管理Linux系统安装和安全配置的技术规范
一、概要
一、目的和意义
为了加强所有Linux操作系统的安装配置和安全管理,使新安装的Linux系统更加科学、规范,并置于更加安全的访问控制模式之下,今后所有新的Linux系统都将遵循并运行
2、适用范围
适用于所有新安装的Linux操作系统,日常运行的测试开发主机系统和生产主机系统也可以作为定期系统安全检查的标准流程。
二、安装前的准备
1、服务器构成
如果服务器是物理机,则至少需要两个硬盘作为raid1来确保系统的可用性,并且需要两个物理网卡来确保网络的可用性。 对于虚拟机,瘦主机也必须满足此条件
2、系统版本的选择
生产计算机需要red hat Linux企业版6.8或更高版本
三、系统安装
按照安装提示中的步骤,选择english语言,选择上海时区。 还有几个需要注意的地方。
1、主机命名规则
为了更好地识别服务器的角色,主机将根据以下规范进行命名
环境使用期限数业务类型服务功能数
1 )环境用途) p (正式环境),d )开发环境),t )测试环境)。
2 )期间数:2(T2)
3 )业务类型: FAB/MOD/RPT/SPC/EDA/OEE……
4 )服务功能: AP/DB
5 )序列号: 01、02、03…
例如,p2RVDAP01(T2生产环境的RVD APP 01号机) ) ) ) )。
D2moddb01(T2模块工厂的数据库开发环境01号机) )。
2、磁盘分割
设备装载点大小
sdasda1/引导200米
LVM低通/100克
lv_swap mem*1.5
lv_home /home 100G克
默认情况下,使用上述分区分割系统引导分区/boot (某些服务器增加一个/boot/efi )后,所有剩余的空间都将显示为逻辑卷管理器(LVM ) swap是内存交换空间,通常是内存的1.5倍,如果物理内存足够大,可以适当减少。 将根目录和主目录分开后,如果用户没有特殊需求,可以保留剩余的空间,以后创建新目录或扩展现有目录。
3、选择安装软件包
在安装时手动选择几个软件包,除了检查系统的默认软件包之外,还检查以下扩展软件包:
1 )基本系统:兼容性库
2 )桌面:桌面、桌面调试和性能、桌面平台、字体、通用端口桌面、图形管理器
3 )开发工具3360开发工具(其中的rpm包括全选) ) ) ) ) ) ) ) ) ) )。) ) ) ) )至) ) ) ) )。
Ps:Linux 7以上时,选择带服务器的GUI即可
四、系统的基础配置
1、安全配置
由于公司网络具有防火墙等安全设备,因此要向外部提供服务,请先关闭本地防火墙和selinux。
1 )关闭防火墙:服务启用程序停止
Ps:Linux 7以上的命令有所不同:
“系统停止防火墙d”“关闭”“系统禁用防火墙d”“不能通电”
2 )关闭selinux :用于暂时关闭的setenforce 0; 永久关闭更改配置文件/etc/selinux/config,并更改SELINUX=disabled。
2、网络构成
上述物理机至少需要两个网卡来实现网络的高可用性,每个网卡都连接到两个不同的核心交换机。 系统需要绑定两个网卡,并选择mode=1(主备份)的绑定模式。
1 )首先关闭系统的网络管理器服务,关闭电源后自动启动
服务网络管理器停止
关闭配置网络管理器
Ps:Linux 7以上的命令有所不同:
系统停止网络管理器系统禁用网络管理器不能通电
2 )网络的构成
在/etc/sysconfig/network-scripts目录中,更改ifcfg-eth0和ifcfg-eth1(某些服务器和端口位置) )文件的参数。
开启=是
引导proto=无
nm _控制指示灯=否
大师邦德0
从属=是
创建文件ifcfg-bond0并手动配置IP地址
开启=是
引导proto=无
nm _控制指示灯=否
IP addr=x.x.x.x.x,其中IP添加器=x.x.x。
网络掩码=x.x.x.x
网关=x.x.x.x
bonding _ opts=“miimon=100模式=1”
(PS )关于绑定模式)0.roundrobin ) )平衡的轮换策略,也就是两个网卡依次传递数据包),1 .活动-备份),2 .局域网关于4.mo(IEEE802.3ad动态链路聚合LACP )、5 .传输负载平衡)、6 .自适应负载平衡)、适配器自适应负载均衡。 )
五、工具的引进
为了便于管理,安装了一些插件和监视软件。 目前,我们将所有工具和配置文档放在公司的yum源服务器上,编写脚本一次部署,并根据当前安装的操作系统选择版本。
335810.108.243.13/yum /工具/
使用Linux 6.x使用Linux 6.x工具. tar使用Linux 6.x使用Linux _ 7.3 _工具. tar
解压后,查看startup.sh文件,确认其是否适合当前系统。