RHEL6服务器操作系统参数与及安全配置.docx
- 文档编号:8690759
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:40
- 大小:37.17KB
RHEL6服务器操作系统参数与及安全配置.docx
《RHEL6服务器操作系统参数与及安全配置.docx》由会员分享,可在线阅读,更多相关《RHEL6服务器操作系统参数与及安全配置.docx(40页珍藏版)》请在冰豆网上搜索。
RHEL6服务器操作系统参数与及安全配置
系统参数及安全配置检查确认表
手册说明
V1.3.5
手册名称
RHEL6服务器操作系统参数及安全配置检查确认表
修订历史(REVISIONHISTORY)
Rev
Section
Type
Date
Author
Remarks
1.0
All
2012/5/18
温士帅
创建第一个版本。
1.1
语言环境,建议的服务包(部分增加),禁用IPv6,安装FTP,配置时钟同步
2012/5/21
林东晖
补充修改
1.1.1
修改禁用IPv6配置,增强配置兼容性。
2012/5/21
林东晖
修改禁用IPv6
1.1.2
修正密码策略部分,加入配置文件对象文件
2012/5/24
林东晖
修正密码策略部分
1.2
调整段落次序
2012/7/4
温士帅
修改网卡绑定部分内容
1.2.1
新增时区和时间修改方法
2012/7/4
温士帅
修改和完善始终同步设置
1.2.2
修改IPv6禁用的配置方法
2012/7/30
温士帅
修改禁用IPv6和网卡绑定冲突的问题
1.2.3
1.参考集团基线安全加固
2.提升稳定性配置
2012/08/05
温士帅
1.2.4
修正错误和不合理
2012/08/23
温士帅
1.2.5
添加nmon安装方法
网卡绑定修正增加bonding.conf的配置
时钟同步,修正了同步到硬件时钟
2012/09/03
温士帅
1.2.6
确认语言环境
内核参数调整
有效期管理
使用telnet和ssh
调整日志保存,指定日志保存文件
2012/09/19
石成珂
修改语言变量设置
添加limits.conf参数配置
追加login.defs文件参数配置
追加sshd_config文件参数配置
添加rsyslog日志参数配置
1.2.7
修正错误
2012/09/24
温士帅
SELINUX配置的错误
hosts.equiv写错
1.3
建立自动化配置脚本
2012/09/26
温士帅
1.3.1
自动化脚本更新到1.3.3版本
2012/10/23
温士帅
修正自动化配置脚本bug
1.3.2
修改“参数优化”部分
2012/10/26
温士帅
新增用户资源限制部分优化
1.3.3
修改自动化配置脚本
2012/10/27
温士帅
增加参数优化,ulimit配置自动执行
1.3.4
修正sysctl.conf配置的错误
修改rhelstdmk脚本默认配置的错误
2014/4/16
温士帅
参数配置=左右必须有空格才是有效的配置
Ntpdate需要加入绝对路径
1.3.5
更新网卡bond方式配置
2014/5/8
温士帅
新增网卡绑定的arp探测方式的配置,可以对网卡链路up但是网关不通的情况进行切换
1.3.6
修正自动配置脚本bug
2014/5/30
温士帅
自动配置脚本TMOUT设置错误,已修正
填表人:
填表时间:
审核人:
审核时间:
主机基本信息
主机名
IP地址
CPU(型号,主频,数量)
TPMC
内存
存储适配卡
网卡
1000M光纤卡×41000MUTP卡(双绞线)×4
内置磁盘
序列号
是否配置Cluster
操作系统版本
用户列表
组名
帐号名称
类型
状态
用途
表一.性能专题问题检查
项目
建议配置值及配置方法
实际配置值或者确认结果
备注
基础环境
关闭图形界面
建议设置,一般作为服务器端,不需要图形化桌面的界面,关闭图形桌面相关设置可以提升系统稳定性。
(应用有特殊图形桌面要求的除外)
编辑/etc/inittab将如下行
id:
5:
initdefault:
改为
id:
3:
initdefault:
停止相关桌面工具服务
chkconfigNetworkManageroff
chkconfighaldaemonoff
重启后验证系统只有字符界面登录
确认语言环境
检查系统当前默认语言环境,执行如下命令:
#locale
LANG=en_US.UTF-8
……
……
如果是非English环境,请修改至English环境
编辑/etc/sysconfig/i18n
增加或编辑“LANG”开头的行为如下内容:
LANG="en_US.UTF-8"
如果需要配置中文环境,则:
LANG="zh_CN.GBK"
也可通过命令system-config-language配置
默认
基础配置
本地YUM源配置
创建放置安装文件的本地目录/rhel6;
将安装光盘中的所有文件复制到/rhel6文件夹;进入光盘所在目录,使用cp命令将所有文件复制到/rhel6文件夹;
#mkdir/rhel6
#mount/dev/cdrom/mnt
#cp–r/mnt/*/rhel6
进入/etc/yum.repos.d目录,将现有文件复制为rhel6-local.repo;
使用vi命令对rhel6-local.repo文件做如下修改,并保存退出;
[rhel6]
Name=RHEL6
baseurl=file:
///rhel6/
enabled=1
gpgcheck=1
gpgkey=file:
///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
依次执行yumcleanall命令和yumlist命令;
(我在10.10.104.123上放了个ISO镜像,网络能访问到的可以设置成以下的yum配置)
[rhel6]
Name=RHEL6
baseurl=ftp:
//rhel61:
vfr43edc@10.10.104.123/rhel61.iso/
enabled=1
gpgcheck=1
gpgkey=file:
///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
/etc/yum.repos.d/rhel6.repo
OK
服务包
建议的服务包
增加常见依赖软件包
#yuminstallbinutils*compat-libstdc*elfutils-libelfelfutils-libelf-develgcc*gcc-c++*glibcglibc-commonglibc-devel*glibc-headerskshlibaio*libaio-devel*libgcc*libstdc*libstdc++-devel*makesysstatunixODBClibXp
#yuminstallsystem-config*screeniotopexpectpexpectOpenIPMI*ipmitooliptrafrpm*kernel-develkernel-doctuned
碰到装不上去吧install替换为update
yumupdatebinutils*compat-libstdc*elfutils-libelfelfutils-libelf-develgcc*gcc-c++*glibcglibc-commonglibc-devel*glibc-headerskshlibaio*libaio-devel*libgcc*libstdc*libstdc++-devel*makesysstatunixODBClibXp
IOS手工传上去,在1台机器弄完后可以用nfs方式共享
本地YUM源配置,这个要先做
OK
基本服务
配置关闭SElinux
关闭SElinux,编辑SElinux配置文件/etc/selinux/config;
将SELINUX=enforcing改为SELINUX=disabled,修改完毕后保存退出;
系统重启后,才能关闭SElinux;
OK
配置关闭Firewall
关闭Firewall,以root身份登入执行命令;
#serviceiptablesstop
关闭iptables服务
#chkconfigiptablesoff
开机不启动iptables服务
OK
关闭不需要的服务
检查命令:
chkconfig--list|grep-i-E'shell|login|exec|talk|ntalk|imap|pop-2|pop-3|finger|auth|Anancron|Cups|Gpm|Isdn|Kudzu|Pcmcia|Rhnsd|sendmail|snmpd'
如果哪个服务xxx开启了,可以用以下命令关闭(无需重启)
service服务名xxxstop
chkconfig服务名xxxoff
注意关闭前确认该服务与应用无关
关闭不必要的远程操作服务
主要是rlogin、rsh、rexec,接入域的主机务必关闭(HA和rac系统除外)
检查命令:
chkconfig--list|grep-i-E'rlogin|rsh|rexec'
如果哪个服务xxx开启了,可以用以下命令关闭(无需重启)
service服务名xxxstop
chkconfig服务名xxxoff
注意关闭前确认该服务与应用无关
配置关闭IPv6
方法一(有网卡绑定的不能采用):
1、创建或编辑/etc/modprobe.d/ipv6.conf加入下面的行
optionsipv6disable=1
installipv6/bin/true
blacklistipv6
2、禁用ip6tables服务
chkconfigip6tablesoff
3、重启系统禁用IPv6
reboot
方法二(适合有网卡绑定的):
1、创建或编辑/etc/modprobe.d/ipv6.conf加入下面的行
optionsipv6disable=1
blacklistipv6
2、禁用ip6tables服务
chkconfigip6tablesoff
3、重启系统禁用IPv6
reboot
OK
安装FTP服务
无特别需求不建议安装ftp服务
1、安装vsftpd软件包
yuminstallvsftpd
yuminstallftp
2、禁用ftp的anonymous登录
修改/etc/vsftpd/vsftpd.conf文件中下面的配置
anonymous_enable=NO
3、手工启动vsftpd服务
servicevsftpdstart
注意:
vsftpd默认禁止root用户访问,需要创建普通用户使用。
4、设置随系统自动启动服务
chkconfig--level345vsftpdon
OK
网络设置
网卡IP及绑定设置
配置修改网络配置文件,进入配置文件目录
/etc/sysconfig/network-scripts/
添加bond0设备配置文件ifcfg-bond0。
绑定网卡bond0配置文件内容:
DEVICE=bond0
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.1.1
NETMASK=255.255.255.0
GATEWAY=192.168.1.254
USERCTL=no
#BONDING_OPTS="mode=1miimon=100primary=eth0"#该方式依据链路状态进行切换,不能对交换机层面故障
BONDING_OPTS="mode=1arp_interval=1000arp_ip_target=192.168.1.254(网关地址)"#推荐采用该模式,用arp两层探测方式来检测链路状态,一般配置对网关进行arp探测。
#说明:
miimon是用来进行链路监测的。
比如:
miimon=100,那么系统每100ms监测一次链路连接状态,如果有一条线路不通就转入另一条线路;mode的值表示工作模式,他共有0,1,2,3四种模式,常用的为0,1两种。
mode=0表示loadbalancing(round-robin)为负载均衡方式,两块网卡都工作。
mode=1表示fault-tolerance(active-backup)提供冗余功能,工作方式是主备的工作方式,也就是说默认情况下只有一块网卡工作,另一块做备份。
bonding只能提供链路监测,即从主机到交换机的链路是否接通。
如果只是交换机对外的链路down掉了,而交换机本身并没有故障,那么bonding会认为链路没有问题而继续使用
修改第一块物理网卡ifcfg-eth0配置文件内容:
DEVICE=eth0
MASTER=bond0
SLAVE=yes
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
修改第二块物理网卡ifcfg-eth1配置文件内容:
DEVICE=eth1
MASTER=bond0
SLAVE=yes
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
bonding模块设置
/etc/modprobe.d/bonding.conf文件中添加如下内容:
aliasbond0bonding
重启启动network服务,使配置生效
#servicenetworkrestart
查看网卡绑定工作情况:
cat/proc/net/bonding/bond0
OK
ifcfg-bond0
参数优化
内核参数调整
注意,以下只是推荐参数,具体如何配置请和该主机应用人员商议确认!
使用vi编辑/etc/sysctl.conf,添加以下内容:
#内存部分
vm.swappiness=10
#降低内存交换到磁盘的倾向
vm.min_free_kbytes=409600
#最小保留空闲内存400M
vm.vfs_cache_pressure=200
#增加加虚拟内存回收directory和i-node缓冲的倾向
vm.dirty_ratio=5
#系统Cache配置为内存的5%
#网络部分(注意等号左右必须有空格才有效)
net.core.rmem_default=262144
net.core.rmem_max=4194304
#Receivesocketbuffersize
net.core.wmem_default=262144
net.core.wmem_max=4194304
#Sendsocketbuffersize
net.ipv4.tcp_rmem=40962621444194304
net.ipv4.tcp_wmem=40962621444194304
#TCPsocketbuffersize
net.ipv4.ip_local_port_range=4000065000
#Networkportrange65000
使配置生效
#sysctl–p
OK
用户资源限制
1.删除/etc/security/limits.d目录下所有文件
2.修改两个文件/etc/pam.d/sshd和/etc/pam.d/login,增加
sessionrequired/lib64/security/pam_limits.so
sessionrequiredpam_limits.so
3.重启sshd服务,servicesshdrestart
4.修改/etc/security/limits.conf文件,增加以下内容并保存:
*softnofile32768
*hardnofile65536
*softnprocunlimited
*hardnprocunlimited
时区和时间设置
时区设置
系统时区的确认
1.首先以系统变量TZ值为准
2.如果TZ变量未配置,以/etc/localtime为准
查看当前时区:
date-R
如果最后显示+0800代表+8时区,至少和北京时区一致,可以不做操作,如果不一致可以采取下面两种方式:
1./etc/profile文件末尾添加一行
exportTZ=Asia/Shanghai
2.修改/etc/localtime文件(注意非文本文件不得直接vi)
ln-sf/usr/share/zoneinfo/Asia/Shanghai/etc/localtime
修改机器时间
date-s12/20/2003
date-s12:
30:
00
clock-w写入BIOS
hwclock-r显示bios时间
时钟同步
时钟同步设置
方法一:
(适用于对时间不敏感系统)
在crontab中配置定时的ntp始终同步
crontab-e
配置“00***ntpdate10.10.100.59;clock-w”
方法二:
(适用于时间敏感系统,如rac库,cluster系统等)
NTP服务器10.10.100.59
编辑/etc/ntp.conf
将文件中的如下行
server0.rhel.pool.ntp.org
server1.rhel.pool.ntp.org
server2.rhel.pool.ntp.org
合并更改为下面的唯一行
server10.10.100.59//IPofNTPserver
修改以下文件,添加SYNC_HWCLOCK设置,将ntp同步至硬件时钟
#vi/etc/sysconfig/ntpd
SYNC_HWCLOCK=yes
开启NTP服务
ntpdate10.10.100.59
servicentpdstart
开启ntpd服务到自动启动
chkconfigntpdon
检查同步情况
ntpq-p
ntpstat(刚配置完同步需要一段时间)
系统安全增强配置
密码策略增强
备份配置文件
#cp/etc/pam.d/password-auth-ac/root/password-auth-ac.defaut
#cp/etc/pam.d/system-auth-ac/root/system-auth-ac.defaut
使用vi编辑/etc/pam.d/password-auth-ac配置文件,修改内容为如下:
#%PAM-1.0
#Thisfileisauto-generated.
#Userchangeswillbedestroyedthenexttimeauthconfigisrun.
authrequiredpam_env.so
authrequiredpam_faillock.sopreauthsilentauditdeny=10unlock_time=600
authsufficientpam_unix.sonulloktry_first_pass
auth[default=die]pam_faillock.soauthfailauditdeny=10
authsufficientpam_faillock.soauthsuccauditdeny=10
authrequisitepam_succeed_if.souid>=500quiet
authrequiredpam_deny.so
accountrequiredpam_faillock.so
accountrequiredpam_unix.so
accountsufficientpam_localuser.so
accountsufficientpam_succeed_if.souid<500quiet
accountrequiredpam_permit.so
passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1difok=3
passwordrequisitepam_passwdqc.souse_first_passenforce=everyone
passwordsufficientpam_unix.somd5remember=6shadownulloktry_first_passuse_authtok
passwordrequiredpam_deny.so
sessionoptionalpam_keyinit.sorevoke
sessionrequiredpam_limits.so
session[success=1default=ignore]pam_succeed_if.soserviceincrondquietuse_uid
sessionrequiredpam_unix.so
使用vi编辑/etc/pam.d/system-auth-ac配置文件,修改内容为如下:
#%PAM-1.0
#Thisfileisauto-generated.
#Userchangeswillbedestroyedthenexttimeauthconfigisrun.
authrequiredpam_env.so
authsufficientpam_fprintd.so
authrequiredpam_faillock.sopreauthsilentauditdeny=10unlock_time=600
authsufficientpam_unix.sonulloktry_first_pass
auth[default=die]pam_faillock.soauthfailauditdeny=10
authsufficientpam_faillock.soauthsuccauditdeny=10
authrequisitepam_succeed_if.souid>=500quiet
authrequiredpam_deny.so
accountrequiredpam_faillock.so
accountrequiredpam_unix.so
accountsufficientpam_loca
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RHEL6 服务器 操作系统 参数 安全 配置