Linux安装实施规范.doc

Linux系统安装规范步骤Linux系统安装及配置实施规范方案2017年03月29日版权说明本文档版权由中国电信集团江西有限公司信息技术中心所有。未经中国电信集团江西有限公司信息技术中心书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。版本控制目录版权说明2版本控制2一.安装准备51.硬件准备：52.软件准备：53.磁盘RAID规划54.收集信息5二.安装过程61.分区规划62.Linux安装61.安装前准备62.安装Linux基本系统6三.系统安装配置161.配置默认运行级别：162.安装其他软件包：163.设置环境变量：174.修改系统日志保存设置：175.性能监控部署和分析工具使用 nmon：186.分配置内核启动参数：（可选操作）187.配置内核参数：（可选操作）198.开启Kdump功能（可选操作）21四.应用配置221.多路径软件：（可选操作）222.多网卡绑定：（可选操作）223.配置本地YUM服务,便于添加未安装的软件包（可选操作）25五.安全设置261.加强系统安全文件保护：262.关闭不需要的服务：263.删除finger程序,具体方法如下：274.帐号安全设置：275./etc/aliases文件：276.防止任何人都可以用su命令成为root：277.禁止root SSH登录：288.使Control+Alt+Delete关机键无效：289.设定登录不活动时间：2810.history记录详细的操作时间与访问IP：2811.收回系统编译器的权限或删除：（可选操作）2912.删除不必要的用户和组用户：（可选操作）2913.TCP_Wrappers：（可选操作）2914.取消可执行程序的s标志位：（可选操作）3015.软NFS（可选操作）32六.备份系统最初的重要文件32附件：Linux(Unix)时钟同步ntpd服务配置方法32附件2：linux中ftp的配置管理34附件3：linux中ftp的配置管理38一. 安装准备1. 硬件准备：序号确认内容备注1、设备拆箱随机带光盘和手册归档存放2、设备上架（机架式）1、上架前注意检查机柜空间、机柜UPS供电冗余、UPS最大功率、设备散热、3、机器电源检查4、硬件自检通过5、连接磁带机、磁盘阵列连接（系统安装完毕后连接）6、网络设备连通检查2. 软件准备：序号安装介质版本备注1服务器启动光盘2RHEL AS 5 update 23. 磁盘RAID规划硬盘数量RAID LEVEL备注2RAID 13RAID 1 + hotspare4RAID 105RAID 10 + hotspare5块以上酌情处理注：一般PC服务器机器本机硬盘也就2块，需要更好的性能和可靠性，推荐四块硬盘做RAID10。4. 收集信息序号内容信息记录1IP地址，掩码，网关、DNS、主机名2root 口令二. 安装过程1. 分区规划对于本地硬盘一下目录建立在非LVM管理分区大小分区类型文件系统备注/boot200M主分区ext3非LVM逻辑卷/4G主分区ext3非LVM逻辑卷Swap如果RAM 2 G, swap = 2RAM 否则 swap = RAM 大于4G的swap划分原则，划分多个swap，每个swap大小为 4G主分区非LVM逻辑卷/usr10G逻辑分区ext3LVM逻辑卷/var10G逻辑分区ext3LVM逻辑卷/home20G逻辑分区ext3LVM逻辑卷/tmp10G逻辑分区ext3LVM逻辑卷/opt10G逻辑分区ext3LVM逻辑卷剩余空间LVM逻辑卷，暂时不分，作为以后机动空间2. Linux安装1. 安装前准备选择REDHATAS5.064位，硬盘50G，存储在winsd1里，挂载好REDHAT安装盘。2. 安装Linux基本系统1. 进入安装界面，回车：2. 光盘检测界面，选择SKIP跳过：3. 选择语言，简体中文：4. 选择键盘类型，美国英语式：5. 输入安装序列号49af89414d1475896. 选择自定义分区结构，下一步：7. 按照分区要求分区，先划分/boot、/、swap区，并强制为主分区，剩余分区建立LVM，然后在LVM划分/usr、/var等，如下表及图：分区大小分区类型文件系统备注/boot200M主分区ext3非LVM逻辑卷/4G主分区ext3非LVM逻辑卷Swap如果RAM /dev/null 2 /dev/null | true/bin/kill -HUP cat /var/run/rsyslogd.pid 2 /dev/null 2 /dev/null | true endscript/var/log/messages weekly size=10M rotate 50 sharedscripts postrotate /bin/kill -HUP cat /var/run/syslogd.pid 2 /dev/null 2 /dev/null | true/bin/kill -HUP cat /var/run/rsyslogd.pid 2 /dev/null 2 /dev/null | true endscript5. 性能监控部署和分析工具使用 nmon： 1、部署监控工具上传nmon_x86_11f.zip或者nmon_x86_64_rhel4.zip到服务器目录 /soft_ins/nmon，nmon_x86_11f.zip适用于32位系统，nmon_x86_64_rhel4.zip适用于64位系统。以下操作为root用户，到目录/soft_ins/nmon，解压文件，并修改文件属性。#cd /soft_ins/nmon#unzip nmon_x86_11f.zip （如果是64位机器请解压 nmon_x86_64_rhel4.zip）#chmod 755 nmon_x86_rhel4 （如果是64位机器文件名为nmon_x86_64_rhel4）新建文件nmon.sh #vi nmon.sh内容为：#/bin/shcd /soft_ins/nmon./ nmon_x86_64_rhel4 -fT注解 nmon -fT (缺省为s300 c288,即一天时间，每隔5分钟）添加定时程序#crontab -e增加如下行：0 0 * * * /soft_ins/nmon/nmon.sh/dev/null 2&1每天都会在目录/soft_ins/nmon生成一份日志文件，格式如下：hostname_YYMMDD_0000.nmon如：ssr900a02_090121_0000.nmon1、 分析工具使用下载日志文件如：hostname_090121_0000.nmon这样的文件到本地，解压nmon_analyser.zip得到nmon analyser v334.xls，就可以导入记录文件进行分析了。参考信息 /showthread.php?t=17456. 分配置内核启动参数：（可选操作）位置：/boot/grub/grub.conf 的 kernel 行原则：DB服务器：elevator=deadlineWEB 服务器：elevator=as其它情况不需要修改：使用RHEL的默认配置(elevator=cfq)内容：kernel /vmlinuz-2.6.18-92.el5 ro root=LABEL=/ elevator=as7. 配置内核参数：（可选操作）文件位：etc/sysctl.conf;内容添加:net.ipv4.ip_forward = 0net.ipv4.tcp_syncookies = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.tcp_keepalive_time = 1800net.ipv4.tcp_timestamps = 0net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_window_scaling = 1net.ipv4.tcp_sack = 0net.ipv4.tcp_max_syn_backlog = 1280net.ipv4.tcp_synack_retries = 2net.ipv4.tcp_syn_retries = 3net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.ip_local_port_range = 32768 61000kernel.sysrq = 0kernel.core_uses_pid = 1kernel.ctrl-alt-del = 1验证：#sysctl p“sysctl.new.conf”# Kernel sysctl configuration file for Red Hat Linux# For binary values, 0 is disabled, 1 is enabled. See sysctl(8) and# sysctl.conf(5) for more details.# Controls IP packet forwardingnet.ipv4.ip_forward = 0# Controls source route verificationnet.ipv4.conf.default.rp_filter = 1# Do not accept source routingnet.ipv4.conf.default.accept_source_route = 0# Controls the System Request debugging functionality of the kernelkernel.sysrq = 0# Controls whether core dumps will append the PID to the core filename# Useful for debugging multi-threaded applicationskernel.core_uses_pid = 1# Controls the use of TCP syncookiesnet.ipv4.tcp_syncookies = 0# Controls the maximum size of a message, in byteskernel.msgmnb = 65536# Controls the default maxmimum size of a mesage queuekernel.msgmax = 65536# Controls the maximum shared segment size, in byteskernel.shmmax = 68719476736# Controls the maximum number of shared memory segments, in pageskernel.shmall = 4294967296net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_fin_timeout = 30net.ipv4.tcp_keepalive_time = 1200net.ipv4.tcp_max_tw_buckets = 5000net.ipv4.tcp_max_syn_backlog = 65536dev_max_backlog = 32768 net.core.somaxconn = 32768 net.core.wmem_default = 8388608 net.core.rmem_default = 8388608net.core.rmem_max = 16777216 net.core.wmem_max = 16777216net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 2 net.ipv4.tcp_wmem = 8192 436600 873200 net.ipv4.tcp_rmem = 32768 436600 873200 net.ipv4.tcp_mem = 94500000 91500000 92700000验证：#sysctl p8. 开启Kdump功能（可选操作）# Uncomment the following two lines for normal desktop: unset SESSION_MANAGER exec /etc/X11/xinit/xinitrc勾选其余kdump后，确定重启计算机就完成了。主要需要考虑文件存放位置，意外宕机后会保存一份和内存大小相当的文件到配置的位置。四. 应用配置1. 多路径软件：（可选操作）多路径软件选择原则：优先使用存储设备提供的多路径驱动，其次选择HBA卡厂商的驱动，最后可以选择红帽自带动多路径软件。（后面细化）2. 多网卡绑定：（可选操作）参考文档中Linux系统中，路径/usr/share/doc/iputils-20020927/README.bonding前提：主机有两块以上网卡绑定模式：balance-rr or 0、active-backup or 1、balance-xor or 2、broadcast or 3、802.3ad or 4、balance-tlb or 5、balance-alb or 6最常用的就是两种模式 balance-rr or 0、active-backup or 1操作指南：首先确认一下系统是否正常Bonding进入系统执行命令rootxtptj2eedev # rpm -qf /sbin/ifupinitscripts-7.93.25.EL-1rootxtptj2eedev # grep ifenslave /sbin/ifup -x /sbin/ifenslave ; then ifenslave $RFLAG $MASTER $DEVICE /dev/null 2&1 ifenslave -d $DEV $DEVICE应该可以看到类似如上信息，说明是支持网卡Bonding功能。1备份设备配置信息，位置/etc/sysconfig/network-scripts/ifcfg-ethx ，将其备份到其他位置。(在修改之前作备份是个好习惯）2修改配置文件，例子如下，修改相应参数即可,注意设备名有出入创建/etc/sysconfig/network-scripts/ifcfg-bond0，内容如下DEVICE=bond0IPADDR=70NETMASK=NETWORK=BROADCAST=55GATEWAY=54ONBOOT=yesBOOTPROTO=noneUSERCTL=no修改/etc/sysconfig/network-scripts/ifcfg-eth0，内容如下DEVICE=eth0USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/sysconfig/network-scripts/ifcfg-eth1，内容如下DEVICE=eth1USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/modprobe.conf,在最后添加引用:alias bond0 bondingoptions bond0 miimon=100 mode=active-backup 注意：Bonding模式设置的是模式采用主备模式 3配置完毕。要让配置生效执行命令#modprobe bond0 miimon=100 mode=active-backup#service network restart或者直接重启机器就行了。4检验运行命令，注意红色字体#ifconfigbond0 Link encap:Ethernet HWaddr 00:13:72:53:8C:9D inet addr:1 Bcast:55 Mask: inet6 addr: fe80:200:ff:fe00:0/64 Scope:Link UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 RX packets:1948298 errors:2 dropped:0 overruns:0 frame:2 TX packets:3732268 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:170299705 (162.4 MiB) TX bytes:1206117061 (1.1 GiB)eth0 Link encap:Ethernet HWaddr 00:13:72:53:8C:9D inet6 addr: fe80:213:72ff:fe53:8c9d/64 Scope:Link UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1 RX packets:1919499 errors:2 dropped:0 overruns:0 frame:2 TX packets:3696798 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:163541721 (155.9 MiB) TX bytes:1169827536 (1.0 GiB) Base address:0xecc0 Memory:fe6e0000-fe700000 eth1 Link encap:Ethernet HWaddr 00:13:72:53:8C:9D inet6 addr: fe80:213:72ff:fe53:8c9d/64 Scope:Link UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1 RX packets:28799 errors:0 dropped:0 overruns:0 frame:0 TX packets:35470 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:6757984 (6.4 MiB) TX bytes:36289525 (34.6 MiB) Base address:0xdcc0 Memory:fe4e0000-fe500000# cat /proc/net/bonding/bond0Ethernet Channel Bonding Driver: v2.6.3 (June 8, 2005)Bonding Mode: fault-tolerance (active-backup)Primary Slave: NoneCurrently Active Slave: eth0MII Status: upMII Polling Interval (ms): 100Up Delay (ms): 0Down Delay (ms): 0Slave Interface: eth0MII Status: upLink Failure Count: 3Permanent HW addr: 00:13:72:53:8c:9dSlave Interface: eth1MII Status: upLink Failure Count: 1Permanent HW addr: 00:13:72:53:8c:9e3. 配置本地YUM服务,便于添加未安装的软件包（可选操作）方法：1 准备介质，有三种方式，任选其一：#mkdir /soft_ins/dvd1）拷贝rhel5.iso光盘iso文件到/soft_ins目录 #mount -o loop /soft_ins/rhel5.iso /soft_ins/dvd2）将光盘内容直接copy到目录 /soft_ins/dvd下3）将光驱放光驱中，#mount /dev/cdrom /soft_ins/dvd2 修改/etc/yum.repos.d/rhel-debuginfo.repo文件，修改前备份一下吧 ，修改内容为 baseurl=file:/soft_ins/dvd/Serverenabled=13 修改服务器上的/usr/lib/python2.4/site-packages/yum/yumRepo.py文件，这个文件的607行原来的内容是： remote = url + / + relative 改成remote = file:/soft_ins/dvd/Server + / + relative4 清一下缓存：yum clean all。 5 运行system-config-packages，browse和search功能都能用了，可以很方便的添加程序。五. 安全设置1. 加强系统安全文件保护：用chattr命令给下面的文件加上不可更改属性#chattr +i /etc/passwd#chattr +i /etc/shadow#chattr +i /etc/group#chattr +i /etc/gshadow修改后添加组和用户会失败。唯一可以取消这个属性的人只有root。如果要修改文件，首先要是取消不可修改性质:#chattr -i /etc/passwd#chattr -i /etc/shadow#chattr -i /etc/group#chattr -i /etc/gshadow 改变/etc/rc.d/init.d目录下的脚本文件的访问许可注意:慎重修改此安全设置备份文件到root目录先#tar cvf /root/init.d.tar /etc/rc.d/init.d/ #chmod -R 700 /etc/rc.d/init.d/* 2. 关闭不需要的服务：#ntsysv关闭的服务autofs、bluetooth、cpuspeed、cups、cpus-config-daemon、hidd、isdn、ip6tables、iptables、kudzu、mcstrans、mdmonitor、netfs、nfslock、pcscd、portmap、readahead_early、readahead_later、restorecond、rhnsd、rpcgssd、rpcidmapd、setroubleshoot、smartd 、sendmail#service sendmail stop#chkconfig -list sendmail (可以查看到sendmail在2，3，4，5时是自动启动的，而一般的系统设置为3，因此每次启动时sendmail还是会自动启动)#chkconfig -level 2345 sendmail off# chkconfig sendmail off#chkconfig iptables off开启的服务 acpid、anacron、atd、auditd、avahi-daemon、crond、gpm、haldaemon、irqbalance、lvm2-monitor、messagebus、network、syslog、sshd、xfs、yum-updatesd3. 删除finger程序,具体方法如下：#rpm -e finger4. 帐号安全设置：帐号安全设置请修改/etc/login.defs文件PASS_MAX_DAYS 120 #设置密码过期日期PASS_MIN_DAYS 0 #设置密码最少更改日期PASS_MIN_LEN 10 #设置密码最小长度PASS_WARN_AGE 7 #设置过期提前警告天数5. /etc/aliases文件：Aliases文件如果管理错误或管理粗心就会造成安全隐患.把定义”decode”这个别名的行从aliases文件中注释.#decode: root运行/usr/bin/ newaliases重新加载6. 防止任何人都可以用su命令成为root：编辑su文件(vi /etc/pam.d/su),应该有如下两行，如有注释请去掉注释auth sufficient pam_rootok.soauth required pam_wheel.so use_uid把能su为root的用户加入wheel组usermod -G10 username7. 禁止root SSH登录：#vi /etc/ssh/sshd_config把PermitRootLogin yes改为PermitRootLogin no重启sshd服务#service sshd restart8. 使Control+Alt+Delete关机键无效：编辑/etc/inittab文件,注释掉下面一行Ca:ctrlaltdel:/sbin/shutdown -t3 -r now运行/sbin/init q 使设置生效9. 设定登录不活动时间：#vi /etc/profile 追加内容 1800 半小时 TMOUT=1800确认：grep TMOUT /etc/profile10. history记录详细的操作时间与访问IP：要求：SHELL为bash，且bash版本在3.0以上。一般S9,S10都是3.0以上的，只要将用户的默认SHELL设置为bash即可。此方法在AIX、Linux 4、Linux 5下都可以使用，条件就是要使用bash。（PS 不知道这算不算为bash在做广告？是不是可以有分红拿？_）操作方法：修改/etc/profile，添加如下信息：HISTFILESIZE=999999HISTSIZE=999999HISTFILE=/.bash_historyHISTTIMEFORMAT=%F %T $(who am i |awk print substr($NF,2,length($NF)-2): )export HISTFILESIZE HISTSIZE HISTFILE HISTTIMEFORMAT执行效果：输入history后输出： 529 2008-08-01 22:02:35 7: ll 530 2008-08-01 22:02:37 7: date 531 2008-08-01 22:02:38 7: pwd11. 收回系统编译器的权限或删除：（可选操作）如: #chmod 700 /usr/bin/gcc12. 删除不必要的用户和组用户：（可选操作）#userdel adm#userdel lp#userdel sync#userdel shutdown#userdel halt#userdel news#userdel uucp#userdel operator#userdel games#userdel gopher#groupdel adm#groupdel lp#groupdel news#groupdel uucp#groupdel games#groupdel dip#groupdel pppusers#groupdel popusers#groupdel slipusers13. TCP_Wrappers：（可选操作）格式：service:host(s) :action服务名 主机名(或多个) 动作,符合条件后所采取的动作关键字：ALL ALL EXCEPTservice代表服务名，就是使用ps -e看到的服务名。如: sshd,mysald,vsftpd,tcpd,xinetd在/etc/hosts.allow中加入允许的服务, 如:ALL EXCEPT telnetd: 192.168.0 EXCEPT 3说明：/中除了3，其他机器都可以访问本机的服务，除了telnetd注意！ 192.168.0 3 这些IP需要酌情修改在/etc/hosts.deny里加入这么一行ALL:ALL14. 取消可执行程序的s标志位：（可选操作）程序拥有s位标志，可以以root特权运行，会带来一些安全隐患。当然有些程序需要这个，用命令chmod a-s可以取消s标志位。注：前面带（*）号的那些程序一般不需要拥有s位标志。rootdeep# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ;-rwsr-xr-x 1 root root 33120 Mar 21 1999 /usr/bin/at*-rwsr-xr-x 1 root root 30560 Apr 15 20:03 /usr/bin/chage*-rwsr-xr-x 1 root root 29492 Apr 15 20:03 /usr/bin/gpasswd-rwsr-xr-x 1 root root 3208 Mar 22 1999 /usr/bin/disable-paste-rwxr-sr-x 1 root man 32320 Apr 9 1999 /usr/bin/man-r-s-x-x 1 root root 10704 Apr 14 17:21 /usr/bin/passwd-rws-x-x 2 root root 517916 Apr 6 1999 /usr/bin/suidperl-rws-x-x 2 root root 517916 Apr 6 1999 /usr/bin/sperl5.00503-rwxr-sr-x 1 root mail 11432 Apr 6 1999 /usr/bin/lockfile-rwsr-sr-x 1 root mail 64468 Apr 6 1999 /usr/bin/procmail-rwsr-xr-x 1 root root 21848 Aug 27 11:06 /usr/bin/crontab-rwxr-sr-x 1 root slocate 15032 Apr 19 14:55 /usr/bin/slocate*-r-xr-sr-x 1 root tty 6212 Apr 17 11:29 /usr/bin/wall*-rws-x-x 1 root root 14088 Apr 17 12:57 /usr/bin/chfn*-rws-x-x 1 root root 13800 Apr 17 12:57 /usr/bin/chsh*-rws-x-x 1 root root 5576 Apr 17 12:57 /usr/bin/newgrp*-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write-rwsr-x- 1 root squid 14076 Oct 7 14:48 /usr/lib/squid/pinger-rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter*-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl*-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute-rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin/sendmail-rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr/libexec/pt_chown-rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su*-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount*-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount*-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping-rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login*-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport-r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd# chmod a-s /usr/bin/chage# chmod a-s /usr/bin/gpasswd# chmod a-s /usr/bin/wall# chmod a-s /usr/bin/chfn# chmod a-s /usr/bin/chsh# chmod a-s /usr/bin/newgrp# chmod a-s /usr/bin/write# chmod a-s /usr/sbin/usernetctl# chmod a-s /usr/sbin/traceroute# chmod a-s /bin/mount# chmod a-s /bin/umount# chmod a-s /bin/ping# chmod a-s /sbin/netreport你可以用下面的命令查找所有带s位标志的程序：# find / -type f ( -perm -04000 -