Linux安裝實(shí)施規(guī)范

Linux系統(tǒng)安裝及配置實(shí)施規(guī)范方案2017年03月29日版權(quán)說明本文檔版權(quán)由中國電信集團(tuán)江西有限公司信息技術(shù)中心所有。未經(jīng)中國電信集團(tuán)江西有限公司信息技術(shù)中心書面許可，任何單位與個(gè)人不得以任何形式摘抄、復(fù)制本文檔得部分或全部，并以任何形式傳播。版本控制目錄版權(quán)說明 2版本控制 2一、 安裝準(zhǔn)備 51、 硬件準(zhǔn)備： 52、 軟件準(zhǔn)備： 53、 磁盤RAID規(guī)劃 54、 收集信息 5二、 安裝過程 61、 分區(qū)規(guī)劃 62、 Linux安裝 61、 安裝前準(zhǔn)備 62、 安裝Linux基本系統(tǒng) 6三、 系統(tǒng)安裝配置 161、 配置默認(rèn)運(yùn)行級(jí)別： 162、 安裝其她軟件包： 163、 設(shè)置環(huán)境變量： 174、 修改系統(tǒng)日志保存設(shè)置： 175、 性能監(jiān)控部署與分析工具使用nmon： 186、 分配置內(nèi)核啟動(dòng)參數(shù)：（可選操作） 187、 配置內(nèi)核參數(shù)：（可選操作） 198、 開啟Kdump功能（可選操作） 21四、 應(yīng)用配置 221、 多路徑軟件：（可選操作） 222、 多網(wǎng)卡綁定：（可選操作） 223、 配置本地YUM服務(wù),便于添加未安裝得軟件包（可選操作） 25五、 安全設(shè)置 261、 加強(qiáng)系統(tǒng)安全文件保護(hù)： 262、 關(guān)閉不需要得服務(wù)： 263、 刪除finger程序,具體方法如下： 274、 帳號(hào)安全設(shè)置： 275、 /etc/aliases文件： 276、 防止任何人都可以用su命令成為root： 277、 禁止rootSSH登錄： 288、 使Control+Alt+Delete關(guān)機(jī)鍵無效： 289、 設(shè)定登錄不活動(dòng)時(shí)間： 2810、 history記錄詳細(xì)得操作時(shí)間與訪問IP： 2811、 收回系統(tǒng)編譯器得權(quán)限或刪除：（可選操作） 2912、 刪除不必要得用戶與組用戶：（可選操作） 2913、 TCP_Wrappers：（可選操作） 2914、 取消可執(zhí)行程序得s標(biāo)志位：（可選操作） 3015、 軟NFS（可選操作） 32六、 備份系統(tǒng)最初得重要文件 32附件１：Linux(Unix)時(shí)鐘同步ntpd服務(wù)配置方法 32附件2：linux中ftp得配置管理 34附件3：linux中ftp得配置管理 38安裝準(zhǔn)備硬件準(zhǔn)備：序號(hào)確認(rèn)內(nèi)容備注設(shè)備拆箱隨機(jī)帶光盤與手冊(cè)歸檔存放設(shè)備上架（機(jī)架式）1、上架前注意檢查機(jī)柜空間、機(jī)柜UPS供電冗余、UPS最大功率、設(shè)備散熱、機(jī)器電源檢查硬件自檢通過連接磁帶機(jī)、磁盤陣列連接（系統(tǒng)安裝完畢后連接）網(wǎng)絡(luò)設(shè)備連通檢查軟件準(zhǔn)備：序號(hào)安裝介質(zhì)版本備注1服務(wù)器啟動(dòng)光盤2RHELAS5update2磁盤RAID規(guī)劃硬盤數(shù)量RAIDLEVEL備注2RAID13RAID1+hotspare4RAID105RAID10+hotspare5塊以上酌情處理 注：一般PC服務(wù)器機(jī)器本機(jī)硬盤也就2塊，需要更好得性能與可靠性，推薦四塊硬盤做RAID10。收集信息序號(hào)內(nèi)容信息記錄1IP地址，掩碼，網(wǎng)關(guān)、DNS、主機(jī)名2root口令安裝過程分區(qū)規(guī)劃對(duì)于本地硬盤一下目錄建立在非LVM管理分區(qū)大小分區(qū)類型文件系統(tǒng)備注/boot200M主分區(qū)ext3非LVM邏輯卷/4G主分區(qū)ext3非LVM邏輯卷Swap如果RAM<2G,swap=2×RAM

否則swap=RAM大于4G得swap劃分原則，劃分多個(gè)swap，每個(gè)swap大小為4G主分區(qū)非LVM邏輯卷/usr10G邏輯分區(qū)ext3LVM邏輯卷/var10G邏輯分區(qū)ext3LVM邏輯卷/home20G邏輯分區(qū)ext3LVM邏輯卷/tmp10G邏輯分區(qū)ext3LVM邏輯卷/opt10G邏輯分區(qū)ext3LVM邏輯卷剩余空間LVM邏輯卷，暫時(shí)不分，作為以后機(jī)動(dòng)空間Linux安裝安裝前準(zhǔn)備選擇REDHATAS5、0－64位，硬盤50G，存儲(chǔ)在winsd1里，掛載好REDHAT安裝盤。安裝Linux基本系統(tǒng)進(jìn)入安裝界面，回車：光盤檢測(cè)界面，選擇SKIP跳過：選擇語言，簡(jiǎn)體中文：選擇鍵盤類型，美國英語式：輸入安裝序列號(hào)49af89414d147589選擇自定義分區(qū)結(jié)構(gòu)，下一步：按照分區(qū)要求分區(qū)，先劃分/boot、/、swap區(qū)，并強(qiáng)制為主分區(qū)，剩余分區(qū)建立LVM，然后在LVM劃分/usr、/var等，如下表及圖：分區(qū)大小分區(qū)類型文件系統(tǒng)備注/boot200M主分區(qū)ext3非LVM邏輯卷/4G主分區(qū)ext3非LVM邏輯卷Swap如果RAM<2G,swap=2×RAM

否則swap=RAM大于4G得swap劃分原則，劃分多個(gè)swap，每個(gè)swap大小為4G主分區(qū)非LVM邏輯卷/usr10G邏輯分區(qū)ext3LVM邏輯卷/var10G邏輯分區(qū)ext3LVM邏輯卷/home20G邏輯分區(qū)ext3LVM邏輯卷/tmp10G邏輯分區(qū)ext3LVM邏輯卷/opt10G邏輯分區(qū)ext3LVM邏輯卷剩余空間LVM邏輯卷，暫時(shí)不分，作為以后機(jī)動(dòng)空間因?yàn)榫褪悄０?，暫時(shí)不配置網(wǎng)絡(luò)：選擇時(shí)區(qū)：輸入管理員密碼，這里用123456，以后部署再修改：選擇現(xiàn)在定制：只選擇必要得組件：桌面環(huán)境：GNOME;應(yīng)用程序：圖形化互聯(lián)網(wǎng)、基于文本得互聯(lián)網(wǎng)、編輯器開發(fā)：開發(fā)工具、開發(fā)庫、老得軟件開發(fā)java開發(fā)基本系統(tǒng)：基本、管理工具、老軟件支持語言支持：中文支持下一步開始安裝系統(tǒng)：完成后重新引導(dǎo)，系統(tǒng)安裝完畢。14、防火墻：NoFirewall; SELinux禁用 安裝完畢后，執(zhí)行命令setup會(huì)瞧到如下頁面系統(tǒng)安裝配置配置默認(rèn)運(yùn)行級(jí)別：配置默認(rèn)運(yùn)行級(jí)別：3文件位置：/etc/inittabid:3:initdefault:安裝其她軟件包：安裝好系統(tǒng)后，在DVD光盤得Server目錄中安裝以下軟件包注：i386與x64版本得軟件包名就是一樣得，小得版本號(hào)有些出入。#mount/dev/cdrom/media#cd/media/Server/rpm-Uvhlrzsz-0、12、20-22、1、x86_64、rpm#rpm-Uvhsystem-config-services-0、9、4-1、el5、noarch、rpm#rpm-Uvhsysstat-7、0、2-1、el5、x86_64、rpm安裝vncserver#rpm-Uvhvnc-server-4、1、2-9、el5、x86_64、rpm安裝Oracle需要得軟件包rpm-UvhlibXp-1、0、0-8、1、el5、i386、rpmrpm-UvhlibXau-1、0、1-3、1、i386、rpmrpm-UvhlibXau-devel-1、0、1-3、1、i386、rpmrpm-UvhlibXp-devel-1、0、0-8、1、el5、i386、rpmrpm-Uvhopenmotif-2、3、0-0、5、el5、i386、rpmrpm-UvhlibXp-1、0、0-8、1、el5、x86_64、rpmrpm-UvhlibXau-1、0、1-3、1、x86_64、rpmrpm-UvhlibXau-devel-1、0、1-3、1、x86_64、rpmrpm-UvhlibXp-devel-1、0、0-8、1、el5、x86_64、rpmrpm-Uvhopenmotif-2、3、0-0、5、el5、x86_64、rpm設(shè)置環(huán)境變量：編輯/etc/profile文件#vi/etc/profile添加如下內(nèi)容：exportPS1=[`hostname`]'[$USER][$PWD]'\#exportEDITOR=/bin/viset-ovi修改系統(tǒng)日志保存設(shè)置：編輯/etc/logrotate、d/syslog#vi/etc/logrotate、d/syslog內(nèi)容修改如下/var/log/secure/var/log/maillog/var/log/spooler/var/log/boot、log/var/log/cron{sharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd、pid2>/dev/null`2>/dev/null||true /bin/kill-HUP`cat/var/run/rsyslogd、pid2>/dev/null`2>/dev/null||trueendscript}/var/log/messages{weeklysize=10Mrotate50sharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd、pid2>/dev/null`2>/dev/null||true /bin/kill-HUP`cat/var/run/rsyslogd、pid2>/dev/null`2>/dev/null||trueendscript}性能監(jiān)控部署與分析工具使用nmon：1、部署監(jiān)控工具上傳nmon_x86_11f、zip或者nmon_x86_64_rhel4、zip到服務(wù)器目錄/soft_ins/nmon，nmon_x86_11f、zip適用于32位系統(tǒng)，nmon_x86_64_rhel4、zip適用于64位系統(tǒng)。以下操作為root用戶，到目錄/soft_ins/nmon，解壓文件，并修改文件屬性。#cd/soft_ins/nmon#unzipnmon_x86_11f、zip（如果就是64位機(jī)器請(qǐng)解壓nmon_x86_64_rhel4、zip）#chmod755nmon_x86_rhel4（如果就是64位機(jī)器文件名為nmon_x86_64_rhel4）新建文件nmon、sh#vinmon、sh內(nèi)容為：#/bin/shcd/soft_ins/nmon、/nmon_x86_64_rhel4-fT注解nmon-fT(缺省為s300c288,即一天時(shí)間，每隔5分鐘）添加定時(shí)程序#crontab-e增加如下行：00***/soft_ins/nmon/nmon、sh>/dev/null2>&1 每天都會(huì)在目錄/soft_ins/nmon生成一份日志文件，格式如下：hostname_YYMMDD_0000、nmon如：ssr900a02_090121_0000、nmon分析工具使用下載日志文件如：hostname_090121_0000、nmon這樣得文件到本地，解壓nmon_analyser、zip得到nmonanalyserv334、xls，就可以導(dǎo)入記錄文件進(jìn)行分析了。參考信息分配置內(nèi)核啟動(dòng)參數(shù)：（可選操作）位置：/boot/grub/grub、conf得kernel行原則：DB服務(wù)器：elevator=deadlineWEB服務(wù)器：elevator=as其它情況不需要修改：使用RHEL得默認(rèn)配置(elevator=cfq)內(nèi)容：kernel/vmlinuz-2、6、18-92、el5roroot=LABEL=/elevator=as配置內(nèi)核參數(shù)：（可選操作）文件位：etc/sysctl、conf;內(nèi)容添加:net、ipv4、ip_forward=0net、ipv4、tcp_syncookies=1net、ipv4、conf、all、rp_filter=1net、ipv4、conf、all、accept_source_route=0net、ipv4、conf、all、accept_redirects=0net、ipv4、tcp_keepalive_time=1800net、ipv4、tcp_timestamps=0net、ipv4、tcp_fin_timeout=30net、ipv4、tcp_window_scaling=1net、ipv4、tcp_sack=0net、ipv4、tcp_max_syn_backlog=1280net、ipv4、tcp_synack_retries=2net、ipv4、tcp_syn_retries=3net、ipv4、icmp_echo_ignore_broadcasts=1net、ipv4、icmp_ignore_bogus_error_responses=1net、ipv4、ip_local_port_range=3276861000kernel、sysrq=0kernel、core_uses_pid=1kernel、ctrl-alt-del=1驗(yàn)證：#sysctl–p“sysctl、new、conf”#KernelsysctlconfigurationRedHatLinux##Forbinaryvalues,0isdisabled,1isenabled、Seesysctl(8)and#sysctl、conf(5)formoredetails、#ControlsIPpacketforwardingnet、ipv4、ip_forward=0#Controlssourcerouteverificationnet、ipv4、conf、default、rp_filter=1#Donotacceptsourceroutingnet、ipv4、conf、default、accept_source_route=0#ControlstheSystemRequestdebuggingfunctionalityofthekernelkernel、sysrq=0#ControlswhethercoredumpswillappendthePIDtothecore#Usefulfordebuggingmulti-threadedapplicationskernel、core_uses_pid=1#ControlstheuseofTCPsyncookiesnet、ipv4、tcp_syncookies=0#Controlsthemaximumsizeofamessage,inbyteskernel、msgmnb=65536#Controlsthedefaultmaxmimumsizeofamesagequeuekernel、msgmax=65536#Controlsthemaximumsharedsegmentsize,inbyteskernel、shmmax=68719476736#Controlsthemaximumnumberofsharedmemorysegments,inpageskernel、shmall=4294967296net、ipv4、tcp_tw_reuse=1net、ipv4、tcp_tw_recycle=1net、ipv4、tcp_fin_timeout=30net、ipv4、tcp_keepalive_time=1200net、ipv4、tcp_max_tw_buckets=5000net、ipv4、tcp_max_syn_backlog=65536net、core、netdev_max_backlog=32768net、core、somaxconn=32768net、core、wmem_default=8388608net、core、rmem_default=8388608net、core、rmem_max=16777216net、core、wmem_max=16777216net、ipv4、tcp_timestamps=0net、ipv4、tcp_synack_retries=2net、ipv4、tcp_syn_retries=2net、ipv4、tcp_wmem=8192436600873200net、ipv4、tcp_rmem=32768436600873200net、ipv4、tcp_mem=9450092700000驗(yàn)證：#sysctl–p開啟Kdump功能（可選操作）#Uncommentthefollowingtwolinesfornormaldesktop:unsetSESSION_MANAGERexec/etc/X11/xinit/xinitrc勾選其余kdump后，確定重啟計(jì)算機(jī)就完成了。主要需要考慮文件存放位置，意外宕機(jī)后會(huì)保存一份與內(nèi)存大小相當(dāng)?shù)梦募脚渲玫梦恢谩?yīng)用配置多路徑軟件：（可選操作）多路徑軟件選擇原則：優(yōu)先使用存儲(chǔ)設(shè)備提供得多路徑驅(qū)動(dòng)，其次選擇HBA卡廠商得驅(qū)動(dòng)，最后可以選擇紅帽自帶動(dòng)多路徑軟件。（后面細(xì)化）多網(wǎng)卡綁定：（可選操作）參考文檔中Linux系統(tǒng)中，路徑/usr/share/doc/iputils-20020927/README、bonding前提：主機(jī)有兩塊以上網(wǎng)卡綁定模式：balance-rror0、active-backupor1、balance-xoror2、broadcastor3、802、3ador4、balance-tlbor5、balance-albor6最常用得就就是兩種模式balance-rror0、active-backupor1操作指南：首先確認(rèn)一下系統(tǒng)就是否正常Bonding進(jìn)入系統(tǒng)執(zhí)行命令[root@xtptj2eedev~]#rpm-qf/sbin/ifupinitscripts-7、93、25、EL-1[root@xtptj2eedev~]#grepifenslave/sbin/ifup-x/sbin/ifenslave];thenifenslave${RFLAG}"${MASTER}""${DEVICE}">/dev/null2>&1ifenslave-d$DEV$DEVICE應(yīng)該可以瞧到類似如上信息，說明就是支持網(wǎng)卡Bonding功能。1．備份設(shè)備配置信息，位置/etc/sysconfig/network-scripts/ifcfg-ethx，將其備份到其她位置。(在修改之前作備份就是個(gè)好習(xí)慣）2．修改配置文件，例子如下，修改相應(yīng)參數(shù)即可,注意設(shè)備名有出入創(chuàng)建/etc/sysconfig/network-scripts/ifcfg-bond0，內(nèi)容如下DEVICE=bond0IPADDR=10、25、76、170NETMASK=255、255、255、0NETWORK=10、25、76、0BROADCAST=10、25、76、255GATEWAY=10、25、76、254ONBOOT=yesBOOTPROTO=noneUSERCTL=no修改/etc/sysconfig/network-scripts/ifcfg-eth0，內(nèi)容如下DEVICE=eth0USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/sysconfig/network-scripts/ifcfg-eth1，內(nèi)容如下DEVICE=eth1USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/modprobe、conf,在最后添加引用:aliasbond0bondingoptionsbond0miimon=100mode=active-backup注意：Bonding模式設(shè)置得就是模式采用主備模式3．配置完畢。要讓配置生效執(zhí)行命令#modprobebond0miimon=100mode=active-backup#servicenetworkrestart或者直接重啟機(jī)器就行了。4．檢驗(yàn)運(yùn)行命令，注意紅色字體#ifconfigbond0Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinetaddr:10、25、76、21Bcast:10、25、76、255Mask:255、255、255、0inet6addr:fe80::200:ff:fe00:0/64Scope:LinkUPBROADCASTRUNNINGMASTERMULTICASTMTU:1500Metric:1RXpackets:1948298errors:2dropped:0overruns:0frame:2TXpackets:3732268errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:0RXbytes:170299705(162、4MiB)TXbytes:1206117061(1、1GiB)eth0Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinet6addr:fe80::213:72ff:fe53:8c9d/64Scope:LinkUPBROADCASTRUNNINGSLAVEMULTICASTMTU:1500Metric:1RXpackets:1919499errors:2dropped:0overruns:0frame:2TXpackets:3696798errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:163541721(155、9MiB)TXbytes:1169827536(1、0GiB)Baseaddress:0xecc0Memory:fe6e0000-fe700000eth1Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinet6addr:fe80::213:72ff:fe53:8c9d/64Scope:LinkUPBROADCASTRUNNINGSLAVEMULTICASTMTU:1500Metric:1RXpackets:28799errors:0dropped:0overruns:0frame:0TXpackets:35470errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:6757984(6、4MiB)TXbytes:36289525(34、6MiB)Baseaddress:0xdcc0Memory:fe4e0000-fe500000#cat/proc/net/bonding/bond0EthernetChannelBondingDriver:v2、6、3(June8,2005)BondingMode:fault-tolerance(active-backup)PrimarySlave:NoneCurrentlyActiveSlave:eth0MIIStatus:upMIIPollingInterval(ms):100UpDelay(ms):0DownDelay(ms):0SlaveInterface:eth0MIIStatus:upLinkFailureCount:3PermanentHWaddr:00:13:72:53:8c:9dSlaveInterface:eth1MIIStatus:upLinkFailureCount:1PermanentHWaddr:00:13:72:53:8c:9e配置本地YUM服務(wù),便于添加未安裝得軟件包（可選操作） 方法：準(zhǔn)備介質(zhì)，有三種方式，任選其一：#mkdir/soft_ins/dvd1）拷貝rhel5、iso光盤iso文件到/soft_ins目錄#mount-oloop/soft_ins/rhel5、iso/soft_ins/dvd2）將光盤內(nèi)容直接copy到目錄/soft_ins/dvd下3）將光驅(qū)放光驅(qū)中，#mount/dev/cdrom/soft_ins/dvd修改/etc/yum、repos、d/rhel-debuginfo、repo文件，修改前備份一下吧^^，修改內(nèi)容為

baseurl=

enabled=1修改服務(wù)器上得/usr/lib/python2、4/site-packages/yum/yumRepo、py文件，這個(gè)文件得607行原來得內(nèi)容就是：remote=url+'/'+relative改成remote="soft_ins/dvd/Server"+'/'+relative清一下緩存：yumcleanall。運(yùn)行system-config-packages，browse與search功能都能用了，可以很方便得添加程序。安全設(shè)置加強(qiáng)系統(tǒng)安全文件保護(hù)：用chattr命令給下面得文件加上不可更改屬性#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow修改后添加組與用戶會(huì)失敗。唯一可以取消這個(gè)屬性得人只有root。

如果要修改文件，首先要就是取消不可修改性質(zhì):#chattr-i/etc/passwd#chattr-i/etc/shadow#chattr-i/etc/group#chattr-i/etc/gshadow改變/etc/rc、d/init、d目錄下得腳本文件得訪問許可注意:慎重修改此安全設(shè)置備份文件到root目錄先#tarcvf/root/init、d、tar/etc/rc、d/init、d/#chmod-R700/etc/rc、d/init、d/*關(guān)閉不需要得服務(wù)：#ntsysv關(guān)閉得服務(wù)autofs、bluetooth、cpuspeed、cups、cpus-config-daemon、hidd、isdn、ip6tables、iptables、kudzu、mcstrans、mdmonitor、netfs、nfslock、pcscd、portmap、readahead_early、readahead_later、restorecond、rhnsd、rpcgssd、rpcidmapd、setroubleshoot、smartd、sendmail#servicesendmailstop#chkconfig--listsendmail(可以查瞧到sendmail在2，3，4，5時(shí)就是自動(dòng)啟動(dòng)得，而一般得系統(tǒng)設(shè)置為3，因此每次啟動(dòng)時(shí)sendmail還就是會(huì)自動(dòng)啟動(dòng))#chkconfig--level2345sendmailoff｜#chkconfigsendmailoff#chkconfigiptablesoff開啟得服務(wù)acpid、anacron、atd、auditd、avahi-daemon、crond、gpm、haldaemon、irqbalance、lvm2-monitor、messagebus、network、syslog、sshd、xfs、yum-updatesd刪除finger程序,具體方法如下：#rpm-efinger帳號(hào)安全設(shè)置：帳號(hào)安全設(shè)置請(qǐng)修改/etc/login、defs文件PASS_MAX_DAYS120#設(shè)置密碼過期日期PASS_MIN_DAYS0#設(shè)置密碼最少更改日期PASS_MIN_LEN10#設(shè)置密碼最小長(zhǎng)度PASS_WARN_AGE7#設(shè)置過期提前警告天數(shù)/etc/aliases文件：Aliases文件如果管理錯(cuò)誤或管理粗心就會(huì)造成安全隱患、把定義”decode”這個(gè)別名得行從aliases文件中注釋、#decode:root運(yùn)行/usr/bin/newaliases重新加載防止任何人都可以用su命令成為root：編輯su文件(vi/etc/pam、d/su),應(yīng)該有如下兩行，如有注釋請(qǐng)去掉注釋authsufficientpam_rootok、soauthrequiredpam_wheel、souse_uid把能su為root得用戶加入wheel組usermod-G10username禁止rootSSH登錄：#vi/etc/ssh/sshd_config把PermitRootLoginyes改為PermitRootLoginno重啟sshd服務(wù)#servicesshdrestart使Control+Alt+Delete關(guān)機(jī)鍵無效：編輯/etc/inittab文件,注釋掉下面一行Ca:ctrlaltdel:/sbin/shutdown-t3-rnow運(yùn)行/sbin/initq使設(shè)置生效設(shè)定登錄不活動(dòng)時(shí)間：#vi/etc/profile追加內(nèi)容1800半小時(shí)TMOUT=1800確認(rèn)：grepTMOUT/etc/profilehistory記錄詳細(xì)得操作時(shí)間與訪問IP：要求：SHELL為bash，且bash版本在3、0以上。一般S9,S10都就是3、0以上得，只要將用戶得默認(rèn)SHELL設(shè)置為bash即可。此方法在AIX、Linux4、Linux5下都可以使用，條件就就是要使用bash。（PS不知道這算不算為bash在做廣告？就是不就是可以有分紅拿？^_^）操作方法：修改/etc/profile，添加如下信息：HISTHISTSIZE=999999HISTHISTTIMEFORMAT="%F%T$(whoami|awk'{printsubstr($NF,2,length($NF)-2)":"}')"exportHISTHISTSIZEHIST執(zhí)行效果：輸入history后輸出：5292008-08-0122:02:3510、30、245、17:ll5302008-08-0122:02:3710、30、245、17:date5312008-08-0122:02:3810、30、245、17:pwd收回系統(tǒng)編譯器得權(quán)限或刪除：（可選操作）如:#chmod700/usr/bin/gcc刪除不必要得用戶與組用戶：（可選操作）#userdeladm#userdellp#userdelsync#userdelshutdown#userdelhalt#userdelnews#userdeluucp#userdeloperator#userdelgames#userdelgopher#groupdeladm#groupdellp#groupdelnews#groupdeluucp#groupdelgames#groupdeldip#groupdelpppusers#groupdelpopusers#groupdelslipusersTCP_Wrappers：（可選操作）格式：service:host(s)[:action]服務(wù)名主機(jī)名(或多個(gè))動(dòng)作,符合條件后所采取得動(dòng)作關(guān)鍵字：ALLALLEXCEPTservice代表服務(wù)名，就就是使用ps-e瞧到得服務(wù)名。如:sshd,mysald,vs在/etc/hosts、allow中加入允許得服務(wù),如:ALLEXCEPTtelnetd:192、168、0EXCEPT192、168、0、33說明：192、168、0、0/255、255、255、0中除了192、168、0、33，其她機(jī)器都可以訪問本機(jī)得服務(wù)，除了telnetd注意！！192、168、0192、168、0、33這些IP需要酌情修改在/etc/hosts、deny里加入這么一行ALL:ALL取消可執(zhí)行程序得s標(biāo)志位：（可選操作）程序擁有s位標(biāo)志，可以以root特權(quán)運(yùn)行，會(huì)帶來一些安全隱患。當(dāng)然有些程序需要這個(gè)，用命令‘chmoda-s’可以取消s標(biāo)志位。注：前面帶（*）號(hào)得那些程序一般不需要擁有s位標(biāo)志。[root@deep]#find/-typef\(-perm-04000-o-perm-02000\)\-execls-lg{}\;-rwsr-xr-x1rootroot33120Mar211999/usr/bin/at*-rwsr-xr-x1rootroot30560Apr1520:03/usr/bin/chage*-rwsr-xr-x1rootroot29492Apr1520:03/usr/bin/gpasswd-rwsr-xr-x1rootroot3208Mar221999/usr/bin/disable-paste-rwxr-sr-x1rootman32320Apr91999/usr/bin/man-r-s--x--x1rootroot10704Apr1417:21/usr/bin/passwd-rws--x--x2rootroot517916Apr61999/usr/bin/suidperl-rws--x--x2rootroot517916Apr61999/usr/bin/sperl5、00503-rwxr-sr-x1rootmail11432Apr61999/usr/bin/lockfile-rwsr-sr-x1rootmail64468Apr61999/usr/bin/procmail-rwsr-xr-x1rootroot21848Aug2711:06/usr/bin/crontab-rwxr-sr-x1rootslocate15032Apr1914:55/usr/bin/slocate*-r-xr-sr-x1roottty6212Apr1711:29/usr/bin/wall*-rws--x--x1rootroot14088Apr1712:57/usr/bin/chfn*-rws--x--x1rootroot13800Apr1712:57/usr/bin/chsh*-rws--x--x1rootroot5576Apr1712:57/usr/bin/newgrp*-rwxr-sr-x1roottty8392Apr1712:57/usr/bin/write-rwsr-x1rootsquid14076Oct714:48/usr/lib/squid/pinger-rwxr-sr-x1rootutmp15587Jun909:30/usr/sbin/utempter*-rwsr-xr-x1rootroot5736Apr1915:39/usr/sbin/usernetctl*-rwsr-xr-x1rootbin16488Jul609:35/usr/sbin/traceroute-rwsr-sr-x1rootroot299364Apr1916:38/usr/sbin/sendmail-rwsr-xr-x1rootroot34131Apr1618:49/usr/libexec/pt_chown-rwsr-xr-x1rootroot13208Apr1314:58/bin/su*-rwsr-xr-x1rootroot52788Apr1715:16/bin/mount*-rwsr-xr-x1rootroot26508Apr1720:26/bin/umount*-rwsr-xr-x1rootroot17652Jul609:33/bin/ping-rwsr-xr-x1rootroot20164Apr1712:57/bin/login*-rwxr-sr-x1rootroot3860Apr1915:39/sbin/netreport-r-sr-xr-x1rootroot46472Apr1716:26/sbin/pwdb_chkpwd#chmoda-s/usr/bin/chage#chmoda-s/usr/bin/gpasswd#chmoda-s/usr/bin/wall#chmoda-s/usr/bin/chfn#chmoda-s/usr/bin/chsh#chmoda-s/usr/bin/newgrp#chmoda-s/usr/bin/write#chmoda-s/usr/sbin/usernetctl#chmoda-s/usr/sbin/traceroute#chmoda-s/bin/mount#chmoda-s/bin/umount#chmoda-s/bin/ping#chmoda-s/sbin/netreport您可以用下面得命令查找所有帶s位標(biāo)志得程序：#find/-typef\(-perm-04000-o-perm-02000\)\-execls-lg{}\;>suid-sgid-results把結(jié)果輸出到文件suid-sgid-results中。為了查找所有可寫得文件與目錄，用下面得命令：#find/-typef\(-perm-2-o-perm-20\)-execls-lg{}\;>ww-#find/-typed\(-perm-2-o-perm-20\)-execls-ldg{}\;>ww-directories-results用下面得命令查找沒有擁有者得文件：#find/-nouser-o-nogroup>unowed-results用下面得命令查找所有得、rhosts文件：#find/home-name、rhosts>rhost-results軟NFS（可選操作）如果通過NFS把文件共享出來,那么一定要配置”/etc/exports”文件,使得訪問限制盡可能得嚴(yán)格、這就就是說,不要使用通配符,不允許對(duì)根目錄有寫權(quán)限,而且盡可能得只給讀權(quán)限、在/etc/exports文件加入:格式：/dir/to/exporthost1、mydomain、com(ro,root_squash)如：/home/share*(ro,root_squash)建議最好不要使用NFS、備份系統(tǒng)最初得重要文件備份/boot/*、/etc/fstab、/etc/modprobe、conf等文件到/soft_ins/backup目錄。mkdir-p/soft_ins/backup/etc/cp/etc/fstab/soft_ins/backup/etc/cp/etc/modprobe、conf/soft_ins/backup/etc/cp-ap/boot//soft_ins/backup/附件１：Linux(Unix)時(shí)鐘同步ntpd服務(wù)配置方法第一步、安裝NTP服務(wù)一般得Linux發(fā)行版都會(huì)帶ntp軟件包，如果您得系統(tǒng)中還沒有安裝，就使用rpm命令安裝此包，以下以centos系統(tǒng)為例配置一臺(tái)時(shí)間服務(wù)器:查找當(dāng)前系統(tǒng)就是否已安裝ntp

[root@localhost~]#rpm-qa|grepntp

chkfontpath-1、10、1-1、1

ntp-4、2、2p1-8、el5、centos、1(這個(gè)就就是已經(jīng)安裝得RPM包)如果沒有安裝，可用下例命令安裝：

[root@localhost~]#rpm-ivhntp-4、2、2p1-8、el5、centos、1、rpm第二步、配置NTP服務(wù)器

NTP服務(wù)器配置如下：編輯配置文件/etc/ntp、confrestrictdefaultkodnomodifynotrapnopeernoquery

restrict-6defaultkodnomodifynotrapnopeernoqueryrestrict127、0、0、1

restrict-6::1

restrict192、168、1、0mask255、255、255、0nomodifynotrapserver192、168、146、225

server0、centos、pool、ntp、org

server1、centos、pool、ntp、org

server2、centos、pool、ntp、org

server127、127、1、0#localclock

fudge127、127、1、0stratum10配置文件說明如下：第一行restrict、default定義默認(rèn)訪問規(guī)則，nomodify禁止遠(yuǎn)程主機(jī)修改本地服務(wù)器配置，notrap拒絕特殊得ntpdq捕獲消息，noquery拒絕btodq/ntpdc查詢（這里得查詢就是服務(wù)器本身狀態(tài)查詢）。restrict192、168、1、0mask255、255、255、0nomodifynotrap

這句就是手動(dòng)增加得，意思就是從192、168、1、1-192、168、1、254得服務(wù)器都可以使用我們得NTP服務(wù)器來同步時(shí)間。server192、168、146、225

這句也就是手動(dòng)增加得，指明局域網(wǎng)中作為NTP服務(wù)器得IP；配置文件得最后兩行作用就是當(dāng)服務(wù)器與公用得時(shí)間服務(wù)器失去聯(lián)系時(shí)以本地時(shí)間為客戶端提供時(shí)間服務(wù)。

端口

ntp使用udp協(xié)議，記得開放其123端口。

啟動(dòng)NTPD為了使NTP服務(wù)可以在系統(tǒng)引導(dǎo)得時(shí)候自動(dòng)啟動(dòng)，執(zhí)行：

#chkconfigntpdon

啟動(dòng)ntpd：

#servicentpdstart

NTP客戶端配置：在客戶端手動(dòng)執(zhí)行“ntpdate服務(wù)器IP”來同步時(shí)間；

另可以使用crond來定時(shí)同步時(shí)間：以root身份運(yùn)行周期性任務(wù)：

[root@supersunroot]#crontab-e添加以下內(nèi)容，每天凌晨3點(diǎn)同步更新時(shí)間：

03***ntpdate服務(wù)器IP此處得ntpdate命令包含在ntp軟件包中，記得確認(rèn)系統(tǒng)中就是否已安裝。

第三步、檢查時(shí)間服務(wù)器就是否正確同步使用下面得命令檢查時(shí)間服務(wù)器同步得狀態(tài)：#ntpq–p#ntpstat一個(gè)可以證明同步有問題得證據(jù)就是：所有遠(yuǎn)程服務(wù)器得jitter值就是4000并且delay與reach得值就是0?？赡艿迷蛴校河蟹阑饓ψ钄嗔伺cserver之間得通訊，即123端口就是否正常開放；此外每次重啟NTP服務(wù)器之后大約要3－5分鐘客戶端才能與server建立正常得通訊連接，否則您在客戶端執(zhí)行“ntpdate服務(wù)器ip”得時(shí)候?qū)⒎祷兀?/p>

27Jun10:20:17ntpdate[21920]:noserversuitableforsynchronizationfound如果要關(guān)閉ntpd服務(wù)：chkconfigntpdoff附件2：linux中ftp得配置管理

vsftpd就是UNIX類操作系統(tǒng)上運(yùn)行得服務(wù)器名稱，它得名字代表“verysecure”，安全性就是其設(shè)計(jì)與開發(fā)得一個(gè)重要目標(biāo)。它可運(yùn)行在Linux、Solaris等系統(tǒng)中，支持很多其她得FTP服務(wù)器不支持得特征：

非常高得安全性需求

帶寬限制

良好得可伸縮性

創(chuàng)建虛擬用戶得可能性

分配虛擬IP地址得可能性

一、vsftpd得啟動(dòng)

#servicevsftpdstart

如果允許用戶匿名訪問，需創(chuàng)建用戶ftp與目錄/var/ftp

#mkdir/var/ftp

#useradd–d/var/

二、vsftpd得配置

Vsftpd得配置文件存放在/etc/vs我們可根據(jù)實(shí)際數(shù)要對(duì)如下信息進(jìn)行配置：

1、連接選項(xiàng)

☆監(jiān)聽地址與控制端口

(1)listen_address=ipaddress

定義主機(jī)在哪個(gè)IP地址上監(jiān)聽FTP請(qǐng)求。即在哪個(gè)IP地址上提供FTP服務(wù)。

(2)listen_port=port_value

指定FTP服務(wù)器監(jiān)聽得端口號(hào)。默認(rèn)值為21。

2、性能與負(fù)載控制

☆超時(shí)選項(xiàng)

(1)idle_session_timeout=

空閑用戶會(huì)話得超時(shí)時(shí)間，若就是超過這段時(shí)間沒有數(shù)據(jù)得傳送或就是指令得輸入，則會(huì)被迫斷線。默認(rèn)值就是300s

(2)accept_timeout=numericalvalue

接受建立聯(lián)機(jī)得超時(shí)設(shè)定。默認(rèn)值為60s

☆負(fù)載選項(xiàng)

(1)max_clients=numericalvalue

定義FTP服務(wù)器最大得兵法連接數(shù)。當(dāng)超過此連接數(shù)時(shí)，服務(wù)器拒絕客戶端連接。默認(rèn)值為0，表示不限最大連接數(shù)。

(2)max_per_ip=numericalvalue

定義每個(gè)IP地址最大得并發(fā)連接數(shù)目。超過這個(gè)數(shù)目將會(huì)拒絕連接。此選項(xiàng)得設(shè)置將會(huì)影響到網(wǎng)際快車、迅雷之類得多線程下載軟件。默認(rèn)值為0，表示不限制。

(3)anon_max_rate=value

設(shè)定匿名用戶得最大數(shù)據(jù)傳輸速度，以B/s為單位。默認(rèn)無。

(4)local_max_rate=value

設(shè)定用戶得最大數(shù)據(jù)傳輸速度。以B/s為單位。默認(rèn)無。此選項(xiàng)對(duì)所有得用戶都生效。

3、用戶選項(xiàng)

vsftpd得用戶分為3類：匿名用戶、本地用戶（localuser）及虛擬用戶（guest）

☆匿名用戶

(1)anonymous_enable=YES|NO

控制就是否允許匿名用戶登錄

(2)

匿名用戶使用得系統(tǒng)用戶名。默認(rèn)情況下，值為ftp

(3)no_anon_password=YES|NO

控制匿名用戶登錄時(shí)就是否需要密碼。

(4)anon