一般生產環(huán)境Linux服務器配置

1、一般生產環(huán)境Linux服務器配置-標準化文件發(fā)布號：（9556EUATWKMWUB-WUNNINNUL-DDQTY-KII一般生產環(huán)境Linux服務器配置1生產環(huán)境Linux服務器系統(tǒng)版本的選擇選擇版本64位的Linux操作系統(tǒng)CentOS (Community Enterprise Operating System,中文意思是：社區(qū)企業(yè)操作 系統(tǒng))是Linux發(fā)行版之一,它是來自于紅帽的Red HatEnterprise Linux依照開 放源代碼規(guī)定釋出的源代碼所編譯而成。山于出自同樣的源代碼，因此和紅帽 商業(yè)版的RHEL系統(tǒng)用著同樣的高度穩(wěn)定性。兩者的不同，在于CentOS并不包 含紅帽

2、的商業(yè)支持和一些RHEL商業(yè)版隱藏的功能。CentOS是完全開源和免費 的，企業(yè)可以在生產環(huán)境上自由部署2. 般服務器的初始磁盤分區(qū)1) /boot引導分區(qū)，存放引導文件和內核等。分區(qū)大小設定200Mo一般正式環(huán)境下，Linux引導文件及內核全部大小在100M以內。2) swap交換分區(qū)，作為虛擬內存使用，用于當物理內存不足時，調用硬盤的一 部分當內存使用。使用虛擬內存，會保障服務器在內存不足的時候不會宕機。一般生產環(huán)境服務器內存較大，交換分區(qū)大小與內存相同即可3) /分區(qū)根分區(qū)，將分完/boot和swap分區(qū)剩下的空間都分給/分區(qū)3. 數據庫服務器的初始磁盤分區(qū)1) /boot引導分區(qū)，分區(qū)

3、大小設定200M2) swap交換分區(qū)，交換分區(qū)大小與內存相同3) 邏輯卷建立LVM邏輯卷，將邏輯卷掛載到相應的文件路徑，后期可以輕松擴 充或減小文件系統(tǒng)的大小4) /分區(qū)根分區(qū)使用邏輯卷，數據庫服務器的根分區(qū)主要存放系統(tǒng)相關文件、日 志、用戶信息等，由于不用存放數據文件，并且可以通過邏輯卷隨意擴充，大 小滿足系統(tǒng)運行需要即可。lv大小設定200G5) 數據分區(qū)為數據庫軟件和數據庫文件單獨劃分一個邏輯卷分區(qū)，以保證數據 的獨立性和安全性，如果Linux操作系統(tǒng)崩潰，可以格式化/boot分區(qū)和根分區(qū) 重新安裝系統(tǒng)，而保留數據分區(qū)下的數據庫軟件和數據文件。將所有剩余的卷 組空間都分配給數據分區(qū)的邏

4、輯卷，Mysql數據庫一般將數據分區(qū)掛載在 /usr/local, Oracle數據庫一般將數據分區(qū)掛載在/u02上4多網卡綁定bond配置生產環(huán)境多塊物理網卡，需要用bond綁定為一塊虛擬網卡對外提供服務，配 置一個ip,可以實現網卡的負載均衡和高可用性，規(guī)劃生產環(huán)境用兩塊網卡 ethO、ethl 綁定為 bondO1）虛擬網卡bondO配置文件vim /etc/sysconfig/network-scripts/訐cfgbondODEVICE=bondOBOOTPROTO=noneONBOOT=yesIPADDR=NETMASK=GATEWAY=2）物理網卡ethO配置文件vim /etc

5、/sysconfig/network-scripts/ifcfg-ethODEVICE=ethOONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes3）物理網卡ethl配置文件vim /etc/sysconfig/network-scripts/ifcfg-ethlDEVICE=ethlONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes4）修改modprobe相關設定文件，并加載bonding模塊vim /etc/alias bondO bondingoptions bond mode=0 miimon=100mod

6、e模式：0提供負載均衡和高可用，按順序輪流把包發(fā)給綁定在在bond 口 內的網卡1主備策略，提供高可用性，邏輯簡單，同時只有一個網卡處于激活狀態(tài)，一 個失敗，另外一個自動激活miimon：監(jiān)視網絡鏈接的頻度，單位是毫秒5）加載模塊（或重啟）modprobe bonding6）查看模塊加載情況Ismod | grep bonding7）重啟網絡service network restart8）確認綁定惜況cat /proc/net/b onding /bondOifconfig5 關閉本地防火墻iptables -Fiptables -Lservice iptables save6關閉 Netw

7、orkManager 服務service NetworkManagerstopchkconfig NetworkManager off7.賬戶安全權限配置1）禁用root以外的超級用戶cat /etc/passwd | awk -F 'print $lz$3' | grep ' 0$'檢測其他超級用戶passwd -I username 鎖定用戶2）刪除不必要的賬號awk F : 'print $1! /etc/passwd | grep -E'adm |lp | sync | shutdown | halt | n ews | uucp | o

8、perator | games | gopher1userdel username3）刪除不必要的組awk -F :' print $1 * /etc/group | grep E'adm | Ip | news | uucp | games |dip| pppusers | popusers | slipusers1groupdel groupname4）設置root用戶口令passwd5）檢查空口令賬號，如發(fā)現則設置口令awk -F: '（$2 = ""） print $1' /etc/shadowpasswd user name6) 口

9、令文件加鎖chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow當需要改密碼的時候，要先解鎖shadow文件：chattr -i /etc/shadow刀設置root賬戶自動注銷時限vim /etc/profile在l,HISTFILESIZE=H后面加入下面TMOUT=3008）限制普通用戶通過su切換為root用戶vim /etc/suauth required use_uid如果需要用戶可以su成為root,要將其加入wheel組usermod -G 10 username9）限制普通用戶無法執(zhí)行關機、重啟、配置網絡等敏感操作rm -rf /etc/security/*10）禁用Ctrl+Alt+Delete組合鍵重新啟動機器命令vim /etc/inittab#ca:ctrlaltdel:/s