操作系统的安装
Linux系统对于分区还是有一些基本要求的。
- 至少需要有一个根分区“
/”,根分区主要用来存放系统文件及程序,大小至少为5GB。 - 要有一个交换(
swap)分区,交换分区用来支持虚拟内存。当物理内存小于8GB时,交换分区一般为物理内存的1.5倍;当物理内存大于8GB时,交换分区可配置为8GB~16GB,无需更大。
- 一般企业场景最好配置交换分区
-
/boot分区时系统的引导分区,用来存储引导文件。如Linux内核文件等。这些文件一般都不是很大,所以/boot分区一般配置200MB左右即可。
建议参考下面的分区方案
- “
/”分区根据磁盘实际大小划分,例如,一个500GB的磁盘,“/”分区可以分配为20GB~30GB. -
swap分区根据物理内存大小,参考系统的基本要求进行分配。 -
/boot分区分配100MB~200MB。 - 最好划分
/usr分区来安装其他软件应用,例如,一个500GB的磁盘,/usr分区可以分配为50GB。 - 建议划分
/data分区来存储应用产生的数据等文件,特别是安装数据库的服务器一定要划分。例如,一个500GB的磁盘,/data分区可以分配150GB~200GB。 - 其他分区,可根据实际需求来划分。
操作系统的基础配置
修改默认主机名
安装完毕后,默认主机名为localhost,可根据实际情况修改默认主机名。
[root@localhost ~]# hostname test
[root@localhost ~]# logout //退出并重新登陆
[root@test ~]#上述是临时修改主机方法,系统重启后会失效。若要永久修改,需要修改配置文件/etc/hostname。
[root@localhost ~]# vi /etc/hostname- 通过
vi编辑器修改文件,将原有的localhost.localdomain的前面添加#,将其注销。 - 在下面输入需要的主机名,如
test - 重启系统,再打开。
配置IP地址
系统配置IP地址的配置文件在/etc/sysconfig/network-scripts目录下。
在命令行模式下,可以通过vi修改配置文件,输入命令:
[root@localhost ~]# vi ifcfg-ens33配置完毕以后,用:wq命令保存并退出,然后使用systemctl restart network命令重启网卡服务。
ifcofg-ens33文件参数说明:
- TYPE=“Ethernet” 网卡类型(通常是Ethemet以太网)
- PROXY_METHOD=“none” 代理方式:为关闭状态
- BROWSER_ONLY=“no” 只是浏览器:否
- BOOTPROTO=“static” 网卡的引导协议【static:静态IP dhcp:动态IP none:不指定,不指定容易出现各种各样的网络受限】
- DEFROUTE=“yes” 默认路由
- IPV4_FAILURE_FATAL=“no” 是否开启IPV4致命错误检测
- IPV6INIT=“yes” IPV6是否自动初始化:是(现在还未用到IPV6,不会有任何影响)
- IPV6_AUTOCONF=“yes” IPV6是否自动配置:是(现在还未用到IPV6,不会有任何影响)
- IPV6_DEFROUTE=“yes” IPV6是否可以为默认路由:是(现在还未用到IPV6,不会有任何影响)
- IPV6_FAILURE_FATAL=“no” 是否开启IPV6致命错误检测
- IPV6_ADDR_GEN_MODE=“stable-privacy” IPV6地址生成模型
- NAME=“ens33” 网卡物理设备名称
- UUID=“ab60d501-535b-49f5-a76b-3336a4120f64” 通用唯一识别码,每一个网卡都会有,不能重复,否则两台linux机器只有一台可上网
- DEVICE=“ens33” 网卡设备名称,必须和‘NAME’值一样
- ONBOOT=“yes” 是否开机启动,要想网卡开机就启动或通过
systemctl restart network控制网卡,必须设置为yes - IPADDR=192.168.137.129 本机IP
- NETMASK=255.255.255.0 子网掩码
- GATEWAY=192.168.137.2 默认网关
- DNS1=8.8.8.8 DNS服务器地址
- DNS2=8.8.8.8 DNS备用服务器地址
为系统添加操作用户
在操作系统安装完成以后,尽量避免使用root用户登陆并进行操作,这样可以降低不必要的风险。
使用命令useradd进行添加用户,并对用户的权限规划与分配。
安装常用软件
可以通过系统中的yum命令来安装软件,比如:wget下载命令、vim编辑命令、lrzsz上传/下载命令、telnet远程登陆命令等,根据需求进行安装。
比如:
[root@test ~]# yum install wget lrzsz vim telnet -y出现Complete结果即表示安装完成。
配置Ynm源
系统自带的Yum源下载速度可能比较慢,需要更换其他Yum源,国内可以选择阿里、网易、搜狐等。
Yum源的配置文件在/etc/yum.repos.d/目录中,切换到该目录下,并下载Yum源文件。
[root@test yum.repos.d]# wget http://mirrors.163.com/.help/CentOS8-Base-163.repo替换原来的Yum源配置文件之前,需要对源配置文件进行备份操作,然后再覆盖原文件。
[root@test yum.repos.d]# mv CentOS8-Base.repo CentOS8-Base.repo.bak
[root@test yum.repos.d]# mv CentOS8-Base-163.repo CentOS8-Base.repo关闭防火墙服务
在学习环境中,建议关闭防火墙服务;
在生产环境中,按用户需求决定是否开启防火墙命令。
CentOS 6使用的防火墙为iptables,CentOS 7、8使用的是firewalld防火墙。
[root@test yum.repos.d]# systemctl stop firewalld #停止防火墙服务
[root@test yum.repos.d]# systemctl disable firewalld #禁止开启自启动关闭SELinux服务
SELinux 的作用及权限管理机制:
- SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
SELinux 有三种工作模式,分别是:
- enforcing:强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
- permissive:宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
- disabled:关闭 SELinux。
开启SELinux和防火墙可能会造成初学者配置linux服务器不成功,导致很多服务端口默认是关闭的。
建议在未学会SELinux与防火墙之前,配置服务器把这亮相都关闭掉。
SELinux配置文件/etc/selinux/config。
[root@test ~]# vim /etc/selinux/config将SELINUX=enforcing改为SELINUX=disabled。
完成修改后,重启服务器,使其生效。
修改SSH服务默认配置
SSH服务的配置文件为/etc/ssh/sshd_config,修改配置文件前要备份。
[root@test ~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
[root@test ~]# vim /etc/ssh/sshd_config不修改默认配置的情况下,可以直接在配置文件中添加下面的配置。
### Config for sshd by root at 2020-08-17
Port 2388 ##将默认端口22改为2388
PermitRootLogin no ##不允许使用root用户登陆
PermitEmptyPasswords no ##不允许使用空密码登陆
USeDNS no ##不允许使用DNS解析
### End修改文件描述符
系统默认文件描述符为1024,可以使用ulimit -n命令查看。
[root@test ~]# ulimit -n可以使用下面的命令修改。
[root@test ~]# echo "* - nofile 65535">>/etc/security/limits.conf登陆超时退出
“登陆超时退出”配置项是为了加强系统安全。
临时生效配置如下:
[root@test ~]# export TMOUT=10 #默认单位为秒
[root@test ~]# timed out waiting for input : auto-logout配置完毕以后,10秒后会提示超时自动退出登陆。
永久生效配置如下:
[root@test ~]# echo "export TMOUT=300">>/etc/profile
[root@test ~]# source /etc/profile配置文件为/etc/profile,修改完以后,通过source命令,使配置生效。
