Linux 系统日常运维经典技能

一、初始化配置

禁用服务

1chkconfig--level35iptablesoff

2.chkconfig-level35ip6tablesoff

serviceiptablesstop

4chkconfig--level35postfixoff

禁用SeLinux

1vi/etc/selinux/configSELINUX-'disabled

配置YUM源配置

[root^rhel63yum.repos.d]#vilocal.repo

2.[local]

3.name»local

4.baseurl-file:///mnt/Server

5enabled-1

gpgcheck=0

可以配置为光盘，内部YUM源或EPEL等

常用软件安装

*yuminstallftptelnetmakeimakegcccompat-libstdcw-33gcc-cilibstdcwlibxpke

rnelkernel-develkernel-headersrshkshIsofopenssh-clients-y

#yuminstalliptraf.x86_64unzip.x86_64libaio.x86_64ejectsysfsutilsdmidecodepclu

tilsdstatIsscsi-y

安装xwindows

哥yumgroupinstall"XWindowSystem**-y

等yumgrouplnstallDesktop-y（可以不安装♦面）

fyuminstallxorg-xll-apps-y（包含xclock）

配置ntp

.*/10•*••/usr/sbin/ntpdate

Crontab添加如上记录，指定内部ntp服务器

SSH登录设置

修改ssh禁用DNS选项：

echo"UseDNSno**>>/etc/ssh/sshd_configservicesshdrestart

添加允许指定用户登录：

1echo"AllowUsersuserl->>/etc/ssh/sshd_config

2servicesshdrestart

上传扫描工具

rescan-scsi-bus.sh

网络上有该脚本，下载自行使用

修改历史记录格式

echo"exportHISTTIMEFORMAT='%FXT'">>/etc/profile

二、安全加固

本次安全加固内容主要参考的是Redhat和Centos系列版本系统：

参考链接

/CentosSecurity/CentosSafe/2015/0315/4881.ht

ml

注释掉系统不需要的用户和用户组

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。

cp/etc/passwd/etc/passwdbak律修改之前无备份

vi/etc/passwd新辑用户，在前面加上*注释漳此行

iradm:x:3:4:adni：/var/adn:/sbin/nologin

»lp:x:4：7:Ip:/var/spool/lpd:/sbin/nologin

"sync:x:5:0:sync:/sbin:/bin/sync

ffshutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

ffhalt:x:7:0:halt:/sbin:/sbin/halt

4uucp:x:10:14:uus:/var/spool/uucp:/sbin/nologin

^operator:x:ll：e：operator:/root:/sbin/nologin

»games:x:12:100:games:/usr/games:/sbin/nologln

4gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

»ftp:x:14：50:FTPUser:/var/ftp"sbin/nologin*注羟捶ftp年名账号

cp/etc/group/etc/groupbak号嵯改之前先籥份

vi/etc/group常编辑用户组,在前面加上替主粹掉此行

7adm:x:4：root,adm(daemon

"lp:x:7:daemon,lp

^uucp:x:14:uucp

irgames:x:20:

*dip：X：40：

关闭系统不需要的服务

1.serviceacpidstopchkconfigacpidoff，停止照务，取启开机起动#电耳进阶设定，常用在

Laptop上

serviceautofsstopchkconfigautofsoff，厚用自动挂载档情系统与遇边装罟

servicebluetoothstopchkconfigbluetoothoff#停用Bluetoot施导

-servicecpuspeedstopchkconfigcpuspeedoff#停用控制CPU速堂主方用来省电

servicecupsstopchkconfigcupsoff彳停用CommonUNIXPrintingSystem使系统支援

印表机

6.serviceip6tablesstopchkconfigip6tablesoff，早止IPv6

•.如果要1反复果一个服券，可以执行下面撵作

serviceacpidstartchkconfigacpidon

.至止韭root用户执行/etc/rc.d/init下的系统命令孚止非root用户执行/etc/rc.d"nit.d/下的

系统命令

chnod-R700/etc/rc.d/init.d/"

…chmod-R777/etc/rc.d/init.d/*多次&巾认设!S

给下面的文件加上不可更改属性，从而防止非授权用户获得权限

chattr+i/etc/passwd

chattr4-i/etc/shadow

chattr/etc/group

Achattr*i/etc/gshadow

chattr/etc/services嗡系统照务编口列表文件加锁，防止未经许可的删除或东加服务

Isattr/etc/passwd/etc/shadow/etc/group/etc/gshadow/etc/services#显示文

件的震性

7.注意：执行以上权限修改之后，就无法淆加删除用户了.

&如里再雾季加删除用户，需萼先取泊上面的设置，等用户添加1H除完成之后，再执行上面的撵作

chattr-i/etc/passwd#取启程阻锁定设贵

chattr-i/etc/shadow

i：.chattr-i/etc/group

11chattri/etc/gshadow

।chattr-i/etc/services并取启系统月降造口列表文件力3锁

14.现在可以进行添加删除用户了，掾作完之后再锁定目录文件

限制不同文件的权限

1chattr+a.bash_history科避免删除.bash_history或者重定向到/dev/null

chattr.bash_history

chmod7G0/usr/bin饮宴chmod555/usr/bin

chmod700Zbin/ping恢复chmod4755/bin/ping

chmod700/usr/bin/vim旧复chmod755/usr/bin/vim

chmod700/bin/netstat恢fichmod755/bin/nerstat

chmod7©0/usr/bin/tail饭与chmod755/usr/bin/tail

chmod700/usr/bin/less恢复chmod755/usr/bin/less

chmod706/usr/bin/headIRSchmod75SZusr/bin/head

chmod790/bin/cat恢复chmod755/bin/cat

chmod700/bin/uname保夏chmod755/bin/uname

chmodseeZbin/ps历复chmod755/bin/ps

禁止使用Ctrl+Alt+Del快捷犍重启服务器

cp/etc/inittab/ecc/inittabbak

2.vi/etc/inittab#注!?掉T面这一行

#ca::ctrlaltdel:/sbin/shutdown-tB-rnow

使用yumupdate更新系统时不升级内核，只更新软件包

注意：由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启

动，这是非常可怕的，没有特别的需要，建议不要随意升级内核。

一，cp/etc/yum.conf/etc/yum.confbak

L修改yum的况者文件vi/etc/yum.conf在的皋后安二口exclude-kernel'

3.2、直接在yu同命令后面加上如下的参数：

yumexclude-kemel*update

5.查看系统版本cat/etc/issue

6.查看内核版本uname-a

关闭Centos自动更新

chkconfig-listyumupdatesd林显示当前系统状态

yum-updatesde：关闭1：关闭2:启用3:启用4:总用5:居用6:壬闭

5.serviceyum-updatesdstop林关闭开目菱数为start

4.停止yum-updatesd:[,确定]

,serviceyun»-updatesdstatus喳看是看美闭

.yum-updatesd已停

chkconfig--level35yum-updatesdoff=享止开片目动（系统程式为3.5）

.chkconfigyumupdatesdoff&装止开启口动（所有后动膜式全部禁止）

chkconfiglistyumupdates。并显示当前系统状态

:>.yum-updatesd关闭】：美闭2:启用3：关闭4：后用5:关闭6:关闭

关闭多余的虚拟控制台

我们知道从控制台切换到X窗口，一般采用Alt-F7，为什么呢？因为系

统默认定义了6个虚拟控制台，

所以X就成了第7个。实际上，很多人一般不会需要这么多虚拟控制台的，修

改/etc/inittab,注释掉那些你不需要的。

cp/etc/inittab/etc/inittabbak

2vi/etc/inittab

9Rungettysinstandardrunlevels

1:234S:respawn:/sbin/mingettyttyl

#2:2345:respawn:/sbin/mingettytty2

93:2345:respawn:/sbin/mingettytty3

w4:2M5:respawn:/sbin/mingettytty4

8.f5:2345:respawn:/sbin/mingettyttyS

96:2345:respawn:/sbin/mingettytty6

修改history命令记录

cp/etc/profile/etc/profilebak

vi/etc/profile

找到HISTSIZE-ieee改为HISTSIZE>Se

隐藏服务器系统信息

在缺省情况下，当你登陆到linux系统，它会告诉你该linux发行版的名称、版本、

内核版本、服务器的名称。

为了不让这些默认的信息泄露出来，我们要进行下面的操作，让它只显示一个

"login:"提示符。

删除/etc/issueffi/etc/这两个文件，或者把这2个文件改名,效果是

一样的。

一mv/etc/issue/etc/issuebak

mv/etc//etc/bak

优化Linux内核参数

cp/etc/sysctl.conf/etc/sysctl.con-fbak

vi/etc/sysctl.conf存在文件末尾,、加以下内苔

net.ipv4.tcp-max-syn-backlog-65536

net.corenetdev_max__backlog-32768

net.core.somaxcorn=32768

net.core.wniem_default*8388608

net.core.rmem_de^ault-8388608

net.core.rmem-max=16777216

net.core.tvnjem_max-16777216

netipv4tcp_timestamps=0

net.ipv4.tcp_synack_retries=2

net.ipv4.tcp_syn_retries-2

net.ipv4.tcp_tw_recycle=1

14.#net.ipv4.tcp_tw_len-1

net.ipv4.tcp_tw_reuse-1

net.ipv4.tcp_mem=94590960915600000927900006

net.ipv4.tcp_max_orphans-3276800

1?rnet.ipv4.tcp_fir_timeout-30

irnet.ipv4.tcp-keepalive.time=120

net.ipv4.ip_local_port_range1002465535，（表示用于向外连我的境□芍围，法备情况Tlfi

小：32768到6106。注亶：这里不要6黑低值设的太低，否则可能会占用橙正鬻的靖口I）

/sbin/sysctl-p■他配置立即生效

系统优化

cp/etc/profile/etc/profilebak2

vi/etc/profile，在文件末尾添加以下内容

ulimit-cunlimited

ulimit-sunlimited

ulimit-SHn6553s

sourceetc/profile*使配苣立即生效

ulimit-a曾显示当前的各种用户进程限到

服务器禁止ping

cp/etc/rc.d/rc.local/etc/rc.d/rc.localbak

2.vi/etc/rc.d/rc.localw在文件末尾增加下面这一行

echo1>/proc/sys/net/ipv4/icmp_echo_ignore_a11

4.参数8表示允许1

检查口令策略设置是否符合复杂度要求

cp-p/etc/pam.d/system-auth/etc/pam.d/systemauth_bak

viZetc/pam.d/system-auth

可度用pampam_cracklibmodule或pam_pass辑dqcmodule实现七码复杂度，空者不非同时使用

passwordrequisitepam_cracklib.sodcredit-1ucredit--lleredit--1ocredit--1

minclass>2minlen»8

passwordsufficientpam_unix.somd5shadownulloktry_first_passuse_authtok

检查登录提示-是否设置登录成功后警告Banner

修改文件/etc/motd的内容，如没有该文件，则创建它。

*echo"Authorizedusersonly.Allactivitymaybemonitoredandreported">/etc/wot

检查是否设置登录超时

执行备份：

cp-p/etc/profile/etc/profile_bak

cpp/etc/csh.cshrc/etc/csh.cshrc_bak

修改/etc/csh.cshrc文件，添加如下行：

setautologout-30

改变这项设置后，重新登录才能有效

三、多路径设置

随着X86环境的普及化，Linux的市场占有率也越来越高，为了方便后续的设备

管理我们和Linux自带多路径软件的成熟化，我们在日常的设备多路径软件选择

方面经常会首先考虑使用DM软件,本次多路径设置主要是结合REDHAT和

CENTOS自带软件DMiMultipath

参考：

Linux操作系统层面Multipath配置使用技巧及注意事项（点击标题可读）

四、系统异常性能指标获取

CPU占用最高的10个进程

psaxww-ouser,pid,pcpu,pmem,start,time,comm|headl;psaxww-o

user,pid,pcpu,pmem,start,time,comm|grep-vPID|sort-nr-k3|head

psauxheadl;psauxgrepvPID；sortrnk43|head

psauxwhead-l;psauxw|sort-rn-k3|head-10

内存占用最高的10个进程

psaxwwouser,pid,pcpu,ptnem,start,time,co«wi|head1;psaxww-o

user,pid,pcpu,pmem,start,time,comm|grep-vPID|sort-nr-k4head

psaux|head-l;psaux|grep-vPIDIsort-rn-k+41head

psauxw|head-l;psauxw|sort-rn-k4head-10

虚拟内存使用最多的前10个进程

psauxwjhead-l;psauxw|sort-rn-kS|head-10

查看系统负载

dstat--topmem--top-io--top-cpu--nocolor110

统计当前连接数

ss-angrep-v-State"awkEND{for(ainS)printa,S[a]}

netstat-tan|awk*/Atcp/{+♦S[$NF]}ENO{for(ainS)printa,S[a]}'

当前连接数最多的10个进程

1.ss-tnpgrep-v"State"awk'(print$6)*|awk-F…''{print$2}'|awk*{**S

[$1]}END{for(ainS)printa,S[a]}*sort-nr-k2|head

netstat-tnpgrep-v"Active"|grep-v,'TIME_WAIT"|grep-v"State"|awk-F'T

'(print$HF)*Iawk>{♦♦S[$l]}END{for(ainS)printa,S[a]}'sort-nr-k2|head

五、LVM日常使用

LVM在日常运维工作当中占据着很大的比重,在此我列举LVM常见的日常操作

及步骤。

I.添加一个磁盘到OS,格式化文件系统使用，参考如下：

扫描磁盘

一.pvcreate/dev/sdb

vgcreate-s8Mdatavg/dev/sdb

3Ivcreate-L10G-ndatalvdatavg

mkfs.extS/dev/datavg/datalv

5mount/dev/datavg/datalv/data

Ivextend-L20G/dev/datavg/datalv

resizeifs/dev/datavg/datavlv

这个其中每个步骤就不在做详细解释，有兴趣的可以独自搜索

2.文件系统的扩容和缩小（根文件系统缩小要相当的慎重）

/Isscsi

2.[i：e：e：e]cd/dvdNECV>!WarVHwareIDECDR101ee/dev/sre

[2:0:0：0]diskVMwareVirtualdisk10/dev/sda

:[2：e：l：e）diskVMwareVirtualdisk1e/dev/sdb

[2：e：2：e]diskVMwareVirtualdisk1e/dev/sdc

[2：0：3：e]diskVMwareVirtualdisk10/dev/sdd

8.4pvs

9.PVVGFmtAttrPSizePFree

/dev/sda2VolGrouplvm2a--49.Sig0

ii/dev/sdbVolGrouplvm2a--se.eeg6.57g

ffpvcreate/dev/sdc

Writingphysicalvolumedatatodisk"/dev/sdc-

Physicalvolume"/dev/sdcMsuccessfullycreated

#vgcreatedatavg/dev/sdc

Volumegroup-datavg"successfullycreated

20#Vgs

21.VG<PV#LVItswAttrVSizeVFree

22.VolGroup229wz--n-99.50g6.57g

13.datavg100wz--n-5.00g5.06g

24.

25#Ivcreatedatavg-ndatalv-L3g

Logicalvolume"datalv*'created

2〉nmkfs.ext4/dev/datavg/datalv

29.mke2fs1.41.12(17-May-2010)

-Filesystemlabel-

.1OStype:Linux

Blocksize^4096(log>2)

Fragmentsize=4096(log>2)

Stride-0blocks.Stripewidth*©blocks

196608inodes,786432blocks

39321blocks(S.60X)reservedforthesuperuser

Firstdatablock>0

3«Maximumfilesystemblocks-805306368

24blockgroups

.32768blockspergroup,32768fragmentspergroup

8192inodespergroup

Superblockbackupsstoredonblocks:

43.32768,98304,163840,229376,294912

•Writinginodetables:done

Creatingjournal(16384blocks):done

Writingsuperblocksandfilesystemaccountinginformation

done

Thisfilesystemwillbeautomaticallycheckedevery27mountsor

180days,whichevercomesfirst.Usetune2fs-cor-itooverride.

E0

51.wmkdir/datafs

52mount/dev/datavg/datalv/datafs/

54.#df-h

55FilesystenSizeUsedAvailUse%Mountedon

/dev/mapper/VolGrouplv_root

88G3.868065%/

匚8.tnpfs939Me939M0%/dev/shm

:/dev/sdal485M33M427M8%/boot

/dev/mapper/datavg-datalv

3.GG69M2.863%/datafs

在线扩容文件系统：

1«vgsdatavg

VG#PV#LV#SNAttrVSizeVFree

datavg110wz--n-S.eeg2.00g

4.

ffIvextend-L4G/dev/datavg/datalv

Extendinglogicalvolumedatalvto4.00GIB

Logicalvolumedatalvsuccessfullyresized

[root^esayopsresize2fs/dev/datavgdatalv

resize2fs1.41.12(1/-May-201O)

Filesystemat/dev/datavg/datalvismountedon/datafs;onlineresizingrequired

olddesc_blocks-1,new_desc_blocks«1

Performinganon-lineresizeof/dev/datavg/datalvto1048576(44c)blocks.

Thefilesystemon/dev/datavg/datalvisnow1048576blockslong.

14.

15.#df-h

16FilesystenSizeUsedAvailUse%Mountedon

7./dev/mapper/VolGroup-lv__root

18.88G3.8G80G5%/

tmpfs939H0939M&%/dev/shm

20/dev/sdal485M33M427M8%/boot

2/dev/mapper/datavg-datalv

22.4.0G76M3.7G2X/datafs

缩小文件系统：

1.希Ivs

2.LVVGAttrLSizePoolOriginData%MoveLogCopy%Convert

3.lv_rootVolGroup-wi-ao-89.00g

4.lv_swapVolGroupwi-ao--3.94g

5.datalvdatavg-wi-a—4.00g

6・

7.umount/datafs

8.

9.#df-h

ie.FilesystemSizeUsedAvailUse%Mountedon

ii./dev/mapper/VolGroup-lv_root

12.88G3.8680G5%/

13.tmpfs939M6939M0%/dev/shm

14./dev/sdal485M33M427M8%/boot

15.

16.

17.«resize2fs/dev/datavg/datalv2G

resizeifs1.41.12(17-May2G1G)

Pleaserun'e2fsck-f/dev/datavg/datalv,first.

2.9e2fsck-f/dev/datavg/datalv

»e2fsck1.41.12(17-May-2010)

.3Pass1:Checkinginodes,blocks,andsizes

Pass2:Checkingdirectorystructure

Pass3:Checkingdirectoryconnectivity

Pass4：Checkingreferencecounts

.Pass5:Checkinggroupsummaryinformation

dev/datavg/datalv：11/262144files(0.0%non-contiguous).34？82/1048S7fblocks

29.

e.9resizeifs/dev/datavg/datalv2G

：1.resize2fs1.41.12(17-May-2010)

Resizingthefilesystemon/dev/datavg/datalvto524288(4k)blocks.

Thefilesystemon/dev/datavg/datalvisnow524288blockslong.

M.

35#mount/dev/datavg/datalv/datafs/

M.

37.9df-h

3«.FilesysteaSizeUsedAvailUse%Mountedon

39./dev/mapper/VolGroup-lv_root

40.88G3.8G8065X/

41.tnpfs939Me939M0%/dev/shm

42./dev/sdal485M3训427M8X/boot

43.zdev/mapper/datavgdatalv

44.2.0669M1.9G4%/datafs

3.在线删除一个共享磁盘LUN

1.pvremove

2multipath-f

echo1>/sys/block/sdd/device/delete

例如：

[root^esayops/]»Isscsig

2.[i：e：e：e]cd/dvdNECVHWarVMwareIDECDR1Oi.ee/dev/sreZdev/sgO

3.[2：e：e：e]diskVMwareVirtualdisk1.0/dev/sda/dev/sgl

4.[2：e：i：e]diskVMwareVirtualdisk1.0/dev/sdb/dev/sg2

5.[2：e：2：e]diskVMwareVirtualdiski.e/dev/sdc/dev/sg3

6.[2：e：3：o]diskVHwareVirtualdiskI.©/dev/sddZdev/sg4

删除一个不用的lun

[root^esayops/]#echo1>/sys/block/sdd/device/delete

[root^esayops/卜Isscsi

3.[1:0：0：0]cd/dvdHECVMWarVMware:IDECDR101.00/dev/sr0

4.[2：e：e：e]diskVMwareVirtualdisk1.0/dev/sda

5[2:G：1：0]diskVMwareVirtualdisk1.0/dev/sdb

6.[2：e：2：e]diskVMwareVirtualdiskl.e/dev/sdc

删除环节：

1.Takethediskoffline:

cd/sys/block/sdb/device

echo"offline”>state

2.Deletefrom/dev

6.echo1>delete

Youcanmakeyourownscriptwiththenamermdev??

9.*!/bin/ksh

10.dev»1l

[(!-d"$dev"]]&&echow$devdoesnotexist0&&exit1

12.echo"offline"j/sys/block/^Sdev^/device/state

echo1>/sys/block/**$devM/device/delete

六、Linux运维命令掌握

Linux下面日常运维使用的命令有太多了，可以根据个人的情况进行适当的记忆。

系统负载：top,nmon,dstat等

网络:等

ss,netstat,route,diag,ping,ipzIsof

io:dd,iostat,fio,nmon,dstat,pvs,Ivs,vgs等

内存：free,dstat等

进程：ps,Isof等

配置:Iscpu