Linux安装实施规范.docx
- 文档编号:7852390
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:27
- 大小:34.37KB
Linux安装实施规范.docx
《Linux安装实施规范.docx》由会员分享,可在线阅读,更多相关《Linux安装实施规范.docx(27页珍藏版)》请在冰豆网上搜索。
Linux安装实施规范
Linux系统安装
及配置
实施规范方案
2017年03月29日
版权说明
本文档版权由中国电信集团江西有限公司信息技术中心所有。
未经中国电信集团江西有限公司信息技术中心书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
版本控制
版权说明2
版本控制2
一.安装准备5
1.硬件准备:
5
2.软件准备:
5
3.磁盘RAID规划5
4.收集信息5
二.安装过程6
1.分区规划6
2.Linux安装6
1.安装前准备6
2.安装Linux基本系统6
三.系统安装配置16
1.配置默认运行级别:
16
2.安装其他软件包:
16
3.设置环境变量:
17
4.修改系统日志保存设置:
17
5.性能监控部署和分析工具使用nmon:
18
6.分配置内核启动参数:
(可选操作)18
7.配置内核参数:
(可选操作)19
8.开启Kdump功能(可选操作)21
四.应用配置22
1.多路径软件:
(可选操作)22
2.多网卡绑定:
(可选操作)22
3.配置本地YUM服务,便于添加未安装的软件包(可选操作)25
五.安全设置26
1.加强系统安全文件保护:
26
2.关闭不需要的服务:
26
3.删除finger程序,具体方法如下:
27
4.帐号安全设置:
27
5./etc/aliases文件:
27
6.防止任何人都可以用su命令成为root:
27
7.禁止rootSSH登录:
28
8.使Control+Alt+Delete关机键无效:
28
9.设定登录不活动时间:
28
10.history记录详细的操作时间与访问IP:
28
11.收回系统编译器的权限或删除:
(可选操作)29
12.删除不必要的用户和组用户:
(可选操作)29
13.TCP_Wrappers:
(可选操作)29
14.取消可执行程序的s标志位:
(可选操作)30
15.软NFS(可选操作)32
六.备份系统最初的重要文件32
附件1:
Linux(Unix)时钟同步ntpd服务配置方法32
附件2:
linux中ftp的配置管理34
附件3:
linux中ftp的配置管理38
一.安装准备
1.硬件准备:
序号
确认内容
备注
设备拆箱
随机带光盘和手册归档存放
设备上架(机架式)
1、上架前注意检查机柜空间、机柜UPS供电冗余、UPS最大功率、设备散热、
机器电源检查
硬件自检通过
连接磁带机、磁盘阵列连接(系统安装完毕后连接)
网络设备连通检查
2.软件准备:
序号
安装介质
版本
备注
1
服务器启动光盘
2
RHELAS
5update2
3.磁盘RAID规划
硬盘数量
RAIDLEVEL
备注
2
RAID1
3
RAID1+hotspare
4
RAID10
5
RAID10+hotspare
5块以上酌情处理
注:
一般PC服务器机器本机硬盘也就2块,需要更好的性能和可靠性,推荐四块硬盘做RAID10。
4.收集信息
序号
内容
信息记录
1
IP地址,掩码,网关、DNS、主机名
2
root口令
二.安装过程
1.分区规划
对于本地硬盘一下目录建立在非LVM管理
分区
大小
分区类型
文件系统
备注
/boot
200M
主分区
ext3
非LVM逻辑卷
/
4G
主分区
ext3
非LVM逻辑卷
Swap
如果RAM<2G,
swap=2×RAM
否则swap=RAM
大于4G的swap划分原则,划分多个swap,
每个swap大小为4G
主分区
非LVM逻辑卷
/usr
10G
逻辑分区
ext3
LVM逻辑卷
/var
10G
逻辑分区
ext3
LVM逻辑卷
/home
20G
逻辑分区
ext3
LVM逻辑卷
/tmp
10G
逻辑分区
ext3
LVM逻辑卷
/opt
10G
逻辑分区
ext3
LVM逻辑卷
剩余空间
LVM逻辑卷,暂时不分,作为以后机动空间
2.Linux安装
1.安装前准备
选择REDHATAS5.0-64位,硬盘50G,存储在winsd1里,挂载好REDHAT安装盘。
2.安装Linux基本系统
1.进入安装界面,回车:
2.光盘检测界面,选择SKIP跳过:
3.选择语言,简体中文:
4.选择键盘类型,美国英语式:
5.输入安装序列号49af89414d147589
6.选择自定义分区结构,下一步:
7.按照分区要求分区,先划分/boot、/、swap区,并强制为主分区,剩余分区建立LVM,然后在LVM划分/usr、/var等,如下表及图:
分区
大小
分区类型
文件系统
备注
/boot
200M
主分区
ext3
非LVM逻辑卷
/
4G
主分区
ext3
非LVM逻辑卷
Swap
如果RAM<2G,
swap=2×RAM
否则swap=RAM
大于4G的swap划分原则,划分多个swap,
每个swap大小为4G
主分区
非LVM逻辑卷
/usr
10G
逻辑分区
ext3
LVM逻辑卷
/var
10G
逻辑分区
ext3
LVM逻辑卷
/home
20G
逻辑分区
ext3
LVM逻辑卷
/tmp
10G
逻辑分区
ext3
LVM逻辑卷
/opt
10G
逻辑分区
ext3
LVM逻辑卷
剩余空间
LVM逻辑卷,暂时不分,作为以后机动空间
8.因为是模板,暂时不配置网络:
9.选择时区:
10.输入管理员密码,这里用123456,以后部署再修改:
11.选择现在定制:
12.只选择必要的组件:
桌面环境:
GNOME;
应用程序:
图形化互联网、基于文本的互联网、编辑器
开发:
开发工具、开发库、老的软件开发java开发
基本系统:
基本、管理工具、老软件支持
语言支持:
中文支持
13.下一步开始安装系统:
完成后重新引导,系统安装完毕。
14.防火墙:
NoFirewall;SELinux禁用
安装完毕后,执行命令setup会看到如下页面
三.系统安装配置
1.配置默认运行级别:
配置默认运行级别:
3
文件位置:
/etc/inittab
id:
3:
initdefault:
2.安装其他软件包:
安装好系统后,在DVD光盘的Server目录中安装以下软件包
注:
i386和x64版本的软件包名是一样的,小的版本号有些出入。
#mount/dev/cdrom/media
#cd/media/Server/
#
#
安装vncserver
#
安装Oracle需要的软件包
3.设置环境变量:
编辑/etc/profile文件
#vi/etc/profile
添加如下内容:
exportPS1=[`hostname`]'[$USER][$PWD]'\#
exportEDITOR=/bin/vi
set-ovi
4.修改系统日志保存设置:
编辑/etc/logrotate.d/syslog
#vi/etc/logrotate.d/syslog
内容修改如下
/var/log/secure/var/log/maillog/var/log/spooler/var/log/boot.log/var/log/cron{
sharedscripts
postrotate
/bin/kill-HUP`cat/var/run/syslogd.pid2>/dev/null`2>/dev/null||true
/bin/kill-HUP`cat/var/run/rsyslogd.pid2>/dev/null`2>/dev/null||true
endscript
}
/var/log/messages{
weekly
size=10M
rotate50
sharedscripts
postrotate
/bin/kill-HUP`cat/var/run/syslogd.pid2>/dev/null`2>/dev/null||true
/bin/kill-HUP`cat/var/run/rsyslogd.pid2>/dev/null`2>/dev/null||true
endscript
}
5.性能监控部署和分析工具使用nmon:
1、部署监控工具
上传nmon_x86_11f.zip或者nmon_x86_64_rhel4.zip到服务器目录/soft_ins/nmon,nmon_x86_11f.zip适用于32位系统,nmon_x86_64_rhel4.zip适用于64位系统。
以下操作为root用户,到目录/soft_ins/nmon,解压文件,并修改文件属性。
#cd/soft_ins/nmon
#unzipnmon_x86_11f.zip(如果是64位机器请解压nmon_x86_64_rhel4.zip)
#chmod755nmon_x86_rhel4(如果是64位机器文件名为nmon_x86_64_rhel4)
新建文件nmon.sh
#vinmon.sh
内容为:
#/bin/sh
cd/soft_ins/nmon
./nmon_x86_64_rhel4-fT
注解nmon-fT(缺省为s300c288,即一天时间,每隔5分钟)
添加定时程序
#crontab-e
增加如下行:
00***/soft_ins/nmon/nmon.sh>/dev/null2>&1
每天都会在目录/soft_ins/nmon生成一份日志文件,格式如下:
hostname_YYMMDD_0000.nmon
如:
ssr900a02_090121_0000.nmon
1、分析工具使用
下载日志文件如:
hostname_090121_0000.nmon这样的文件到本地,解压nmon_analyser.zip得到nmonanalyserv334.xls,就可以导入记录文件进行分析了。
参考信息
6.分配置内核启动参数:
(可选操作)
位置:
/boot/grub/grub.conf的kernel行
原则:
DB服务器:
elevator=deadline
WEB服务器:
elevator=as
其它情况不需要修改:
使用RHEL的默认配置(elevator=cfq)
内容:
elevator=as
7.配置内核参数:
(可选操作)
文件位:
etc/sysctl.conf;
内容添加:
kernel.sysrq=0
kernel.core_uses_pid=1
kernel.ctrl-alt-del=1
验证:
#sysctl–p
#KernelsysctlconfigurationfileforRedHatLinux
#
#Forbinaryvalues,0isdisabled,1isenabled.Seesysctl(8)and
#sysctl.conf(5)formoredetails.
#ControlsIPpacketforwarding
#Controlssourcerouteverification
#Donotacceptsourcerouting
#ControlstheSystemRequestdebuggingfunctionalityofthekernel
kernel.sysrq=0
#ControlswhethercoredumpswillappendthePIDtothecorefilename
#Usefulfordebuggingmulti-threadedapplications
kernel.core_uses_pid=1
#ControlstheuseofTCPsyncookies
#Controlsthemaximumsizeofamessage,inbytes
kernel.msgmnb=65536
#Controlsthedefaultmaxmimumsizeofamesagequeue
kernel.msgmax=65536
#Controlsthemaximumsharedsegmentsize,inbytes
#Controlsthemaximumnumberofsharedmemorysegments,inpages
验证:
#sysctl–p
8.开启Kdump功能(可选操作)
#Uncommentthefollowingtwolinesfornormaldesktop:
unsetSESSION_MANAGER
exec/etc/X11/xinit/xinitrc
勾选其余kdump后,确定重启计算机就完成了。
主要需要考虑文件存放位置,意外宕机后会保存一份和内存大小相当的文件到配置的位置。
四.应用配置
1.多路径软件:
(可选操作)
多路径软件选择原则:
优先使用存储设备提供的多路径驱动,其次选择HBA卡厂商的驱动,最后可以选择红帽自带动多路径软件。
(后面细化)
2.多网卡绑定:
(可选操作)
参考文档中Linux系统中,路径
前提:
主机有两块以上网卡
绑定模式:
balance-rror0、active-backupor1、balance-xoror2、broadcastor3、
802.3ador4、balance-tlbor5、balance-albor6
最常用的就是两种模式balance-rror0、active-backupor1
操作指南:
首先确认一下系统是否正常Bonding
进入系统
执行命令
[root@xtptj2eedev~]#rpm-qf/sbin/ifup
[root@xtptj2eedev~]#grepifenslave/sbin/ifup
-x/sbin/ifenslave];then
ifenslave${RFLAG}"${MASTER}""${DEVICE}">/dev/null2>&1
ifenslave-d$DEV$DEVICE
应该可以看到类似如上信息,说明是支持网卡Bonding功能。
1.备份设备配置信息,位置/etc/sysconfig/network-scripts/ifcfg-ethx,将其备份到其他位置。
(在修改之前作备份是个好习惯)
2.修改配置文件,例子如下,修改相应参数即可,注意设备名有出入
创建/etc/sysconfig/network-scripts/ifcfg-bond0,内容如下
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
修改/etc/sysconfig/network-scripts/ifcfg-eth0,内容如下
DEVICE=eth0
USERCTL=no
ONBOOT=yes
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
修改/etc/sysconfig/network-scripts/ifcfg-eth1,内容如下
DEVICE=eth1
USERCTL=no
ONBOOT=yes
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
修改/etc/modprobe.conf,在最后添加
引用:
aliasbond0bonding
optionsbond0miimon=100mode=active-backup
注意:
Bonding模式设置的是模式采用主备模式
3.配置完毕。
要让配置生效执行命令
#modprobebond0miimon=100mode=active-backup
#servicenetworkrestart
或者直接重启机器就行了。
4.检验
运行命令,注意红色字体
#ifconfig
bond0Linkencap:
EthernetHWaddr00:
13:
72:
53:
8C:
9D
inet6addr:
fe80:
:
200:
ff:
fe00:
0/64Scope:
Link
UPBROADCASTRUNNINGMASTERMULTICASTMTU:
1500Metric:
1
RXpackets:
1948298errors:
2dropped:
0overruns:
0frame:
2
TXpackets:
3732268errors:
0dropped:
0overruns:
0carrier:
0
collisions:
0txqueuelen:
0
eth0Linkencap:
EthernetHWaddr00:
13:
72:
53:
8C:
9D
inet6addr:
fe80:
:
213:
72ff:
fe53:
8c9d/64Scope:
Link
UPBROADCASTRUNNINGSLAVEMULTICASTMTU:
1500Metric:
1
RXpackets:
1919499errors:
2dropped:
0overruns:
0frame:
2
TXpackets:
3696798errors:
0dropped:
0overruns:
0carrier:
0
collisions:
0txqueuelen:
1000
Baseaddress:
0xecc0Memory:
fe6e0000-fe700000
eth1Linkencap:
EthernetHWaddr00:
13:
72:
53:
8C:
9D
inet6addr:
fe80:
:
213:
72ff:
fe53:
8c9d/64Scope:
Link
UPBROADCASTRUNNINGSLAVEMULTICASTMTU:
1500Metric:
1
RXpackets:
28799errors:
0dropped:
0overruns:
0frame:
0
TXpackets:
35470errors:
0dropped:
0overruns:
0carrier:
0
collisions:
0txqueuelen:
1000
Baseaddress:
0xdcc0Memory:
fe4e0000-fe500000
#cat/proc/net/bonding/bond0
EthernetChannelBondingDriver:
v2.6.3(June8,2005)
BondingMode:
fault-tolerance(active-backup)
PrimarySlave:
None
CurrentlyActiveSlave:
eth0
MIIStatus:
up
MIIPollingInterval(ms):
100
UpDelay(ms):
0
DownDelay(ms):
0
SlaveInterface:
eth0
MIIStatus:
up
LinkFailureCount:
3
PermanentHWaddr:
00:
13:
72:
53:
8c:
9d
SlaveInterface:
eth1
MIIStatus:
up
LinkFailureCount:
1
PermanentHWaddr:
00:
13:
72:
53:
8c:
9e
3.配置本地YUM服务,便于添加未安装的软件包(可选操作)
方法:
1.准备介质,有三种方式,任选其一:
#mkdir/soft_ins/dvd
1)拷贝rhel5.iso光盘iso文件到/soft_ins目录
#mount-oloop/soft_ins/rhel5.iso/soft_ins/dvd
2)将光盘内容直接copy到目录/soft_ins/dvd下
3)将光驱放光驱中,#mount/dev/cdrom/soft_ins/dvd
2.修改文件,修改前备份一下吧^^,修改内容为
3.
4.enabled=1
5.修改服务器上的/usr/lib/python2.4/site-packages/yum/yumRepo.py文件,这个文件的607行原来的内容是:
remote=url+'/'+relative
改成
soft_ins/dvd/Server"+'/'+relative
6.清一下缓存:
yumcleanall。
7.运行system-config-packages,browse和search功能都能用了,可以很方便的添加程序。
五.安全设置
1.加强系统安全文件保护:
用chattr命令给下面的文件加上不可更改属性
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
修改后添加组和用户会失败。
唯一可以取消这个属性的人只有root。
如果要修改文件,首先要是取消不可修改性质:
#chattr-i/etc/passwd
#chattr-i/etc/shadow
#chattr-i/etc/group
#chattr-i/etc/gshadow
改变/etc/rc.d/init.d目录下的脚本文件的访问许可注意:
慎重修改此安全设置
备份文件到root目录先
#
#chmod-R700/etc/rc.d/init.d/*
2.关闭不需要的服务:
#ntsysv
关闭的服务autofs、bluetooth、cpuspeed、cups、cpus-config-daemon、hidd、isdn、ip6tables、iptables、kudzu、mcstrans、mdmonitor、netfs、nfslock、pcscd、portmap、readahead_early、readahead_later、restorecond、rhnsd、rpcgssd、rpcidmapd、setroubleshoo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 安装 实施 规范
![提示](https://static.bdocx.com/images/bang_tan.gif)