centos系统安装后的基本配置

  1. 配置网卡和设置网络联网
  • 通过setup命令设置网卡
  • 在系统命令行输入setup命令,然后回车键.
  • 通过tab键及对应的键依次选择进入几个窗口
  • 整个过程依次为: 执行setup命令---->NETWORK configuration ----> Device configuration ----> eth0, 配置完依次单击 OK ----> Save ----> Save&Quit ----> Quit.这样就退出了命令行界面.(该配置实质上就是修改网卡的配置文件/etc/sysconfig/neywork-scripts/ifcig-eth0的内容)
  • 虚拟机下重要参数
  • 虚拟网卡为NAT模式
  • Primary DNS Server: 8.8.8.8
  • Secondary DNS Server: 202.106.0.20
  • 虚拟网卡为bridged
  • static ip: 10.0.0.7
  • Metmask: 255.255.255.0
  • Default gateway IP: 10.0.0.254
  • Primary DNS Server: 8.8.8.8
  • Secondary DNS Server: 202.106.0.20
  • 然后依次执行如下命令:
  • 执行命令ifup eth0, 启动网卡
  • 执行命令 ifconfig eth0, 查看获取ip
  • 执行命令 ping www.baidu.com, 检测网路是否畅通
  • 网卡配置选项的含义
    cat /etc/sysconfig/neywork-scripts/ifcfg-eth0
  • DEVICE=eth0
    第一块网卡逻辑设备名,第二块为eth1,有些系统也会以em等字符标识
  • HWADDR=00:0c:29:a5:3f:39
    以太网硬件地址,即MAC地址,如果是VMware克隆的虚拟机无法启动网卡,可以毫不犹豫地删除此项.
  • TYPE=Ethernet
    上网类型,目前基本是以太网
  • UUID=176582f7-d198-4e4f-aab0-34ab10d17247
    通用唯一标识码,如果是VMware克隆的虚拟机无法启动网卡,可以去除此项
  • ONBOOT=no
    这个地方要设置yes,才能保证下次开机启动时激活网卡设备.
  • NM_CONTROLLED=yes
    是否通过NetworkManager管理网卡设备
  • BOOTPROTO=none
    启动协议,获取配置方式,有none|bootp|dhcp三个选项
  • IPADDR=10.0.0.8
    这是虚拟机桥接模式,局域网linux服务器的固定IP
  • NETMASK=255.255.255.0
    子网掩码,用来规划网络位和主机位,一般为255.255.255.0
  • DNS2=8.8.8.8
    第二个DNS,这里默认会覆盖,以及优先于/etc/resolv.conf的配置生效
  • GATEWAY=10.0.0.254
    局域网上网网关地址
  • DNS1=202.106.0.20
    主DNS,这里默认会覆盖,以及优先于/etc/resolv.conf的配置生效
  • IPV6INIT=no
    是否支持IPV6
  • USERCTL=no

修改完配置需要重启网卡命令为:ifdown eth0 && ifup eth0.尽量不要使用/etc/init.d/neywork restart 重启网卡,因为这条命令会影响所有网卡.

  • 查看IP设置命令 ifconfig eth0
  • 查看默认网关设置命令 route -n
  • 查看DNS设置命令 cat /etc/resolv.conf
  • 更新系统, 打补丁到最新

于windows打补类似,linux也可以定期更新系统软件.
linux下安装软件的优秀工具叫做yum,它是centos linux下最好用的包管理器和安装软件包的工具,用起来很方便.linux的二进制软件包一般是rpm包,类似windows的exe程序.
通过yum工具可以很方便的安装rpm软件包.默认获取rpm包的软件配置是从国外centos官方源及其镜像地址下载的.因此,通过yum工具安装软件,速度回比较慢,因此需要把默认获取rpm包的地址改成国内的yum源地址.

  • centos安装完毕后,首先应该修改更新源,并升级到最新的系统.修改更新源的yum源命令:
  • cp /etc/yum.repos.d/CentOS-Base-repo
  • /etc/yum.repos.d/CentOS-Base.repo.ori
  • wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.163.com/ ./help/Centos 6-Base-163.repo
  • ll /etc/pki/rpm-gpg/
  • rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*
  • yum update -y
  • 额外安装一些有用的软件包
  • yum install tree telnet dos2unix sysstate lrzsz nc nmap -y
  • yum grouplist 查看所有包组名称,包括已经安装的和未安装
  • yum groupinstall "Development Tools" 指定包组名安装,注意要带双引号
  1. 安装linux系统后调优及安全设置
  • 关闭SELinux功能
  • 修改配置文件.使关闭SELinux永久生效
  • sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
  • grep SELINUX=disabled /etc/selinux/config
  • 临时关闭SELinux,可在命令行执行如下命令
  • setenforce
  • sentenforce 0 临时将SELinux调成permissive状态
  • getenforce 查看selinux当前状态
  • 命令说明如下:
  • sentenforce: 用于命令行管理selinux的级别,后面的数字表示设置对应的级别.
  • getenforce: 查看SELinux当前的级别状态

修改配置SElinux后,要想使其生效,必须要重启系统.因此,可配合使用setenforce 0 这个临时使其关闭的命令, 这样在重启前后都可以使selinux关闭生效,也就是说无须立刻重启服务器了,在生产场景下linux机器是不能随意重启的.

  1. 精简开机系统启动
  • 重要的开机自启动服务
  • sshd: 远程连接linux服务器时需要用到这个服务程序,所以必须开启,否则linux服务器就无法提供远程连接服务了.
  • rsyslog: 日志相关软件,这是操作系统提供的一种机制,系统的守护程序通常会使用rsyslog程序将各种信息写到各个系统日志文件中,在centos6以前此服务的名字为syslog
  • network: 系统启动时,若想激活/关闭各个网络接口,则应考虑开启此服务
  • crond: 该服务用于周期性地执行系统及用户配置的任务计划,有要周期性执行的任务时,就要开启,此服务几乎是生产场景必须要用的一个软件.
  • sysstate: sysstate是一个软件包,包含监测系统性能及效率的一组工具,这些工具对于我们收集系统性能数据很有帮助,比如cpu使用率,硬盘和网络吞吐数据等,对这些数据的收集和分析,有利于判断系统运行是否正常,所以它是提高系统运行效率的,安全运行服务器的得力助手
  • sysstate软件包集成的主要工具:
  • iostate工具提供cpu使用率及硬盘吞吐效率的数据
  • mpstat工具提供与单个或多个处理器相关的数据
  • sar工具负责收集,报告并存储系统活跃的信息

提示: 上述5个服务是安装完系统后建议保留的开机自启动服务,也机会是一切生产服务器必修保留的开机自启动服务,将来还可以根据服务器的业务使用场景调整相应的自启动服务.

  • 设置开机自启动服务的常见方法
  • 执行命令然后收动处理的方法
  • 执行ntsysv命令,然后在弹出的窗口中进行设置
  • 执行setup命令---->system service,然后在弹出的窗口中进行设置
  • 通过一行命令或shell脚本进行设置
    LANGE=en : 先调整为英文字符集,以方便下面命令过滤中文字符串
    chkconfig --list | grep 3:on
  • 第一种方法:先全关闭,再开启需要保留的
LANGE=en
for oldboy in `chkconfig --list | grep 3:on | awk '{print $1}'`; do chkconfig --level 3 $oldboy off; done
for oldboy in crond network rsyslog sshd sysstate ; do chkconfig --level 3 $oldboy on; done
chkconfig --list | grep 3:on
  • 第二种: 一条命令搞定,shell循环实现
for oldboy in `chkconfig --list | grep "3:on" | awk '{print $1}' | grep -vE "crond|network|sshd|rsyslog|sysstate"`; do chkconfig $oldboy off; done
  • 第三种: 不要shell循环语句也一条命令搞定
chkconfig --list | grep 3:on | grep -vE "crond|sshd|network|rsyslog|sysstate" | awk '{print "chkconfig " $1 " off "}' | bash
  • 关闭防火墙
    在企业环境中,一般只有配置外网IP的Linux服务器才需要开启防火墙,但即使有外网IP,高并发,高流量的业务服务器仍然不能开启防火墙,因为开启后会有较大性能损失,导致网站访问速度很慢,这种情况下只能在前端加更好的硬件防火墙了.
  • 关闭防火墙的具体操作如下:
  • /etc/init.d/iptables stop
  • /etc/init.d/iptables stop : 重复执行确认已经关闭
  • chkconfig iptables off : 关闭开机自启动命令,前面已经关闭这里就无需执行
  • chkconfig --list | grep ipt
  • linux系统安全最小原则说明
  • 安装linux系统最小化,即选包最小化,yum安装软件包也要最小化,无用的包不装.
  • 开机自启动服务最小化,即无用的服务不开启
  • 操作命令最小化.例如: 能用rm -f test.txt 就不用 rm -fr test.txt
  • 登录linux用户最小化.平时没有特殊需求不登录root,用普通用户登录即可
  • 普通用户授权最小化,即只给用户必需的管理系统的命令
  • Linux系统文件及目录的权限设置最小化,禁止随意创建,更改,删除文件
  • 更改ssh服务器端远程登录的配置
    windows服务器的默认远程登录端口是3389,管理员用户是administrator,普通用户是guest.linux的管理用户是root,普通用户默认有很多个,远程连接,默认端口22.这些通常有it经验的人都知道.那么黑客是否也知道呢?他们当然知道,甚至比我们更清楚,所以,为了系统安全,必须隐藏或更改上述默认配置,更改配置的命令如下:
  • cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori : 更改配置前进行备份,是系统管理员的一个良好的习惯
  • vi /etc/ssh/sshd_config : 编辑sshd_config
### by oldboy # 2011-11-24##
Port 52113
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#### by oldboy # 2011-11-24
  • prot
    指定sshd守护进程监听的端口号,默认为22.默认在本机的所有网络接口监听,也可以通过ListenAddress指定只在某个特定的接口上监听.
    端口范围: 0~65535, 不能与已有的服务器端口冲突
    一般建议改为此1024大的端口.
  • PermitEmptyPasswords
    是否允许密码为空的用户远程登录.默认是"no"
  • PermitRootLogin
    是否允许root登录,可用值如下: "yes"(默认)表示允许;"no"表示禁止;"without-password"表示禁止使用密码认证登录;"forced-commands-only"表示只有在指定了command选项的情况下才允许使用公钥认证登录,同时其他认证方法全部被禁止,这个值常用于做远程备份之类的事情.
  • UseDNS
    指定sshd是否应该对远程主机名进行反向解析,以检查此主机名是否与其IP地址真实对应,默认值为: "yes".建议改成"no",否则可能会导致ssh连接很慢.
  • GSSAPIAuthentication
    解决linux之间使用ssh远程连接慢的问题.

将以上信息更改后,保存退出
执行如下命令重启sshd,使修改的配置生效:
/etc/init.d/sshd reload 或者
/etc/init.d/sshd restart

  • 更高级的ssh安全策略
  • 更改ssh监听ip,使其仅监听内网ip,命令如下:
    sed -n '13,20p' /etc/ssh/sshd_config
  • 通过防火墙限制仅能使用内网ip连接此服务器.限制命令如下:
    ipatbles -I INPUT -p tcp --dport 52113 -s 10.0.0.0/24 -j ACCEPT
  • 通过拨号到VPN服务器,然后从局域网访问这些服务器,提升安全性.其实linux主机安全就像我们居住的房子安全一样.
  • 工作中的系统安全重点就是互联网TCP/IP连接,对外的Web服务器端口http80和https443的安全控制
  • linux中文显示设置
[root@www ~]# cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
[root@www ~]# cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
[root@www ~]# echo ' LANG="zh_CN.UTF-8" ' > /etc/sysconfig/i18n
# 相当于用vi /etc/sysconfig/i18n 添加LANG="zh_CN.UTF-8"
[root@www ~]# source /etc/sysconfig/i18n # 使上文生效
[root@www ~]# echo $LANG
zh_CN.UTF-8
  • 调整linux系统文件描述符数量
    文件描述符是由无符号整数表示的句柄,进程使用它来标识打开的文件.文件描述符与包括先关信息的文件对象相关联,这些信息被称作文件的上下文.文件描述符的有效范围是0到OPEN_MAX.
    对于内核而言,所有打开的文件都是通过文件描述符引用的,当打开一个现有文件或创建一个新文件时,内核向进程返回一个文件描述符,当读或写一个文件时,使用open或creat返回的文件描述符标识该文件,并将其作为参数传递给read或write.
  • 查看linux服务器文件描述符设置的情况可以使用ulimit -n 命令, 文件描述符大小默认是1024.
    [root@www ~]# ulimit -n
  • 对于高并发的业务linux服务器来说,这个默认的设置值是不够的,需要调整:
  • 方法一
  • 执行vim /etc/security/limits.conf命令,在文件结尾加上如下一行.
    * - nofile 65535
  • echo '* - nofile 65535' >> /etc/security/limits.conf 配置完成后,需重新登录才可以生效,查看如下:
    [root@www ~]# ulimit -n
  • 方法2
    直接把ulimit -SHn 65535命令加入/etc/rc.local,用以设置每次开机启动时配置生效,命令如下:
cat >> /etc/rc.reload<<EOF
# -S use the 'soft' resource limit
# -H use the 'hard' resource limit
# -n the maxmum number of open file descriptors
ulimit -HSn -s 65535
EOF