通达信服务器系统运维文档.doc

维护红宝书：通达信服务器系统运维文档文档记录：版本时间修改者描述1.02008-06-262.02008-07-1田进恩一Linux系统操作管理Linux操作系统安装管理1. 推荐使用RedHat Advance Server版，并安装最新的Update。2. 安装RedHat时，请不要选择X窗口等模块。3. 停止各类没有使用的系统服务。4. 采用linux自带防火墙限制能连接的TCP端口。5. 定期检查系统状态和日志。6. 应该禁止所有默认的被操作系统本身启动的并且不必要的账号，设置复杂且没有规律的root密码。第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。可以用下面的命令删除账号。 # userdel用户名 或者用以下的命令删除组用户账号。 # groupdel username7. 限制网络访问 如果您使用NFS网络文件系统服务，应该确保您的/etc/exports具有最严格的访问 权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读 文件系统。编辑文件/etc/exports并加入如下两行。 /dir/to/export (ro，root_squash) /dir/to/export (ro，root_squash) /dir/to/export 是您想输出的目录，是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。 # /usr/sbin/exportfs a对于Linux系统管理，建议使用Linux的sshd来进行远程终端管理（只打开22端口）8. 设置时间。用date -s 改时间后，务必使用/sbin/hwclock -systonc来刷到BIOS中去，否则下次Linux系统重启后又会将时间换回去。例如：月日时分（年） date 062713132008date -s 13:13:28请在crond中设置定时对时命令：crontab -e0 7 * * * /usr/sbin/ntpdate 43 7 * * * /sbin/hwclock -systohc(注意：在防火墙上打开对外UDP 123端口)9. 在rc.local中设置对异常网络连接的控制。命令：vi /etc/rc.localecho 1 /proc/sys/net/ipv4/tcp_synack_retriesecho 1 /proc/sys/net/ipv4/tcp_syncookiesecho 30 /proc/sys/net/ipv4/tcp_fin_timeoutecho 60 /proc/sys/net/ipv4/tcp_keepalive_timeecho 2 /proc/sys/net/ipv4/tcp_keepalive_probes如果负载均衡器对ping没有要求的话,可以加入以下行(注意：有些均衡器需要能管辖的服务器进行ping操作，这种情况下就不能禁ping)echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_allLinux常用服务及命令1. crond服务的使用一个是系统执行的部分，放在/etc/的crontab中，这部分不能用crontab -e或-l命令。另一部分是用户的放在/var/spool/cron的临时文件中，可以使用crontab -e或-l命令。2. 检查wget、unzip、mc：如果没有则安装（对于wget，行情主站等需要）rpm -ivh unzip-5.42-1.i386.rpmrpm -ivh mc-4.5.51-36.i386.rpm3. 使用常用命令对系统进行检查。命令名用途描述df查看系统空间是否足够du查找目录占用磁盘空间pstree或 ps aux列出系统进程状态ps -aux | grep hostl | wc -l查看hostl启动了多少个连接dmesg | more系统启动信息查看命令top系统总体状态vmstat x (x为状态刷新间隔时间)系统各运行参数情况ifconfig本机器IP等信息route查看网络路由信息netstat查看网络状态netstat na|grep SYN查看是否有太多的SYN的连接tar xvf FileName.tartar解包tar cvf FileName.tar DirNametar打包tar zxvf FileName.tar.gztar.gz解压(z表示用gzip,j表示用bzip2)tar zcvf FileName.tar.gz DirNametar.gz压缩(z表示用gzip,j表示用bzip2) 4. wget的使用wget是一种在linux字符界面上进行HTTP访问的工具。设置wget的代理 见/etc/wgetrc文件 修改如下即可。#http_proxy = :18023/#ftp_proxy = :18023/#use_proxy = on对于通达信的基本资料库和股本变迁库下载，可以使用如下命令：wget 9/products/data/data/dbf/base.zip -P /tdx/hostl/wget从通达信网站下载base.zip放置在本地的/tdx/hostl/wget下面unzip -o -L /tdx/hostl/wget/base.zip -d /tdx/hostl将/tdx/hostl/wget/下的base.zip解压，其中的-L表示全部转化成小写。Linux系统虚盘和tmpfs的运用虚盘方式和tmpfs方式都是使用内存来仿真文件系统，相当于从内存中使用一块区域作为文件存取的“硬盘”，所以要注意内存是不是足够大，同时也要注意这两种方式的存取文件在关机或linux重启后都是丢失的。虚盘的设置首先要在lilo或grub中进行设置如果系统启动使用lilo,则需要在/etc/lilo.conf中设置ramdisk的最大值视具体的通达信后台应用而定注意：lilo.conf修改后一定要执行一下lilo 才能让lilo.conf的设置生效.如果系统启动使用grub,则需要在/etc/grub.conf中设置在lilo.conf或grub.conf设置后，还需要在/etc/rc.local进行相应的设置或挂接。注意：mke2fs是指生成250000大小的虚盘/dev/ram；再建立一个目录（mount的目录一定要保证是存在），再将这个设备mount成/mnt/ram目录,最后设置这个目录具体所有的读写权限。也可以使用tmpfs文件方式来替代虚盘方式Tmpfs方式不需要在系统级进行配置,直接在/et/rc.local中设置。虚盘或tmpfs做好后,可以用df命令来查看注意： 新的通达信网上交易的linux机器中必须使用tmpfs方式,不能使用ramdisk方式(只是营业部无盘系统中会用到ramdisk方式)，可以详看相应的维护红宝书。一处典型的rc.local和crontab设置rc.local的设置采用的是tmpfs方式，先设置tmpfs内存盘，则设置安全参数，再调用/tdx/ip_tables（自定义的防火墙规则）,再开启转码机，行情主站和资讯主站。(此处仅供例子用，具体设置要视具体情况来定)/tdx/ip_tables的设置(此处仅供例子用，具体设置规则要视具体情况来定)crontab e 设置(此处仅供例子用，具体启动执行时间要视具体情况来定)Linux日常维护1. 每天检查并确认时间日期是否正确(使用date命令)。2. 每天检查服务器空间或虚盘空间是否足够(使用df或du命令)。3. 检查各服务器进程是否存在（使用pstree或ps命令）4. 检查进程运行状态,是否存在CPU占用或内存占用过多的现象,是否存在zombie进程(使用top或vmstat命令)。5. 定期更换操作系统root密码，密码不能太简单。6. 如果有升级新的通达信服务器端程序的话，请将原来的版本和运行环境备份，并注明备份日期。7. 执行程序或脚本程序在拷贝到linux系统里后，不一定有执行权限，请用chmod命令赋予执行权限。8. linux下面执行程序报bus error之类的错误，可能与执行程序下载或拷贝不完整有关。Linux常用命令举例基本命令：df 查看分区和tmpfs等占用情况du 目录占用空间情况 pstree 系统进程情况top 系统状态,比如内存使用,CPU状态(按1查看所有CPU情况)pwd 查看当前在什么目录vi编辑文件cp 拷贝文件mkdir建立目录crontab e 系统定时任务的编辑ifconfig 本机网络和IP情况unzip -o -L /tdx/wget/gbbq.zip -d /tdx/hostl/tmp其中的-L表示全部转化成小写如果没有 -d /tdx/hostl/tmp，则表示解压到当前目录zip yxhj.zip * 将当前目录下面的所有文件,打包成当前目录下面的yxhj.ziprm -fr /temp/yxhj将yxhj目录连其下面的子目录强制删除 f表示是不提示 r表示递归处理子目录find /tdx/data/vipdoc -name *.005 |xargs rm -rf 找到/tdx/data/vipdoc目录及子目录下面的所有以005结尾的文件，并强制删除ps aux|grep hostl列出所有hostl进程netstat na|grep SYN列出所有的SYN连接sz temp.dat将当前linux目录下面的temp.dat文件下载到本地windows来rz将会弹出一个选择文件的窗口，将选中的文件上传到linux当前目录来scp将一台机器上的目录或数据拉到本地的目录下来，比如scp -rp root1:/tdx/data/yxhj /tdx/data/scp -rp root1:/tdx/dshost/data/day/1*#*.* /tdx/dshost/data/day/二Windows系统操作管理Win操作系统安装管理1. 推荐使用Windows2003系统，安装最新的操作系统SP补丁包。2. 操作系统建议分成至少两个分区，通达信服务器程序不要装在系统盘符中，安装在D盘或E盘，并留有足够大的硬盘空间。3. 防病毒和防木马程序的安装。为更好保障数据安全，也是为了控制病毒入侵的途径，禁止使用USB接口。安装可靠的防病毒软件，对系统进行实时检测和过滤，阻止非法用户的入侵和登陆，定期扫描系统，定于每周六19：00开始。自动升级更新病毒库，保持病毒库是最新。一旦发现病毒及时记录病毒的特征、现象、名称，并及时把该服务器病毒清除。同时托管机房也将负责保障信息安全和运行安全。4. 在服务器的IE的Internet选项中，请设置成“安全级-高”的安全设置。5. 如果操作系统可以自动对时，请在Internet时间中启用“自动与Internet时间服务器同步“。注意：操作系统的自动对齐需在防火墙（如果有的话）打开对外的UDP端口123。6. 建议启用Windows自动升级。注意操作系统自动升级需设置成升级成功后让管理员来选择是否重新启动操作系统。7. 如果有防火墙的话，请加入相应的TCP连入规则。通达信各服务器端程序缺省端口如下：服务程序名缺省端口行情主站TCP 7709资讯主站TCP 7711交易网关(4.x)或交易中心TCP 7708资讯分发中心TCP 7199网网传输主站TCP 8809绿色通道服务器TCP 443或80Win主转码机或VIMTCP 9899 UDP 8899注意：如果没有安装专业防火墙的话，请使用操作系统网络设置中的Windows系统自带防火墙。8. 对于远程管理，可以使用PCAnywhere等软件，如果是Windows2003服务器系统并且管理的机器也是Windows2003的话，建议使用Windows自带的远程桌面。9. 由于通达信Windows服务器端程序大部分是非服务运行方式，所以服务器重启后，需要登录到桌面，人工将各服务器程序执行起来。10. 通达信系统对外需要用到的用户名，建议单独设置。比如对于通达信中间件对柜台的访问，单独设置的用户权限要比超级用户小。11. 重要数据及时备份。比如用户资料或CA等数据，如果是文件方式存在，请定期将之拷贝到另外的机器上；如果是SQL数据库，请采用SQL自带的数据备份功能进行备份。备份的数据请注明备份日期。Win日常维护1. 每天检查并确认时间日期是否正确，时区是否是GMT+8（北京时间）2. 每天检查服务器各盘符空间是否足够。3. 定期更换操作系统Administrator的密码，密码不能太简单。4. 定期使用任务管理器查找运行进程的情况，如发现CPU占用太多、内存占用太多或句柄数异常，或者发现有不明进程运行，请检查。5. 定期关机重启系统进行维护。6. 如果有升级新的通达信服务器端程序的话，请将原来的版本和运行环境备份，并注明备份日期。7. 如果通达信服务器端程序打开了日志功能的话，也要注意日志占用的空间是否足够。三通达信运维推荐工具远程登录和传输工具SecureCRT Linux系统登录工具/products/autoup/tools/scrt.rarSecureFx Linux系统通过SSH端口传输文件的工具/products/autoup/tools/sfx.rarWinSCP 类似于SecureFX/products/autoup/tools/winscp.exePSCP 从linux操作系统传输文件到windows操作系统下面/products/autoup/tools/pscp.exe比如:pscp -r root:/tdx/vipdoc D:test2data将Linux机器上的/tdx/vipdoc整个目录拷贝到本机的d:test2data目录下来远程桌面Windows2003系统建议使用操作系统自带的远程桌面系统WindowsXP下面使用的远程桌面,支持原来的mstsc服务以及windows2003下面的远程桌面控制：/products/autoup/tools/mstc_xp.rar注意：不要使用XP下面的远程桌面连接来连接远程终端,这样会造成开多个窗口,造成维护方面的问题。文件及目录管理Total Commander Windows下面的文件及目录管理/products/autoup/tools/Wincmd.rarBeyond 目录比较工具/products/autoup/tools/beyond.rar四其它运维需要注意的地方1. 每次更换或升级服务器程序时，如果有多套系统，请一次更换或升级一部分系统，稳定运行几天后如无问题则更换或或级余下的系统。2. 运维人员至少需要二人，一个主维护，另一个备份，备份给维护人员也需要对运维细节非常熟悉。3. 运维中存在难以解决的问题，请致电本公司工程维护部门或各地办事处()，也可以通过即时通讯软件(QQ,MSN等)让本公司维护人员协助处理，维护中需要的程序或文档请从通达信券商工程通道()中索取。五工程自检表产品名称检查项目检查结果Linux行情、资讯服务器是否按通达信标准目录和分区安装系统服务器运行级别是否已经改为3系统时间、日期、时区、utc设置Linux系统安装时候最好不要选择中文,如果选择中文SSH登陆出现乱码，如果出现乱码，修改/etc/config/i18n为LANG=en_US网络对时是否能成功？虚盘是否挂载成功，虚盘容量是否正确？rc.local下相关网络优化参数添加echo 30 /proc/sys/net/ipv4/tcp_fin_timeoutecho 60 /proc/sys/net/ipv4/tcp_keepalive_timeecho 2 /proc/sys/net/ipv4/tcp_keepalive_probesecho 1 /proc/sys/net/ipv4/tcp_syncookiessysctl -w net.ipv4.tcp_max_syn_backlog=2048是否需求添加静态路由，如果需要添加在rc.local中是否正常添加，可以用route命令检查重启服务器rc.local是否能正常执行？Crontab中定时配置是否能正常运行？可以临时增加*/1 * * * * echo 1 /tdx/ntp/timelog.txt该命令为每分钟往/tdx/ntp/timelog.txt中写一个“1”。如果检查成功务必删除该行Crontab里面的定时语句时间顺序是否正确，与主转码的初始化时间是否匹配手工运行从网站取基本资料的命令是否能成功无关Linux系统服务是否已经关闭从转码配置tdx.ini中：主转码个数和ip及端口是否正确从转码配置tdx.ini中：传输公告消息的配置是否与主转码匹配从转码配置tdx.ini中：自动收盘和自动收盘时间配置是否正确，有三板行情的收盘时间要订在15.45以后/tdx/tdxdt ver检查从转码版本是否正确，是否与主转码版本匹配行情服务器配置hostl.ini中：最大并发是否按实施要求配置行情服务器配置hostl.ini中：服务器名称和监听端口是否按实施要求配置有些均衡器或者nat转换会造成客户端的ip都是均衡器的ip地址，如果这种情况要检查hostl.ini中：child_sameipnum的配置，必须调大该参数资讯服务器配置infohost.ini中：分发中心地址和端口是否正确，启动服务后netstat na中是否与分发中心建立了连接资讯服务器配置infohost.ini中：F10下载路径是否与hostl.ini中路径匹配，服务启动后F10文件是否能正确更新下载/tdx/infohost/tdxinfo.ini文件是否与资讯转换、资讯分发目录下的该文件内容一致拔掉键盘后是否可以远程ssh登陆、远程重启后是否正常启动相关行情、资讯服务；日线数据和yxhj是否已经被复