Linux系统安装和安全配置技术规范管理
一、概述
1、目的及意义
为了加强所有Linux操作系统安装配置和安全管理, 使新装Linux系统更加科学化、规范化和置于更加安全的访问控制模式之下,特制定本规范,以备日后所有的新装Linux系统遵照并执行。
2、适用范围
适用于所有新装的Linux操作系统,日常运行的测试开发主机系统和生产主机系统,也可作为定期的系统安全检查标准流程。
二、安装前期准备
1、服务器配置
若服务器是物理机,则至少需要两块硬盘做raid1以保证系统的可用性,两个物理网卡以保证网络高可用。若是虚拟机,宿主机也需要符合此条件
2、系统版本选择
作为生产机,要求使用Red Hat Linux Enterprise 6.8或更高版本
三、系统的安装
按照安装提示的步骤一步步走下去,语言选择english,时区选上海,另外有几点需要注意。
1、主机命名规范
为了更好的分辨服务器的作用,主机按照以下规范命名
环境用途+期数 +业务类型 +服务功能 +数字
1)环境用途:P(正式环境),D(开发环境),T(测试环境)
2)期数:2 (t2)
3)业务类型:FAB/MOD/RPT/SPC/EDA/OEE……
4)服务功能:AP/DB
5)序号:01、02、03…
如:p2rvdap01(t2生产环境的RVD应用01号机)
d2moddb01(t2模组厂的数据库开发环境01号机)
2、磁盘划分
device mount point size
sda sda1 /boot 200M
lvm lv_root / 100G
lv_swap mem*1.5
lv_home /home 100G
默认使用以上分区,划分完系统启动分区/boot(某些服务器会多一个/boot/efi)后,将剩下的空间全部配置成LVM(Logical Volume Manager)。swap为内存交换空间,一般为内存的1.5倍,如果物理内存足够大,则可适当减少。根和家目录分完后,如果用户没有特别需求,则将剩下的空间保留,以便日后新建目录或扩容现有目录。
3、安装包选择
安装时手动来选择一些包,除了系统默认的包以外,再勾选以下的扩展包:
1)Base System:Compatibility libraries
2)Desktops:Desktop,Desktop Debugging and Performan,Desktop platform,Fonts,General Purpose Desktop,Graphical Administration Tools,X Windows
3)Development:Development tools(里面的rpm包要全选)
Ps:Linux 7以上的选择server with GUI即可
四、系统基础配置
1、安全配置
公司内部网络有防火墙等安全设备,所以要让服务器对外提供服务,则先关闭本地防火墙和selinux。
1)关闭防火墙:service iptables stop
Ps:Linux 7 以上的命令有所不一样:
systemctl stop firewalld(关闭) systemctl disable firewalld(开机不启动)
2)关闭selinux:临时关闭用setenforce 0;永久关闭修改配置文件/etc/selinux/config,修改SELINUX=disabled。
2、网络配置
前面提到物理机需要至少两个网卡,分别接在两个不同的核心交换机上,以提高网络高可用性,在系统里需要把两个网卡做绑定,并选用mode=1(主备)的绑定模式。
1)首先关闭系统的NetworkManager服务,并且关闭开机自启动
service NetworkManager stop
chkconfig NetworkManager off
Ps:Linux 7 以上的命令有所不一样:
systemctl stop NetworkManager(关闭) systemctl disable NetworkManager(开机不启动)
2)配置网络
在
/etc/sysconfig/network-scripts目录下, ifcfg-eth0和ifcfg-eth1(根据具体服务器和网口位置而定,有些)文件修改一下参数:
ONBOOT=yes
BOOTPROTO=none
NM_CONTROLLED=no
MASTER=bond0
SLAVE=yes
再创建文件ifcfg-bond0以手动配置IP地址
ONBOOT=yes
BOOTPROTO=none
NM_CONTROLLED=no
IPADDR=X.X.X.X.
NETMASK=X.X.X.X
GATEWAY=X.X.X.X
BONDING_OPTS=”miimon=100 mode=1”
(PS:关于bonding mode : 0. round robin(平衡抡循环策略,即两个网卡轮流传包),1.active-backup(主-备份策略),2.load balancing (xor)(平衡策略), 3.fault-tolerance (broadcast,广播策略), 4.mo(IEEE 802.3ad 动态链接聚合 LACP), 5.transmit load balancing(适配器传输负载均衡), 6.adaptive load balancing(适配器适应性负载均衡)。)
五、工具部署
为方便管理,安装一些插件及监控软件。目前已经把所有工具及配置文档放在公司yum源服务器上,并且写好脚本一次性部署,根据当前安装的操作系统选择版本:
http://10.108.243.13/yum/tools/
Linux 6.x的使用linux_6.x_tools.tar linux7.x使用linux_7.3_tools.tar
解压后查看一下startup.sh文件看是否适合当前系统。
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/16813.html