [root@oracle_pref ~]# vim /etc/sysconfig/i18n LANG="en_US.UTF-8" SYSFONT="latarcyrheb-sun16" [root@oracle_pref ~]# export LANG= en_US.UTF-8 [root@oracle_pref ~]# echo $LANG [root@oracle_pref ~]# cat /etc/sysconfig/i18n
首先使用locale -a命令查看系統可支持的字符集,選擇所需要的字符集在/etc/sysconfig/i18n檔案中修改,最后使用命令查看確認字符集設定情況,
1.7 用戶
在生產環境中,業務和維護相對分離,在每臺服務器中需要按需創建對應功能的賬戶,提供相應業務方維護使用,同時業務賬號和運維賬號均開通sudo權限,賬號UID和GID從1000開始,每個業務賬號UID和GID在任何一臺主機均為固定的相同的值,方便后期的管理和權限的設定,
|
賬戶名 |
權限 |
密碼組合 |
作用 |
sudo |
備注 |
|
root |
超級管理員 |
8位字母+數字組合 |
系統配置 |
|
|
|
customer |
普通用戶 |
8位字母+數字組合 |
業務搭建 |
是 |
業務方使用賬戶 |
|
yw_admin |
普通用戶 |
8位字母+數字組合 |
運維管理員 |
是 |
基礎平臺維護組成員使用賬戶 |
配置說明:
新建兩個賬戶,同時設定UID和GID,加入sudo權限實作輸入自身密碼切換到root用戶,不以root用戶直接登錄系統,賬號創建后使用echo '密碼'|passwd --stdin 用戶 命令修改密碼,
應用組維護賬號: yw_admin UID:1000 GID:1000
配置命令:
新建賬戶 [root@oracle_pref ~]# useadd -u 1000 yw_yyg [root@oracle_pref ~]# useadd -u 1100 customer [root@oracle_pref ~]# echo '12345678' |passwd --stdin root [root@oracle_pref ~]# echo '12345678' |passwd --stdin yw_admin [root@oracle_pref ~]# echo '12345678' |passwd --stdin customer
配置sudo [root@oracle_pref ~]# # visudo yw_admin ALL=PASSWD:/usr/bin/sudo,/bin/su customer ALL=PASSWD:/usr/bin/sudo,/bin/su [oracle@oracle_pref ~]$ $sudo su - //切換至root用戶
visudo操作與vim一致,配置完成后使用sudo su -切換到root用戶會提示輸入自身用戶的密碼,密碼輸入成功后該終端終端保存sudo密碼快取5分鐘,可使用sudo -k清除,
1.8 歷史命令設定
Centos 6.x系列系統默認保存1000條歷史記錄,修改保留條數為10000,同時加上時間戳,
配置說明:
在/etc/bashrc最后新增export HISTTIMEFORMAT='%F %T'" "內容,在/etc/profile中找到HISTSIZE項,并修改為10000,最后使用source命令執行檔案,生效配置,
配置命令:
[root@oracle_pref ~]# vim /etc/bashrc export HISTTIMEFORMAT='%F %T'" " [root@oracle_pref ~]# vim /etc/profile HISTSIZE=10000 [root@oracle_pref ~]# source /etc/bashrc [root@oracle_pref ~]# source /etc/profile
歷史命令引數修改后可使用history確認查看歷史命令格式是否正確,使用echo $HISTSIZE查看歷史命令最大保留數是否正確,
1.9 ulimit系統資源限制
設定單個用戶最大的系統資源,保證系統不會因為單個用戶的操作而造成同系統中其他用戶無法正常作業,同時也保證了用戶因為默認資源使用太小導致的業務無法正常使用故障,
配置說明:
在/etc/security/limits.conf檔案中指定每個用戶最大使用的關鍵性資源值,在/etc/security/limits.d/90-nproc.conf中指定單個用戶允許打開最大行程數,
nproc:用戶打開行程的最大數量
core:內核檔案大小
nofile:用戶打開檔案的最大數目
配置命令:
[root@oracle_pref ~]# vim /etc/security/limits.conf * soft nproc 65533 * hard nproc 65534 * soft core unlimited * hard core unlimited * soft nofile 65533 * hard nofile 65534 [root@oracle_pref ~]# vim /etc/security/limits.d/90-nproc.conf * soft nproc 65534 root soft nproc unlimited [root@oracle_pref ~]# sysctl -p
1.10 TCP/IP網路優化
修改系統中的TIMEOUT時間,避免系統出現大量的TIME_WAIT狀態連接,
配置說明:
在/etc/sysctl.conf檔案最后添加對內容,然后使用sysctl -p 命令生效配置,具體配置詳解如下:
net.ipv4.tcp_syncookies = 1
.標識開啟SYN Cookies,當出現SYNC等待佇列溢位時,啟用cookies來處理,可防范少量SYNC攻擊,默認為1,標識關閉,
net.ipv4.tcp_tw_reuse = 1
.表示開啟重用,允許將TIME-WAIT sockets 重新用于新的TCP連接,默認為0,表示關閉,
net.ipv4.tcp_tw_recycle = 1
.表示開啟TCP連接中TIME-WAIT sockets 的快遞回收,默認為0,表示關閉,
net.ipv4.tcp_fin_timeout = 30
.修改系統默認的TIMEOUT時間,默認為60秒
配置命令:
[root@oracle_pref ~]# vim /etc/sysctl.conf net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_fin_timeout = 30 [root@oracle_pref ~]# sysctl -p
使用sysctl -p 生效了配置過后,可使用sysctl -a 查看修改是否成功,
1.11 最大檔案句柄限制
file-max決定了當前內核可以打開的最大的檔案句柄數,系統所有行程一共可以打開的檔案數量,file-max設定過小,系統會提示"不能打開太多的檔案"或者"無法打開更多進行",
配置說明:
file-max值確定了系統可以打開的檔案數,最佳值為記憶體(KB)大小的10%,然后在/etc/sysctl.conf中設定,最后使用sysctl -p 命令生效,cat /proc/sys/fs/file-max命令可查看配置是否生效,
配置命令:
[root@oracle_pref ~]# cat /proc/sys/fs/file-max [root@oracle_pref ~]# grep -r MemTotal /proc/meminfo | awk '{printf("%d",$2/10)}' //獲取最佳檔案句柄值 [root@oracle_pref ~]# echo "fs.file-max = 1626660" >> /etc/sysctl.conf [root@oracle_pref ~]# sysctl -p
1.12 ssh遠程服務
在Linux作業系統中使用sshd協議登錄作業系統,為了安全起見系統設定root用戶不能遠程登陸,系統只能夠通過普通用戶遠程登陸,然后通過sudo權限切換到root賬戶下進行操作,
配置說明:
在# vim /etc/ssh/sshd_config中把#PermitRootLogin yes修改為PermitRootLogin no最后重啟遠程服務,
配置命令:
[root@oracle_pref ~]# vim /etc/ssh/sshd_config PermitRootLogin yes UseDNS no # GSSAPI options #GSSAPIAuthentication no GSSAPIAuthentication no #GSSAPICleanupCredentials yes GSSAPICleanupCredentials no #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no PubkeyAuthentication yes #啟用公告秘鑰配對認證方式 RSAAuthentication yes #允許RSA秘鑰 [root@oracle_pref ~]# service sshd restart
配置不允許root通過sshd直接登錄,用戶使用root權限需要通過普通用戶切換,
1.13 常用軟體安裝
主機操作中,在不影響業務部署應用的情況下,為了方便對主機系統的管理,所有Centos 6.x系列主機均預裝如下工具,
|
軟體名 |
作用 |
|
net-tools |
網路管理工具 |
|
lrzsz |
scp上傳下載檔案 |
|
gcc* |
軟體編譯用 |
|
zip |
解壓zip壓縮檔案 |
|
gzip |
解壓gz壓縮檔案 |
|
bzip2 |
解壓bz2壓縮檔案 |
|
ftp |
訪問ftp服務器 |
|
vim |
文本編輯器 |
|
dmidecode |
獲取服務器硬體資訊 |
|
wget |
linux訪問web,下載web資料 |
|
sshpass |
免密工具 |
配置說明:
在配置了yum源過后直接使用yum工具安裝以上軟體,
配置命令:
[root@oracle_pref ~]# yum install net-tools -y [root@oracle_pref ~]# yum install lrzsz -y [root@oracle_pref ~]# yum install gcc* -y [root@oracle_pref ~]# yum install zip -y [root@oracle_pref ~]# yum install gzip -y [root@oracle_pref ~]# yum install bzip2 -y [root@oracle_pref ~]# yum install ftp -y [root@oracle_pref ~]# yum install vim -y [root@oracle_pref ~]# yum install dmidecode -y
1.14 主機安全配置
RHEL 6.x系列作業系統默認selinux和iptables為開啟狀態,業務方可根據需求進行配置修改或直接關閉,基礎運維人員不對主機安全配置做任何特殊操作,對于自己使用的機器建議關閉掉selinux,iptables可根據實際情況確定是否開啟及具體設定,
1.15 kdump配置
對于業務不是太重要的業務,建議關閉掉kdump功能,
1.1.16 配置登錄策略
設定用戶登錄系統時密碼錯誤輸入次數限制,當用戶連續輸入3次及以上的錯誤密碼時,鎖定賬戶180秒,
配置說明:
linux設定登錄策略需要在兩個檔案中修改,
終端(KVM或直連顯示幕):/etc/pam.d/system-auth
遠程(ssh): /etc/pam.d/sshd
分別在這兩個檔案正式組態檔第一行,即#%PAM-1.0的下面,添加策略陳述句,
配置命令:
[root@oracle_pref ~]# vim /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_tally2.so onerr=fail deny=3 unlock=180 even_deny_root root_unlock_time=300 [root@oracle_pref ~]# cat /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=30 onerr=fail
二、Centos 7.x 系列配置
Centos 7.x系列作業系統、使用NetworkManager對外提供網路服務,所有網路配置均通過命令實作永久性更改,無需再次使用檔案的形式進行更改,
2.1 主機名
主機名:YWXT-YW-ZJLX-ZJXH(業務系統-業務名-主機型別-主機序號)
例子:
AI智能分析-人臉分析-資料庫-001 主機名設定為 AIZNFX-RLFX-SJK-001
配置說明:
系統主機名要準確的表示出業務系統、小業務名、主機型別作用等資訊,每個欄位均使用中文首字符簡寫,
配置命令:
[root@oracle_pref ~]# hostnamectl set-hostname AIZNFX-RLFX-SJK-001
Centos 7.x系列系統使用hostnamectl set-hostname命令該主機名后為永久生效,不需要再次到檔案中修改配置,
2.2 DNS
根據實際情況選擇dns服務器,處于互聯網的主機在設定dns時可選用運營商提供dns決議服務器,對于內網環境下請根據自己環境實際條件設定回應的dns,
互聯網常見dns地址:
|
IP地址 |
提供方 |
|
114.114.114.114 |
114 |
|
180.76.76.76 |
百度 |
|
223.5.5.5 |
阿里 |
|
119.29.29.29 |
DNSPod DNS |
|
1.2.4.8 |
CNNIC SDNS |
|
101.226.4.6 |
DNS派 |
|
208.67.222.222 |
OpenDNS |
|
8.8.8.8 |
Google DNS |
配置說明:
請系統維護人員根據機器實際所在區域選擇設定DNS,內網選擇自建的dns或者不設定dns,連接互聯網的情況下可指定本地網關或運營商提供的dns地址作為域名決議,
配置命令:
[root@oracle_pref ~]# nmcli conn modify eth0 ipv4.dns "192.168.111.1"; [root@oracle_pref ~]# nmcli conn down eth0;nmcli conn up eth0;
針對于Centos 7.X系列的作業系統,使用命令方式完成DNS及網路的配置,配置修改完成重新讀取埠配置,
2.3 NTP
根據實際情況為服務器設定ntp時間同步服務器,互聯網中隨意選擇一個,內網環境中根據設定為建的ntp服務器地址,
配置說明:
請系統維護人員根據機器實際所在區域選擇設定對應的NTP服務器地址,可使用域名也可以使用ip地址,
配置命令:
[root@oracle_pref ~]# vim /etc/chrony.conf # Use public servers from the pool.ntp.org project. # Please consider joining the pool (http://www.pool.ntp.org/join.html). #server 0.centos.pool.ntp.org iburst #server 1.centos.pool.ntp.org iburst #server 2.centos.pool.ntp.org iburst #server 3.centos.pool.ntp.org iburst server 192.168.111.10 iburst ……………… [root@oracle_pref ~]# systemctl restart chronyd.service //重啟ntp服務 [root@oracle_pref ~]# systemctl enable chronyd.service //開機啟動ntp服務
Centos 7.x使用ntpd服務提供主機的時間服務,修改過組態檔后需要使用命令systemctl restart chronyd.service重啟服務生效,
2.4 YUM
根據實際情況設定yum原,在互聯網的連接情況下選擇合適的yum源,內網環境中可以配置自建的yum源服務器,也可以設定本地yum源,
配置說明:
請系統維護人員根據機器實際所在區域選擇設定對應的yum源服務器地址,
配置命令:
[root@oracle_pref ~]# vim /etc/yum.repos.d/local.repo [local_repo] name=local_repo enabled=1 gpgcheck=0 baseurl=file:///mnt
檔案配置完成后,使用命令yum clean all && yum repolist執行更新yum配置,
2.5 時區
時間同步服務器無法同步時區,針對主機需要手動設定時區,國內的服務器統一使用東八區時區,Centos 7.x系列主機時區設定為上海Asia/Shanghai,
配置說明:
設定服務器的時區為東八區所在城市,配置完成后需要把設定保存到硬體時間內,
配置命令:
[root@oracle_pref ~]# timedatectl set-timezone Asia/Shanghai [root@oracle_pref ~]# hwclock -w [root@oracle_pref ~]# timedatectl
時區修改后可通過timedatectl命令查看確認當前時區是否正確,該命令為永久生效無需再在檔案中進行修改,
2.6 系統字符集
生產環境中默認主機系統使用語言為LANG="en_US.UTF-8",如果有特殊需求的應用需要其他字符集,需要業務方自行進行修改,
配置說明:
主機默認字符集為"en_US.UTF-8",所有模板默認使用該字符集,后期業務方可以自行根據需求修改字符集,主機交付后維護人員不對其進行修改,
配置命令:
[root@oracle_pref ~]# echo $LANG //查看當前字符集 [root@oracle_pref ~]# locale -a //查看系統可支持的字符集 [root@oracle_pref ~]# vim /etc/locale.conf LANG="en_US.UTF-8" [root@oracle_pref ~]# export LANG= en_US.UTF-8 [root@oracle_pref ~]# echo $LANG
使用echo $LANG命令查看確認當前字符集是否滿足需求,如不滿足業務人員請自行修改,
2.7 用戶
在生產環境中,業務和維護相對分離,在每臺服務器中需要按需創建對應功能的賬戶,提供相應業務方維護使用,同時業務賬號和運維賬號均開通sudo權限,賬號UID和GID從1000開始,每個業務賬號UID和GID在任何一臺主機均為固定的相同的值,方便后期的管理和權限的設定,
|
賬戶名 |
權限 |
密碼組合 |
作用 |
sudo |
備注 |
|
root |
超級管理員 |
8位字母+數字組合 |
系統配置 |
|
|
|
customer |
普通用戶 |
8位字母+數字組合 |
業務搭建 |
是 |
業務方使用賬戶 |
|
yw_admin |
普通用戶 |
8位字母+數字組合 |
運維管理員 |
是 |
基礎平臺維護組成員使用賬戶 |
配置說明:
新建兩個賬戶,同時設定UID和GID,加入sudo權限實作輸入自身密碼切換到root用戶,不以root用戶直接登錄系統,賬號創建后使用echo '密碼'|passwd --stdin 用戶 命令修改密碼,
應用組維護賬號: yw_admin UID:1000 GID:1000
配置命令:
新建賬戶 [root@oracle_pref ~]# useadd -u 1000 yw_yyg [root@oracle_pref ~]# useadd -u 1100 customer [root@oracle_pref ~]# echo '12345678' |passwd --stdin root [root@oracle_pref ~]# echo '12345678' |passwd --stdin yw_admin [root@oracle_pref ~]# echo '12345678' |passwd --stdin customer
配置sudo [root@oracle_pref ~]# visudo yw_admin ALL=PASSWD:/usr/bin/sudo,/bin/su customer ALL=PASSWD:/usr/bin/sudo,/bin/su [oracle@oracle_pref ~]$ sudo su - //切換至root用戶
visudo操作與vim一致,配置完成后使用sudo su -切換到root用戶會提示輸入自身用戶的密碼,密碼輸入成功后該終端終端保存sudo密碼快取5分鐘,可使用sudo -k清除,
2.8 歷史命令設定
Centos 7.x系列系統默認保存1000條歷史記錄,修改保留條數為10000,同時在加上時間戳,
配置說明:
在/etc/bashrc最后新增export HISTTIMEFORMAT='%F %T'" "內容,在/etc/profile中找到HISTSIZE項,并修改為10000,最后使用source命令執行檔案,生效配置,
配置命令:
[root@oracle_pref ~]# vim /etc/bashrc
export HISTTIMEFORMAT='%F %T'" "
[root@oracle_pref ~]# vim /etc/profile
HISTSIZE=10000
[root@oracle_pref ~]# source /etc/bashrc
[root@oracle_pref ~]# source /etc/profile
歷史命令引數修改后可使用history確認查看歷史命令格式是否正確,使用echo $HISTSIZE查看歷史命令最大保留數是否正確,
2.9 ulimit系統資源限制
設定單個用戶最大的系統資源,保證系統不會因為單個用戶的操作而造成同系統中其他用戶無法正常作業,同時也保證了用戶因為默認資源使用太小導致的業務無法正常使用故障,
配置說明:
在/etc/security/limits.conf檔案中指定每個用戶最大使用的關鍵性資源值,在/etc/security/limits.d/90-nproc.conf中指定單個用戶允許打開最大行程數,
nproc:用戶打開行程的最大數量
core:內核檔案大小
nofile:用戶打開檔案的最大數目
配置命令:
[root@oracle_pref ~]# vim /etc/security/limits.conf * soft nproc 65533 * hard nproc 65534 * soft core unlimited * hard core unlimited * soft nofile 65533 * hard nofile 65534 [root@oracle_pref ~]# vim /etc/security/limits.d/20-nproc.conf * soft nproc 65534 root soft nproc unlimited [root@oracle_pref ~]# sysctl -p
2.10 TCP/IP網路優化
修改系統中的TIMEOUT時間,避免系統出現大量的TIME_WAIT狀態連接,
配置說明:
在/etc/sysctl.conf檔案最后添加對內容,然后使用sysctl -p 命令生效配置,具體配置詳解如下:
net.ipv4.tcp_syncookies = 1
.標識開啟SYN Cookies,當出現SYNC等待佇列溢位時,啟用cookies來處理,可防范少量SYNC攻擊,默認為1,標識關閉,
net.ipv4.tcp_tw_reuse = 1
.表示開啟重用,允許將TIME-WAIT sockets 重新用于新的TCP連接,默認為0,表示關閉,
net.ipv4.tcp_tw_recycle = 1
.表示開啟TCP連接中TIME-WAIT sockets 的快遞回收,默認為0,表示關閉,
net.ipv4.tcp_fin_timeout = 30
.修改系統默認的TIMEOUT時間,默認為60秒
配置命令:
[root@oracle_pref ~]# vim /etc/sysctl.conf net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_fin_timeout = 30 [root@oracle_pref ~]# sysctl -p
使用sysctl -p 生效了配置過后,可使用sysctl -a 查看修改是否成功,
2.11 最大檔案句柄限制
file-max決定了當前內核可以打開的最大的檔案句柄數,系統所有行程一共可以打開的檔案數量,file-max設定過小,系統會提示"不能打開太多的檔案"或者"無法打開更多進行",
配置說明:
file-max值確定了系統可以打開的檔案數,最佳值為記憶體(KB)大小的10%,然后在/etc/sysctl.conf中設定,最后使用sysctl -p 命令生效,cat /proc/sys/fs/file-max命令可查看配置是否生效,
配置命令:
[root@oracle_pref ~]# cat /proc/sys/fs/file-max [root@oracle_pref ~]# grep -r MemTotal /proc/meminfo | awk '{printf("%d",$2/10)}' //獲取最佳檔案句柄值 [root@oracle_pref ~]# echo "fs.file-max = 1626660" >> /etc/sysctl.conf [root@oracle_pref ~]# sysctl -p
2.12 ssh遠程服務
在Linux作業系統中使用sshd協議登錄作業系統,為了安全起見系統設定root用戶不能遠程登陸,系統只能夠通過普通用戶遠程登陸,然后通過sudo權限切換到root賬戶下進行操作,
配置說明:
在# vim /etc/ssh/sshd_config中把#PermitRootLogin yes修改為PermitRootLogin no最后重啟遠程服務,
配置命令:
[root@oracle_pref ~]# vim /etc/ssh/sshd_config PermitRootLogin yes UseDNS no # GSSAPI options #GSSAPIAuthentication no GSSAPIAuthentication no #GSSAPICleanupCredentials yes GSSAPICleanupCredentials no #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no PubkeyAuthentication yes #啟用公告秘鑰配對認證方式 [root@oracle_pref ~]# service sshd restart
配置不允許root通過sshd直接登錄,用戶使用root權限需要通過普通用戶切換,
2.13 常用軟體安裝
主機操作中,在不影響業務部署應用的情況下,為了方便對主機系統的管理,所有Centos 7.x系列主機均預裝如下工具,
|
軟體名 |
作用 |
|
net-tools |
網路管理工具 |
|
lrzsz |
scp上傳下載檔案 |
|
gcc* |
軟體編譯用 |
|
zip |
解壓zip壓縮檔案 |
|
gzip |
解壓gz壓縮檔案 |
|
bzip2 |
解壓bz2壓縮檔案 |
|
ftp |
訪問ftp服務器 |
|
bash-completion |
作業系統命令補齊工具 |
|
vim |
文本編輯器 |
|
dmidecode |
獲取服務器硬體資訊 |
|
wget |
linux訪問web,下載web資料 |
|
sshpass |
免密工具 |
配置說明:
在配置了yum源過后直接使用yum工具安裝以上軟體,
配置命令:
[root@oracle_pref ~]# yum install net-tools -y [root@oracle_pref ~]# yum install lrzsz -y [root@oracle_pref ~]# yum install gcc* -y [root@oracle_pref ~]# yum install zip -y [root@oracle_pref ~]# yum install gzip -y [root@oracle_pref ~]# yum install bzip2 -y [root@oracle_pref ~]# yum install ftp -y [root@oracle_pref ~]# yum install bash-completion -y [root@oracle_pref ~]# yum install vim –y [root@oracle_pref ~]# yum install dmidecode -y
[root@oracle_pref ~]# source /etc/profile.d/bash_completion.sh #執行腳本使系統命令自動補齊生效
所有軟體安裝安裝完成后建議重啟作業系統,
2.14 主機安全配置
RHEL 7.x系列作業系統默認selinux和firewalld為開啟狀態,業務方可根據需求進行配置修改或直接關閉,基礎運維人員不對主機安全配置做任何特殊操作,對于自己使用的機器建議關閉掉selinux,iptables可根據實際情況確定是否開啟及具體設定,
2.15 kdump配置
RHEL 7.x系列作業系統默認不開啟kdump功能,業務方可根據需求自行配置決定是否開啟該功能,在業務比較重要的服務器主機上建議開啟kdump尤其是針對于物理機,可以起到很好的故障判斷的作用,
2.16 配置登錄策略
設定用戶登錄系統時密碼錯誤輸入次數限制,當用戶連續輸入3次及以上的錯誤密碼時,鎖定賬戶180秒,
配置說明:
linux設定登錄策略需要在兩個檔案中修改,
終端(KVM或直連顯示幕):/etc/pam.d/system-auth
遠程(ssh): /etc/pam.d/sshd
分別在這兩個檔案正式組態檔第一行,即#%PAM-1.0的下面,添加策略陳述句,
配置命令:
[root@oracle_pref ~]# vim /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_tally2.so onerr=fail deny=3 unlock=180 even_deny_root root_unlock_time=300 [root@oracle_pref ~]# cat /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=30 onerr=fail
三、配置清單
配置清單為現網環境下基礎資訊清單資料,按照生產系統的實際情況填入資料,方便業務方或系統維護人員快速的掌握生產網中的基礎資源,
3.1 基礎資源
基礎資源包括dns、ntp、yum源、堡壘機等資訊,資訊以表格形式展示出來,提供運維人員查看使用,
|
資源名 |
資源地址 |
資源域名 |
|
DNS服務器 |
|
|
|
NTP服務器 |
|
|
|
YUM源服務器 |
|
|
|
ftp服務器 |
|
|
3.2 UID/GID資訊
UID/GID資訊記錄表記錄每個業務方對應的作業系統賬號名及UID和GID號,每個業務組在整個生產環境下有且只有一個用戶和唯一的UID,
在一套生產環境中應該為每個系統都設定一些固定的賬號,如系統管理員賬號、監控系統賬號等,使用串列的方式標注出來嗎,以方便維護人員對系統進行維護,
用戶表:
|
UID號 |
用戶名 |
業務公司 |
sudo |
作用 |
使用人 |
|
1000 |
yw_admin |
XXX公司 |
是 |
維護系統 |
全基礎運維組成員 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
組表:
|
GID號 |
組名 |
業務公司 |
作用 |
使用人 |
|
1000 |
yw_admin |
XXX公司 |
維護系統 |
全基礎運維組成員 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/185227.html
標籤:Linux
下一篇:DOS打開方式