LINUX操作系统配置规范Word格式文档下载.docx
- 文档编号:6105704
- 上传时间:2023-05-06
- 格式:DOCX
- 页数:30
- 大小:29.02KB
LINUX操作系统配置规范Word格式文档下载.docx
《LINUX操作系统配置规范Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《LINUX操作系统配置规范Word格式文档下载.docx(30页珍藏版)》请在冰点文库上搜索。
7文件与目录安全配置
7.1临时目录权限配置标准
7.2重要文件和目录权限配置标准
7.3umask配置标准
7.4coredump状态
7.5ssh的安全设置
7.6bash历史记录
7.7其他注意事项
8系统Banner的配置
9防病毒软件安装
10ITSM监控agent安装
11内核参数优化
12syslog日志的配置
13重启服务器
附件:
安全工具
由于版本不同,配置操作有所不同,本规范以Redhat6.6为例,给出参考配置操作。
2
上架规范
2.1
配置iLo管理口
1、集成网卡服务器
业务网络要求使用eth0、eth1两网口做双网卡绑定。
(个别应用默认顺序取第一个接口mac地址,要求使用前两个端口做业务网络接口)
网卡插线参考如下图方式:
2、非集成网卡服务器
要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。
光口卡同理操作。
3
系统安装
新上系统全部使用rhel6.664位操作系统。
rhel-server-6.6-x86_64-dvd.iso3.52GB
SHA-256:
16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32
[root@rhel6-6/]$uname-a
Linuxrhel6-62.6.32-504.el6.x86_64#1SMPTueSep1601:
56:
35EDT2014x86_64x86_64x86_64GNU/Linux
目前机房生产平台用的较多的是rhel5.7和rhel6.1。
有特殊要求的则仍使用rhel6.1。
使用LVM分区、文件系统格式采用ext4。
安装系统当中要将GCC等所有的开发包和管理包打全,以防后期存在缺包现象。
以下包全部安装
AdministrationTools
DevelopmentTools
SystemTools
telnet
ftp
lrzsz(这三个包要求安装)
“系统管理”菜单:
所有包全选安装
“开发”菜单:
“语言支持”菜单:
要求安装英文语言包、简体中文语言包!
根据主机运维工作的实际需求,要求系统初始用户包括以下用户。
密码根据项目整体要求配置
root
root用户密码根据要求进行配置
pcloud
新创建用户且附加组为wheel
参考命令:
#useradd-Gwheelpcloud
bestpay
新创建用户
#useraddbestpay
logview
新创建用户且附加组为bestpay
#useradd–Gbestpaylogview
分区赋权
在root用户根目录下按3.3小节分区要求,给分区重新赋权
/data:
o
chown–R
bestpay:
bestpay/data
chmod0750/data
/tools:
chown–Rbestpay:
bestpay
/tools
chmod0700/tools
/admin:
/admin
chmod0750/admin
在root用户下执行crontab–e
*/5****/usr/sbin/ntpdate172.18.70.10172.18.70.20
157***/sbin/hwclock–w
使用系统缺省字符集配置。
系统缺省字符集为en_US.UTF-8;
有特殊需求,另行配置。
修改字符集可以在文件/etc/sysconfig/i18n里改。
将服务器网卡两两做绑定,网卡绑定为主备模式。
服务器网卡要求使用第一块网卡1口和第二块网卡1口;
第一块网卡2口和第二块网卡2口;
即避免由于单块网卡故障导致的业务中断,可以冗余。
以下为配置示例:
配置虚拟网卡:
[root@rhel6network-scripts]#cpifcfg-eth0ifcfg-bond0
[root@rhel6network-scripts]#viifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
IPADDR=192.168.1.100
NETMASK=255.255.255.0
ONBOOT=yes
TAPE=Ethernet
GATEWAY=192.168.1.254
USERCTL=no
配置真实网卡:
[root@rhel6network-scripts]#viifcfg-eth0
DEVICE=eth0
USERCTL=no
SLAVE=yes
----写上就不用加开机启动
MASTER=bond0
----写上就不用加开机启动
[root@rhel6network-scripts]#viifcfg-eth1
MASTER=bond0----写上就不用加开机启动
加载模块让系统支持:
[root@rhel6~]vi/etc/modprobe.d/dist.conf
aliasbond0bonding
optionsbond0miimon=100mode=1-----模式1为主备
重启网络并检查配置:
servicenetworkrestart
lsmod|grepbond
cat/proc/net/bonding/bond0
参照其他平台,共同提名不能使用public,长度必须8位以上,至少三种(大小写字母,符号,特殊符号)结合,配置snmp服务器并指向采集服务器,采集服务器ip为172.18.55.65、172.18.55.66、172.18.55.67
ITSM二期要求新增采集地址:
172.18.0.0/24;
团体字为Itsm2014roJK!
检查系统是否安装snmp服务
[root@rhel6~]#rpm-qa|grepsnmp
net-snmp-devel-5.5-31.el6.x86_64
net-snmp-utils-5.5-31.el6.x86_64
net-snmp-5.5-31.el6.x86_64
net-snmp-libs-5.5-31.el6.x86_64
net-snmp-python-5.5-31.el6.x86_64
net-snmp-perl-5.5-31.el6.x86_64SNMP
若无以上包,则安装SNMP服务
1.配置好本地yum服务,使用yum安装
yuminstall-ynet-snmp*
2.配置SNMP服务开机启动
#servicesnmpdstart
#chkconfigsnmpdon
#chkconfig--list|grepsnmpd
查看开机启动设置是否成功
snmpd
0:
关闭
1:
2:
启用
3:
4:
5:
6:
关闭
验证SNMP服务
1.使用snmpwalk获取主机名
[root@rhel6~]#snmpwalk-v2c-cpubliclocalhostsysName.0
SNMPv2-MIB:
:
sysName.0=STRING:
rhel6.1
#snmpwalk用法
snmpwalk-v1|2c|3(代表SNMP版本)-c<
communitystring>
IP地址OID(对象标示符)
2.使用snmptranslate命令,检查snmp工具是否可以使用
#snmptranslate-To|head
.1.3
.1.3.6
.1.3.6.1
.1.3.6.1.1
.1.3.6.1.2
.1.3.6.1.2.1
.1.3.6.1.2.1.1
.1.3.6.1.2.1.1.1
.1.3.6.1.2.1.1.2
.1.3.6.1.2.1.1.3
查出了部分oid,则表示snmp工具可以正常使用
配置SNMP服务
配置项包括但不限于:
communitystring
sec.name
sec.model
查看设备节点权限“viewall”;
被允许查看的sec.model组
指定检测的Processchecks
diskchecks
Executables/scripts
loadaveragechecks
必须使用双hba卡;
确保连接到两个控制器的HBA卡/接口冗余;
单个HBA卡故障,或单个HBA卡某个接口故障,都满足冗余
1、多路径配置要求
多路径必须绑定别名;
设置多路径服务为开机启动;
屏蔽掉本地磁盘,本地磁盘不做聚合;
结合数据库规范等配置实施
版本系统自带multipath即可,要求做盘符别名绑定。
比如要确保数据库的两个节点扫描到的盘符一致。
注意在blacklist里面过滤本地磁盘!
blacklist里面需要有以下参数:
blacklist{
devnode"
^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
^hd[a-z]"
^sd[a-d]"
过滤条件视实际情况,防止过滤掉多路径块设备!
}
2、多路径安装及配置参数简介
检查multipath是否安装成功:
#lsmod|grepdm_multipath
如果输出没有,则进行安装
#yum–yinstalldevice-mapperdevice-mapper-multipath
查看多路径状态查看模块是否加载成功
[root@rhel6~]#multipath-ll
Jan0102:
36:
12|/etc/multipath.confdoesnotexist,blacklistingalldevices.
--配置文件没有
12|Asamplemultipath.conffileislocatedat
12|/usr/share/doc/device-mapper-multipath-0.4.9/multipath.conf
12|Youcanrun/sbin/mpathconftocreateormodify/etc/multipath.conf
12|DMmultipathkerneldrivernotloaded
--DM模块没加载
如果模块没有加载成功请使用下列命初始化DM,或重启系统
[root@rhel6~]#modprobedm-multipath
[root@rhel6~]#modprobedm-round-robin
[root@rhel6~]#servicemultipathdstart
正在启动守护进程multipathd:
查看系统是否安装多路径
[root@rhel6mapper]#rpm-qa|grepmapper
device-mapper-libs-1.02.62-3.el6.x86_64
device-mapper-multipath-libs-0.4.9-41.el6.x86_64
device-mapper-multipath-0.4.9-41.el6.x86_64
device-mapper-event-libs-1.02.62-3.el6.x86_64
device-mapper-1.02.62-3.el6.x86_64
device-mapper-event-1.02.62-3.el6.x86_64
multipath.conf配置说明
接下来的工作就是要编辑/etc/multipath.conf的配置文件
multipath.conf主要包括defaults、blacklist、multipaths、devices三部份的配置
defaults是全局配置参数
blacklist用来过滤不需绑定的设备
multipaths用来绑定别名
devices用来定义存储厂商和自定义规则
blacklist配置
blacklist{
Multipaths部分配置multipaths和devices两部份的配置。
multipaths{
multipath{
wwid
****************
#此值multipath-ll可以获取
aliasdata1
#映射后的别名,可以随便取
Devices部分配置
devices{
device{
vendor"
iSCSI-Enterprise"
#厂商名称
product"
Virtualdisk"
#产品型号
path_grouping_policy
multibus#默认的路径组策略
getuid_callout
"
/sbin/scsi_id-g-u-s/block/%n"
#获得唯一设备号
path_checker
readsector0
#决定路径状态的方法
path_selector
round-robin0"
#选择那条路径进行下一个IO操作的方法
failback
immediate
#故障恢复的模式有immediate和failover两种
no_path_retry
queue#在disablequeue之前系统尝试使用失效路径的次数的数值
rr_min_io
100#在当前的用户组中,在切换到另外一条路径之前的IO请求的数目
3、多路径配置范例
1)IBM存储DS8000系列官方推荐配置
defaults{
user_friendly_namesyes
^cciss.*"
IBM"
2107900"
path_grouping_policymultibus
getuid_callout"
/lib/udev/scsi_id--whitelisted--device=/dev/%n"
path_selector"
path_checkertur
features"
1queue_if_no_path"
hardware_handler"
0"
prioconst
rr_weightuniform
rr_min_io1000
}
wwid3600a098038303553495d47*******
aliasdata1
2)IBM存储DS4800系列官方推荐配置
1815"
path_grouping_policygroup_by_prio
path_checkerrdac
1rdac"
prio_callout"
/sbin/mpath_prio_rdac/dev/%n"
failbackimmediate
no_path_retryqueue
3)NetApp存储官方推荐配置
max_fdsmax
flush_on_last_delyes
queue_without_daemonno
NETAPP"
LUN"
path_grouping_policygroup_by_prio
3queue_if_no_pathpg_init_retries50"
prio"
alua"
path_selector"
hardware_handler"
1alua"
rr_min_io128
getuid_callout"
/lib/udev/scsi_id-g-u-d/dev/%n"
以下只针对数据库服务器,或有多路径需求的服务器,否则可跳过本小节。
1、配置注意事项
multipath配置中将本地磁盘或SCSI设备加入黑名单blacklist
multipath第一次配置完成后重启操作系统;
应用上线后使用multipath–v2、multipath–ll、servicemultipathreload命令执行初始化扫描检查
udev第一次配置完成后,执行start_udev扫盘操作
应用上线后使用以下命令扫盘
#udevadmcontrol--reload-rules
#udevadmtrigger--type=devices--action=change
2、将LUN加载到主机
将刚刚创建的几个LUN加载到数据库的主机组里,映射,后台同步。
分别在节点1和节点2进行如下操作:
先查看机器有几块HBA卡
#ls/sys/class/fc_host/
host1host2host3
写入"
---"
到“scan”文件,有几张HBA卡就写几次。
#echo"
---"
>
/sys/class/scsi_host/host1/scan
/sys/class/scsi_host/host2/scan
/sys/class/scsi_host/host3/scan
然后就可以通过如下命令查看新增的磁盘
#fdisk–l
3、使用UDEV绑定磁盘
以roo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LINUX 操作系统 配置 规范