一般生產(chǎn)環(huán)境Linux服務(wù)器配置

1、一般生產(chǎn)環(huán)境Linux服務(wù)器配置-標(biāo)準(zhǔn)化文件發(fā)布號：（9556EUATWKMWUB-WUNNINNUL-DDQTY-KII一般生產(chǎn)環(huán)境Linux服務(wù)器配置1生產(chǎn)環(huán)境Linux服務(wù)器系統(tǒng)版本的選擇選擇版本64位的Linux操作系統(tǒng)CentOS (Community Enterprise Operating System,中文意思是：社區(qū)企業(yè)操作 系統(tǒng))是Linux發(fā)行版之一,它是來自于紅帽的Red HatEnterprise Linux依照開 放源代碼規(guī)定釋出的源代碼所編譯而成。山于出自同樣的源代碼，因此和紅帽 商業(yè)版的RHEL系統(tǒng)用著同樣的高度穩(wěn)定性。兩者的不同，在于CentOS并不包 含紅帽

2、的商業(yè)支持和一些RHEL商業(yè)版隱藏的功能。CentOS是完全開源和免費 的，企業(yè)可以在生產(chǎn)環(huán)境上自由部署2. 般服務(wù)器的初始磁盤分區(qū)1) /boot引導(dǎo)分區(qū)，存放引導(dǎo)文件和內(nèi)核等。分區(qū)大小設(shè)定200Mo一般正式環(huán)境下，Linux引導(dǎo)文件及內(nèi)核全部大小在100M以內(nèi)。2) swap交換分區(qū)，作為虛擬內(nèi)存使用，用于當(dāng)物理內(nèi)存不足時，調(diào)用硬盤的一 部分當(dāng)內(nèi)存使用。使用虛擬內(nèi)存，會保障服務(wù)器在內(nèi)存不足的時候不會宕機(jī)。一般生產(chǎn)環(huán)境服務(wù)器內(nèi)存較大，交換分區(qū)大小與內(nèi)存相同即可3) /分區(qū)根分區(qū)，將分完/boot和swap分區(qū)剩下的空間都分給/分區(qū)3. 數(shù)據(jù)庫服務(wù)器的初始磁盤分區(qū)1) /boot引導(dǎo)分區(qū)，分區(qū)

3、大小設(shè)定200M2) swap交換分區(qū)，交換分區(qū)大小與內(nèi)存相同3) 邏輯卷建立LVM邏輯卷，將邏輯卷掛載到相應(yīng)的文件路徑，后期可以輕松擴(kuò) 充或減小文件系統(tǒng)的大小4) /分區(qū)根分區(qū)使用邏輯卷，數(shù)據(jù)庫服務(wù)器的根分區(qū)主要存放系統(tǒng)相關(guān)文件、日 志、用戶信息等，由于不用存放數(shù)據(jù)文件，并且可以通過邏輯卷隨意擴(kuò)充，大 小滿足系統(tǒng)運行需要即可。lv大小設(shè)定200G5) 數(shù)據(jù)分區(qū)為數(shù)據(jù)庫軟件和數(shù)據(jù)庫文件單獨劃分一個邏輯卷分區(qū)，以保證數(shù)據(jù) 的獨立性和安全性，如果Linux操作系統(tǒng)崩潰，可以格式化/boot分區(qū)和根分區(qū) 重新安裝系統(tǒng)，而保留數(shù)據(jù)分區(qū)下的數(shù)據(jù)庫軟件和數(shù)據(jù)文件。將所有剩余的卷 組空間都分配給數(shù)據(jù)分區(qū)的邏

4、輯卷，Mysql數(shù)據(jù)庫一般將數(shù)據(jù)分區(qū)掛載在 /usr/local, Oracle數(shù)據(jù)庫一般將數(shù)據(jù)分區(qū)掛載在/u02上4多網(wǎng)卡綁定bond配置生產(chǎn)環(huán)境多塊物理網(wǎng)卡，需要用bond綁定為一塊虛擬網(wǎng)卡對外提供服務(wù)，配 置一個ip,可以實現(xiàn)網(wǎng)卡的負(fù)載均衡和高可用性，規(guī)劃生產(chǎn)環(huán)境用兩塊網(wǎng)卡 ethO、ethl 綁定為 bondO1）虛擬網(wǎng)卡bondO配置文件vim /etc/sysconfig/network-scripts/訐cfgbondODEVICE=bondOBOOTPROTO=noneONBOOT=yesIPADDR=NETMASK=GATEWAY=2）物理網(wǎng)卡ethO配置文件vim /etc

5、/sysconfig/network-scripts/ifcfg-ethODEVICE=ethOONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes3）物理網(wǎng)卡ethl配置文件vim /etc/sysconfig/network-scripts/ifcfg-ethlDEVICE=ethlONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes4）修改modprobe相關(guān)設(shè)定文件，并加載bonding模塊vim /etc/alias bondO bondingoptions bond mode=0 miimon=100mod

6、e模式：0提供負(fù)載均衡和高可用，按順序輪流把包發(fā)給綁定在在bond 口 內(nèi)的網(wǎng)卡1主備策略，提供高可用性，邏輯簡單，同時只有一個網(wǎng)卡處于激活狀態(tài)，一 個失敗，另外一個自動激活miimon：監(jiān)視網(wǎng)絡(luò)鏈接的頻度，單位是毫秒5）加載模塊（或重啟）modprobe bonding6）查看模塊加載情況Ismod | grep bonding7）重啟網(wǎng)絡(luò)service network restart8）確認(rèn)綁定惜況cat /proc/net/b onding /bondOifconfig5 關(guān)閉本地防火墻iptables -Fiptables -Lservice iptables save6關(guān)閉 Netw

7、orkManager 服務(wù)service NetworkManagerstopchkconfig NetworkManager off7.賬戶安全權(quán)限配置1）禁用root以外的超級用戶cat /etc/passwd | awk -F 'print $lz$3' | grep ' 0$'檢測其他超級用戶passwd -I username 鎖定用戶2）刪除不必要的賬號awk F : 'print $1! /etc/passwd | grep -E'adm |lp | sync | shutdown | halt | n ews | uucp | o

8、perator | games | gopher1userdel username3）刪除不必要的組awk -F :' print $1 * /etc/group | grep E'adm | Ip | news | uucp | games |dip| pppusers | popusers | slipusers1groupdel groupname4）設(shè)置root用戶口令passwd5）檢查空口令賬號，如發(fā)現(xiàn)則設(shè)置口令awk -F: '（$2 = ""） print $1' /etc/shadowpasswd user name6) 口

9、令文件加鎖chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow當(dāng)需要改密碼的時候，要先解鎖shadow文件：chattr -i /etc/shadow刀設(shè)置root賬戶自動注銷時限vim /etc/profile在l,HISTFILESIZE=H后面加入下面TMOUT=3008）限制普通用戶通過su切換為root用戶vim /etc/suauth required use_uid如果需要用戶可以su成為root,要將其加入wheel組usermod -G 10 username9）限制普通用戶無法執(zhí)行關(guān)機(jī)、重啟、配置網(wǎng)絡(luò)等敏感操作rm -rf /etc/security/*10）禁用Ctrl+Alt+Delete組合鍵重新啟動機(jī)器命令vim /etc/inittab#ca:ctrlaltdel:/s