SUSE Linux操作系統(tǒng)集成規(guī)范

1、 第 PAGE 155 頁 共 NUMPAGES 156 頁 SUSE Linux操作系統(tǒng)集成規(guī)范 目錄 TOC o 1-3 h z u HYPERLINK l _Toc372724638 1.文檔說明 PAGEREF _Toc372724638 h 6 HYPERLINK l _Toc372724639 1.1.編寫目的與適用范圍 PAGEREF _Toc372724639 h 6 HYPERLINK l _Toc372724640 2.服務器操作系統(tǒng)安裝 PAGEREF _Toc372724640 h 6 HYPERLINK l _Toc372724641 2.1.前提條件 PAGEREF

2、 _Toc372724641 h 6 HYPERLINK l _Toc372724642 2.1.1.軟件需求 PAGEREF _Toc372724642 h 6 HYPERLINK l _Toc372724643 2.1.2.硬件需求（最低系統(tǒng)要求） PAGEREF _Toc372724643 h 6 HYPERLINK l _Toc372724644 2.2.SLES操作系統(tǒng)安裝 PAGEREF _Toc372724644 h 7 HYPERLINK l _Toc372724645 2.2.1.基本配置 PAGEREF _Toc372724645 h 7 HYPERLINK l _Toc3

3、72724646 2.2.2.時區(qū)配置 PAGEREF _Toc372724646 h 12 HYPERLINK l _Toc372724647 2.2.3.分區(qū)配置 PAGEREF _Toc372724647 h 13 HYPERLINK l _Toc372724648 2.2.4.軟件配置 PAGEREF _Toc372724648 h 23 HYPERLINK l _Toc372724649 2.2.5.語言配置 PAGEREF _Toc372724649 h 28 HYPERLINK l _Toc372724650 2.2.6.網(wǎng)絡配置 PAGEREF _Toc372724650 h

4、33 HYPERLINK l _Toc372724651 2.2.7.用戶配置 PAGEREF _Toc372724651 h 38 HYPERLINK l _Toc372724652 3.時鐘同步 PAGEREF _Toc372724652 h 43 HYPERLINK l _Toc372724653 4.DNS配置 PAGEREF _Toc372724653 h 44 HYPERLINK l _Toc372724654 5.系統(tǒng)服務 PAGEREF _Toc372724654 h 45 HYPERLINK l _Toc372724655 6.系統(tǒng)參數(shù) PAGEREF _Toc3727246

5、55 h 46 HYPERLINK l _Toc372724656 6.1.環(huán)境變量 PAGEREF _Toc372724656 h 46 HYPERLINK l _Toc372724657 6.2.內核參數(shù) PAGEREF _Toc372724657 h 46 HYPERLINK l _Toc372724658 6.3.配置hosts PAGEREF _Toc372724658 h 47 HYPERLINK l _Toc372724659 7.安全配置 PAGEREF _Toc372724659 h 47 HYPERLINK l _Toc372724660 8.審計策略（可選配置） PAGE

6、REF _Toc372724660 h 51 HYPERLINK l _Toc372724661 9.網(wǎng)絡訪問策略以及雙網(wǎng)卡綁定 PAGEREF _Toc372724661 h 52 HYPERLINK l _Toc372724662 9.1 網(wǎng)絡訪問策略 PAGEREF _Toc372724662 h 52 HYPERLINK l _Toc372724663 9.2 雙網(wǎng)卡綁定 PAGEREF _Toc372724663 h 52 HYPERLINK l _Toc372724664 9.3 靜態(tài)路由配置 PAGEREF _Toc372724664 h 54 HYPERLINK l _Toc3

7、72724665 10.ssh2配置策略 PAGEREF _Toc372724665 h 57 HYPERLINK l _Toc372724666 10.1 下載軟件包 PAGEREF _Toc372724666 h 57 HYPERLINK l _Toc372724667 10.2安裝 ssh軟件包 PAGEREF _Toc372724667 h 57 HYPERLINK l _Toc372724668 10.3修改ssh服務配置 PAGEREF _Toc372724668 h 57 HYPERLINK l _Toc372724669 10.4 運行ssh服務 PAGEREF _Toc372

8、724669 h 58 HYPERLINK l _Toc372724670 10.5設置開機自動啟動ssh服務 PAGEREF _Toc372724670 h 59 HYPERLINK l _Toc372724671 10.6關閉telnet和ftp服務 PAGEREF _Toc372724671 h 59 HYPERLINK l _Toc372724672 11.HP管理工具包安裝以及HP驅動程序更新 PAGEREF _Toc372724672 h 59 HYPERLINK l _Toc372724673 11.1 準備工作 PAGEREF _Toc372724673 h 59 HYPERL

9、INK l _Toc372724674 11.2安裝HP管理包更新HP驅動程序 PAGEREF _Toc372724674 h 61 HYPERLINK l _Toc372724675 11.3 HP管理包使用方法 PAGEREF _Toc372724675 h 68 HYPERLINK l _Toc372724676 12.SLES HA安裝及配置 PAGEREF _Toc372724676 h 70 HYPERLINK l _Toc372724677 13.操作系統(tǒng)備份方法 PAGEREF _Toc372724677 h 70 HYPERLINK l _Toc372724678 14.附錄

10、一 PAGEREF _Toc372724678 h 78 HYPERLINK l _Toc372724679 15.附錄二 VMWare虛擬機clone后的系統(tǒng)配置修改手冊 PAGEREF _Toc372724679 h 79 HYPERLINK l _Toc372724680 15.1 修改主機名 PAGEREF _Toc372724680 h 79 HYPERLINK l _Toc372724681 15.2 修改網(wǎng)絡相關配置 PAGEREF _Toc372724681 h 80 HYPERLINK l _Toc372724682 15.3 修改時鐘服務器NTP的配置 PAGEREF _T

11、oc372724682 h 82 HYPERLINK l _Toc372724683 15.4、刪除NBU軟件安裝的文件系統(tǒng)（可選，如果不需要安裝nbu備份軟件，建議執(zhí)行此操作） PAGEREF _Toc372724683 h 83 HYPERLINK l _Toc372724684 15.5、擴容SWAP分區(qū)(視具體情況而定) PAGEREF _Toc372724684 h 83 HYPERLINK l _Toc372724685 15.6、擴容文件系統(tǒng)(視具體情況而定) PAGEREF _Toc372724685 h 84 HYPERLINK l _Toc372724686 15.7、設置

12、網(wǎng)絡訪問策略(視具體情況而定) PAGEREF _Toc372724686 h 89 HYPERLINK l _Toc372724687 16.附錄三 SuSE Linux High Availability Extension安裝和配置規(guī)范 PAGEREF _Toc372724687 h 90 HYPERLINK l _Toc372724688 16.1. 引言 PAGEREF _Toc372724688 h 90 HYPERLINK l _Toc372724689 16.1.1.編寫目的與適用范圍 PAGEREF _Toc372724689 h 90 HYPERLINK l _Toc372

13、724690 16.2.系統(tǒng)要求 PAGEREF _Toc372724690 h 90 HYPERLINK l _Toc372724691 16.2.1.軟件要求 PAGEREF _Toc372724691 h 90 HYPERLINK l _Toc372724692 16.2.2.硬件要求 PAGEREF _Toc372724692 h 90 HYPERLINK l _Toc372724693 16.2.3.共享存儲系統(tǒng)需求 PAGEREF _Toc372724693 h 91 HYPERLINK l _Toc372724694 16.2.4.其它需求 PAGEREF _Toc3727246

14、94 h 91 HYPERLINK l _Toc372724695 16.3.安裝SLE_HA PAGEREF _Toc372724695 h 92 HYPERLINK l _Toc372724696 16.3.1.安裝方式 PAGEREF _Toc372724696 h 92 HYPERLINK l _Toc372724697 16.3.2.使用外接式軟件安裝 PAGEREF _Toc372724697 h 93 HYPERLINK l _Toc372724698 16.4.初始化配置 PAGEREF _Toc372724698 h 98 HYPERLINK l _Toc372724699

15、16.4.1.YaST群集模塊 PAGEREF _Toc372724699 h 98 HYPERLINK l _Toc372724700 16.4.2.定義通訊通道 PAGEREF _Toc372724700 h 98 HYPERLINK l _Toc372724701 16.4.3.定義身份驗證設置 PAGEREF _Toc372724701 h 99 HYPERLINK l _Toc372724702 16.4.4.配置Cluster服務 PAGEREF _Toc372724702 h 100 HYPERLINK l _Toc372724703 16.4.5.配置Csync2 PAGERE

16、F _Toc372724703 h 101 HYPERLINK l _Toc372724704 16.4.6.同步群集節(jié)點間的連接狀態(tài) PAGEREF _Toc372724704 h 103 HYPERLINK l _Toc372724705 16.4.7.手動同步配置文件 PAGEREF _Toc372724705 h 104 HYPERLINK l _Toc372724706 16.4.8.初始化SBD PAGEREF _Toc372724706 h 105 HYPERLINK l _Toc372724707 16.5.服務資源配置 PAGEREF _Toc372724707 h 106

17、HYPERLINK l _Toc372724708 16.5.1.添加STONITH資源 PAGEREF _Toc372724708 h 110 HYPERLINK l _Toc372724709 16.5.2.添加服務資源組 PAGEREF _Toc372724709 h 115 HYPERLINK l _Toc372724710 16.6.HA附錄 PAGEREF _Toc372724710 h 126 HYPERLINK l _Toc372724711 17.附錄四：HP G8 服務器Firmware升級 PAGEREF _Toc372724711 h 127 HYPERLINK l _

18、Toc372724712 18.附錄五：HP G8 服務器陣列卡檢查和配置 PAGEREF _Toc372724712 h 132 HYPERLINK l _Toc372724713 18.1.陣列卡狀態(tài)檢查 PAGEREF _Toc372724713 h 133 HYPERLINK l _Toc372724714 18.2. 陣列卡配置 PAGEREF _Toc372724714 h 134 HYPERLINK l _Toc372724715 19.附錄六：SLES系統(tǒng)NTP配置調整步驟 PAGEREF _Toc372724715 h 137 HYPERLINK l _Toc37272471

19、6 20.附錄七：SLES健康檢查列表 PAGEREF _Toc372724716 h 141服務器操作系統(tǒng)安裝2.1.前提條件2.1.1.軟件需求SuSE Linux Enterprise Server 11 SP2 x64安裝介質（DVD光盤）2.1.2.硬件需求（最低系統(tǒng)要求）Pentium* III 500 MHz 或更高版本處理器 (建議使用Pentium 4 2.4 GHz 或更高版本，或是任一 AMD64/Intel*EM64T 處理器)512 MB 物理 RAM (建議 1 GB)2 GB 可用磁盤空間 (建議更大)800 x 600 顯示器分辨率 (建議 1024 x 768

20、 或更高)2.2.SLES操作系統(tǒng)安裝2.2.1.基本配置在安裝SLES操作系統(tǒng)之前，需先對服務器進行Firmware升級，參見附錄五：HP G8服務器Firmware升級。對于HP G8機器，開機 按F10，智能安裝加載引導HP驅動此處請先進入Perform Maintenance中的ACU確認陣列卡配置的raid類型為raid1，參見附錄五：HP G8服務器陣列卡檢查和配置點擊 Configure and install點擊Next選擇suse linux ，并掛載安裝介質，后選擇next點擊next系統(tǒng)自動重啟后，選擇從光盤引導的啟動方式。在開機畫面中選擇Installation進入安裝

21、界面，并注意選擇分辨率，如果顯示器分辯率較低，請選擇800*600，液晶顯示器通常使用1024*768，請參考相關顯示器的性能指標。選擇安裝期間以及所安裝系統(tǒng)要使用的語言。閱讀授權合約，然后選擇“我接受許可證條款”。選擇“全新安裝”，點“下一步”繼續(xù)2.2.2.時區(qū)配置設置時區(qū)后， 點“下一步”進入安裝設置界面2.2.3.分區(qū)配置如上圖，點“分區(qū)”，進行系統(tǒng)分區(qū)設置, 系統(tǒng)分區(qū)建議按如下分區(qū)表建立：分區(qū)加載點LVM建議大小文件系統(tǒng)格式備注主分區(qū)1/boot204Mext3引導分區(qū)LVM（剩余空間）/dev/vg00/lvroot50Gext3根分區(qū)swap/dev/vg00/lvswapswa

22、p交換分區(qū)/usr/openv/dev/vg00/lvopenv5Gext3軟件安裝目錄說明：/boot分區(qū)不能采用LVM，否則系統(tǒng)無法啟動上述分區(qū)方案對于一般來說沒有將所有磁盤容量完全用完，可以根據(jù)應用在余下的容量中建立相應的邏輯卷。 swap的大小按照如下規(guī)則：1、內存小于8G，swap為內存的2倍2、內存大于8G，swap大小為16G3、如果有應用對于swap有特殊要求，按照應用的要求劃分。默認文件系統(tǒng)格式為ext3，對于特殊情況可以選擇其他文件系統(tǒng)（比如磁盤大小超過16T，可以使用xfs或者btrfs文件系統(tǒng)）；如上圖，選擇“自定義分區(qū)(僅限專家)”,點“下一步”，進入專家分區(qū)工具界面

23、：如上圖，點“添加”，進入如下畫面：選擇“主分區(qū)”，點“下一步”，進入如下界面：選擇“自定義大小”，輸入“204M”，點擊“下一步”進入如下界面；建立boot分區(qū)，文件類型為Ext3，點“完成”接著用剩余空間創(chuàng)建LVM分區(qū), 點“添加”，選擇“主分區(qū)”, 點“確定”選擇“最大大小”，點擊“下一步”如下圖，文件系統(tǒng)選擇“0 x8E Linux LVM”, 選擇“不裝入分區(qū)”，點“完成”；選擇“卷管理”，如下圖；點“添加卷組”進入物理卷設置界面卷組（VG）命名規(guī)范外置卷組即指操作系統(tǒng)中本地硬盤以外的共享存儲空間。外置卷組必須采用 vg“主機名”“用途簡稱”的命名方法，主機名的第一個字母應大寫。用途

24、簡稱指具體的數(shù)據(jù)庫類型或應用類型，包括：informix - I，sybase ASE - S，weblogic - W，tuxedo - T，備份 - B，應用 - A等，根卷保持“vg00”命名不變。按照上述規(guī)范，若主機名稱為abcdef，則該主機根卷名稱為vg00，該主機上為Weblogic配置的共享卷名稱為“vgAbcdefW”，為sybase配置的共享卷為“vgAbcdefS”，為備份配置的共享卷名稱為“vgAbcdefB”，為應用配置的共享卷為vgAbcdefA。邏輯卷（LV）用于操作系統(tǒng)的邏輯卷命名采用如下表所示方案(Weblogic和Tuxedo可參照此命名方法，需注意掛載點的

25、第一個字母應大寫)：邏輯卷用途命名方法(匈牙利表示法)舉例用于文件系統(tǒng)lv + 掛載點名稱lvMountname用于保留交換區(qū)的文件系統(tǒng)lvsw + 掛載點名稱lvswMountname說明：用于數(shù)據(jù)庫的邏輯卷命名方法，請參見浦發(fā)銀行數(shù)據(jù)庫標準化配置規(guī)范；劃分的邏輯卷必須由特定的用途，嚴禁系統(tǒng)中存在未使用的邏輯卷。外置卷具體需求，請參見第14節(jié)附錄一。選中“vg00”，點擊“邏輯卷”進入邏輯卷設置界面點“添加”依次創(chuàng)建swap、root邏輯卷接著輸入分區(qū)大?。蝗缟蠄D，點“下一步”，選擇文件系統(tǒng)類型“swap”，選擇裝入點“swap”，點“完成”；點“添加”依次創(chuàng)建root邏輯卷全部創(chuàng)建完后點擊

26、“接受”完成分區(qū)配置。2.2.4.軟件配置點擊“專家”標簽頁，出現(xiàn)如下界面：如上圖，點“軟件”，進入軟件管理界面：如上圖，在左邊窗口中取消“打印服務器”，“Novell AppAmor”,點“細節(jié)”進入如下界面然后在過濾器下拉框中選擇“搜索”；說明：根據(jù)項目需求不同，所需軟件不同，請參見第14節(jié)附錄一，這里以vsftpd為例； 如上圖，在左邊窗口查找框輸入“vsftpd“搜索”，在右邊的窗口軟件列表方框內打勾。點“接受”，出現(xiàn)如下界面；如上圖，點擊“接受”，完成軟件選擇，出現(xiàn)如下界面：如上圖，點擊“繼續(xù)”，完成軟件依賴包選擇，出現(xiàn)如下界面：2.2.5.語言配置點擊“語言”，會出現(xiàn)如下界面：選擇

27、所需要的語言（具體需求請參見第14節(jié)附錄一），點擊“接受”，會出現(xiàn)如下界面：點擊“安裝”，會出現(xiàn)如下界面： 點擊“安裝”，確認安裝后開始執(zhí)行安裝，如下圖：系統(tǒng)基本安裝完成后，重新啟動系統(tǒng)，出現(xiàn)如下界面：重啟完系統(tǒng)之后，會進行系統(tǒng)配置，出現(xiàn)如下界面：如上圖，輸入root用戶口令root123，點“下一步”，進入主機名和域名設置界面如上圖，輸入主機名和域名，不選擇“通過 DHCP 更改主機名”，點擊“下一步”，進入網(wǎng)絡配置界面：主機命名規(guī)則：主機名要求采用拼音簡稱或英文簡稱的方式，對于應用服務器可在系統(tǒng)名稱拼音首字母后加ap，對于數(shù)據(jù)庫服務器則在系統(tǒng)名稱拼音首字母后加上db，統(tǒng)一小寫，長度在4 8

28、個字符之間。舉例說明：若文件傳輸系統(tǒng)采用ftc作為應用簡稱，則其應用服務器應命名為ftcap，其數(shù)據(jù)庫服務器主機名應命名為ftcdb；若主機名不帶數(shù)字，則表明為單機系統(tǒng)；若主機名包含數(shù)字則表明為群集成員，通常：1代表主機，2代表備機。舉例說明：以上述文件傳輸系統(tǒng)應用服務器為例，若其應用服務器作雙機，則主、備機應分別命名為：ftcap1和ftcap2；災備機則在主機名前加上zb。舉例說明：以上述文件傳輸系統(tǒng)應用服務器為例，其應用服務器的災備主、備機應分別命名為：zbftcap1和zbftcap2。說明：為保證主機名不沖突，編制集成方案時需和數(shù)據(jù)中心商討、確認主機名稱。若數(shù)據(jù)中心發(fā)布命名規(guī)范，則按

29、規(guī)范執(zhí)行。2.2.6.網(wǎng)絡配置點擊“禁用IPV6”按鈕。點擊“防火墻禁用”按鈕。點擊“網(wǎng)絡接口”，進入網(wǎng)絡設置界面：點擊“編輯”，進入網(wǎng)卡設置界面，配置靜態(tài)IP地址和子網(wǎng)掩碼，點擊“下一步”說明：網(wǎng)絡配置需求，請參見第14節(jié)附錄一。點“下一步”, 然后選擇“路由選擇”，如下圖：如上圖，輸入網(wǎng)關地址，點擊“確定”，回到網(wǎng)絡配置界面。點擊“下一步”，保存網(wǎng)絡配置。保存網(wǎng)絡配置后，出現(xiàn)測試因特網(wǎng)連接的界面，如下圖：如上圖，選擇“否，跳過此測試”，點“下一步”，進入安裝設置界面：如上圖，選擇“跳過配置”，點“下一步”，進入選擇用戶認證方式界面：2.2.7.用戶配置如上圖，接受系統(tǒng)默認的“本地（/etc

30、/passwd）”，點“下一步”，出現(xiàn)增加用戶界面：如上圖，新增的組和用戶，具體需求請參見第14節(jié)附錄一。說明：系統(tǒng)帳號要求在系統(tǒng)集成和應用規(guī)劃時，必須達到如下要求：系統(tǒng)不存在無用的賬號；除root以外，所有系統(tǒng)的賬號均可更改；一般情況不允許將各類賬號/口令的明文存儲在文件中，除非受到技術限制（如只能通過文件存放明文）；某些賬號僅供分行或者業(yè)務人員FTP使用，對于此類賬號，必須進行配置以限制此類賬號，應滿足如下要求：該類賬號僅能通過FTP連接至主機，但不能遠程登陸(telnet/rlogin)至相關主機；并且該類賬號FTP至主機后，僅能訪問固定目錄；若分行/業(yè)務人員需要登陸至主機以做某些操作，

31、必須提供固定的使用界面，當用戶登錄后直接進入應用程序環(huán)境，若退出應用程序，則直接斷開本次連接；必須對密碼限制，包括時效限制(口令每6個月修改一次，或按系統(tǒng)重要程度，根據(jù)總行、分行關于賬戶密碼管理的相關規(guī)定執(zhí)行)、復雜程度限制(長度最少8位，管理員口令長度16位)、非空限制、重復使用次數(shù)限制(不得使用3次之內重復的密碼)。帳戶口令的設置應遵照上海浦東發(fā)展銀行信息系統(tǒng)運維帳號管理辦法及上海浦東發(fā)展銀行總行信息科技總部數(shù)據(jù)中心生產(chǎn)系統(tǒng)運維安全管理規(guī)程執(zhí)行。用戶組名、組號、用戶名、用戶號規(guī)范如下：用戶名用戶ID所屬組組ID備注weblogic131weblogic131為weblogic中間件創(chuàng)建tu

32、xedo141tuxedo141為tuxedo中間件創(chuàng)建vlog300vlog300為日常檢查創(chuàng)建ovuser110opcgrp110為OpenView創(chuàng)建其他 1100其他 1100其他用戶和組的ID需要大于1100Db2400 - 499Db2400 - 499為db2數(shù)據(jù)庫創(chuàng)建oracle201oinstall201為Oracle數(shù)據(jù)庫創(chuàng)建，oracle用戶主組dba202為oracle數(shù)據(jù)庫創(chuàng)建oper203用于管理Oracle數(shù)據(jù)庫。（必建）asmadmin204用于安裝ASM軟件。（如果使用ASM，需要創(chuàng)建）asmdba205用于管理ASM實例。（如果使用ASM，需要創(chuàng)建）asmo

33、per206用于操作ASM實例。（如果使用ASM，需要創(chuàng)建）grid（Oracle使用ASM時需創(chuàng)建）202asmadmin204用于安裝ASM軟件。（如果使用ASM，需要創(chuàng)建）asmdba205用于管理ASM實例。（如果使用ASM，需要創(chuàng)建）點“下一步”，進入發(fā)行說明界面：如上圖，點“下一步”，進入硬件配置界面如上圖，確認顯示器可以支持相應的分辨率(推薦：1024*768)，確認或修改后，點擊“下一步”按鈕，選中“為Autoyast復制此系統(tǒng)”完成系統(tǒng)安裝。時鐘同步以root用戶登陸服務器，運行yast2 ntp-client, 出現(xiàn)NTP配置界面如上圖，選擇“New and On Boot

34、”, 選擇“Add”填入時間服務器的IP地址x.x.x.x（具體需求請參見第14節(jié)附錄一), 點“OK”結束時間同步的配置.NTP 服務器信息請與時鐘服務器管理員確認：我行總行新建的NTP服務器地址如下：生產(chǎn)9 管理 00 辦公 00 業(yè)務 災備58 管理 1辦公 1 業(yè)務 NTP配置方法詳見附錄六浦發(fā)銀行NTP客戶端SUSE Linux系統(tǒng)配置步驟，請在配置完NTP服務器后確認硬件時鐘和軟件時鐘是否一致.hwclock -r /查看當前硬件時間hwclock -s /將系統(tǒng)時間設置成和硬件時間一樣hwclock -w /將硬件時間設置成和系統(tǒng)時間一樣DNS配置SuSE Enterprise

35、Linux作為DNS客戶端的配置方法如下 ：修改/etc/resolv.conf文件，添加如下內容 nameserver xx.xx.xx.xx (xx為DNS服務器地址，詳細信息請參見第14節(jié)附錄一)需要注意： 1、“如果在/etc/hosts文件中加入了地址解析的配置，該配置比resolv.conf指向的DNS服務器權限高”。 2、每次修改網(wǎng)卡配置中的DNS并重啟該網(wǎng)卡，會刷新resolv.conf中的nameserver。3、SuSE中有nscd緩存服務，在修改DNS、hostname、用戶帳戶后，需要重啟該服務。 rcnscd restart系統(tǒng)服務為提高系統(tǒng)的穩(wěn)定性，減少系統(tǒng)網(wǎng)絡配置

36、上的漏洞，SUSE Enterprise Linux系統(tǒng)必須關閉如下表所示的網(wǎng)絡服務:服務名稱服務描述cups打印服務postfix郵件服務pcscdsmart卡登錄服務smartd磁盤監(jiān)控服務，對于做過RAID的磁盤無效vsftpdFTP文件傳輸服務以root用戶登陸操作系統(tǒng)進行如下操作：關閉cups、postfix、pcscd、smartd、vsftpd服務chkconfig -level 35 cups offchkconfig -level 35 postfix offchkconfig -level 35 pcscd offchkconfig -level 35 smartd off

37、chkconfig -level 35 vsftpd off提示為修復suse linux 11 sp2 的procps 軟件版本bug, 檢查rpm -qa |grep procps 軟件版本，若procps版本為3.2.7-151.20.1,解決方式：則將procps版本升級到3.2.7-151.26.1，升級方法執(zhí)行如下命令：rpm Uvh procps-3.2.7-151.26.1.x86_64.rpm系統(tǒng)參數(shù)6.1.環(huán)境變量編輯/etc/profile文件，加入set -o vi （啟用命令行vi模式）TMOUT=300 （終端超時設置）umask 002 （創(chuàng)建文件權限設置）ali

38、as rm=rm -ialias cp=cp -ialias mv=mv -iexport HISTSIZE=1000 (用戶歷史命令最大條數(shù))export HISTTIMEFORMAT=%Y-%m-%d %H:%M:%S ulimit -c 25000 （當前用戶生成core文件的最大大?。┚庉?etc/inittab文件：id:5:initdefault:將5修改為3（3表示字符界面網(wǎng)絡多用戶模式）6.2.內核參數(shù)編輯/etc/sysctl.conf具體需求，請參見第14節(jié)附錄一。編輯完成后使用sysctl -p使配置參數(shù)生效2） 如系統(tǒng)使用netapp存儲，請檢查： more /sys/

39、block/sda/device/timeout 的值已從默認的30修改為180， 如非180則執(zhí)行l(wèi)inux_gos_timeout-install.sh腳本。 /*如果有多個磁盤,需要檢查磁盤相對應的timeout值，本例中只有sda*/6.3.配置hosts編輯/etc/hosts文件：#IP地址主機名 /此行屬于注釋說明，無需添加到hosts表中41sles11sp2a說明：如果有多個IP地址，請?zhí)砑佣鄺l記錄；如果是群集，需要將群集中所有節(jié)點的IP地址和主機名都添加到hosts表中，并在群集所有節(jié)點中保持一致。安全配置以root用戶登陸服務器，運行yast2 security, 出現(xiàn)本

40、地安全性配置界面如下圖，選擇“密碼設置”，進入密碼設置界面如上圖，選擇“測試復雜密碼”，要記憶的密碼數(shù)目選擇“3”，密碼加密方法選擇“MD5”, 密碼的最小接受長度改為“8”, 密碼有效期的最大值改為“99999”,密碼失效期多少天發(fā)出警告選擇“7”天，點左邊“引導設置”進入引導設置界面如上圖，對Ctrl+Alt+Del的解釋選擇“忽略”,點“登錄設置”進入登錄設置界面如上圖，“不正確登陸嘗試前的延遲”設置為3，選擇“允許遠程圖形登錄”,點“用戶添加”進入用戶和組ID設置界面如上圖，用戶ID最大值選擇“3000”, 組ID最大值選擇“3000”，點“雜項設置”進入雜項界面如上圖，文件權限選擇“

41、安全”, 點“確定”結束系統(tǒng)的安全性設置。滿足監(jiān)管要求密碼長度至少8位，至少包含小寫字母和數(shù)字需求的設置方法如下：將 /etc/pam.d/common-password 文件內容改為如下：password required pam_cracklib.so retry=3 minlen=8 dcredit=-1 lcredit=-1password required pam_unix2.so use_authtok nullok審計策略（可選配置）系統(tǒng)缺省已經(jīng)開啟syslog服務。系統(tǒng)syslog服務會將所有登錄自動記錄到/var/log/messages文件中。開啟audit審計功能，可以監(jiān)

42、控指定用戶或目錄，缺省會監(jiān)控root的所有登錄和操作。如果需要監(jiān)控某些用戶、進程、目錄或文件需要添加規(guī)則到 /etc/audit.rules 文件中audit日志文件自動保存在/var/log/audit/目錄中。啟動audit服務 service auditd start添加auidt服務到系統(tǒng)啟動項進程 chkconfig auditd on備注：audit日志文件自動保存在/var/log/audit/目錄中，每個log文件超過5M時進行輪換，保持最后4個log?？梢酝ㄟ^/etc/audit/auditd.conf進行配置。網(wǎng)絡訪問策略以及雙網(wǎng)卡綁定9.1 網(wǎng)絡訪問策略例如：設置192.

43、168.253.x網(wǎng)段無法使用主機的ssh和telnet服務# vi /etc/hosts.denysshd : /24 或sshd: 192.168.253.in.telnetd : /24 或 in.telnetd : 192.168.253.建議寫法，使用拒絕所有，僅允許訪問的IP地址或地址段。例：sshd: ALL EXCEPT 00,009.2 雙網(wǎng)卡綁定1. 配置加在網(wǎng)卡驅動注意：大多數(shù)情況下不需要配置這一步驟，只有某些網(wǎng)卡不能在啟動過程中驅動初始較慢沒有識別導致綁定不成功，也就是有的slave設備沒有加入綁定，才需要配置。在 /etc/sysconfig/kernel 文件中的

44、MODULES_LOADED_ON_BOOT 參數(shù)加上網(wǎng)卡的驅動ex.MODULES_LOADED_ON_BOOT=”tg3 e1000”2. 創(chuàng)建要綁定的網(wǎng)卡配置文件編輯 /etc/sysconfig/network/ifcfg-eth*，其中*為數(shù)字，例如ifcfg-eth0 , ifcfg-eth1等等。每個文件注釋所有內容并添加如下內容：BOOTPROTO=noneSTARTMODE=off# cat /etc/sysconfig/network/ifcfg-eth0和ifcfg-eth1=#USERCONTROL=no#BROADCAST=#ETHTOOL_OPTIONS=#IPAD

45、DR=#MTU=#NAME=79c970 PCnet32 LANCE#NETWORK=#REMOTE_IPADDR=BOOTPROTO=noneSTARTMODE=off=3. 創(chuàng)建bond0的配置文件# vi /etc/sysconfig/network/ifcfg-bond0=BOOTPROTO=staticIPADDR=NETMASK=STARTMODE=onbootBONDING_MASTER=yesBONDING_MODULE_OPTS=mode=1 miimon=100 use_carrier=0 primary=eth0BONDING_SLAVE0=eth0BONDING_SLA

46、VE1=eth1=BONDING_MODULE_OPTS 參數(shù): mode=1 為 active-backup 模式，mode=0 為 balance_rr 模式。4. 對于 active-backup 模式，需要在 BONDING_MODULE_OPTS 參數(shù)中加上制定主設備的參數(shù)，例如：BONDING_MODULE_OPTS=mode=1 miimon=100 use_carrier=0 primary=eth05. 重新啟動network服務# rcnetwork restart6. 注意事項a. 在某些情況下網(wǎng)卡驅動的初始化的時間可能會比較長，從而導致 bonding 不成功，那么可以

47、修改 /etc/sysconfig/network/config 配置文件的 WAIT_FOR_INTERFACES 參數(shù)，將其值改成30。b. 配置完bonding之后，可以通過在客戶端ping,然后在服務器端拔插網(wǎng)線來驗證是否已經(jīng)正常工作。c. cat /proc/net/bonding/bond0 可以查看bonding的狀態(tài)。9.3 靜態(tài)路由配置 在SUSE系統(tǒng)中使用route命令可以查看當前路由表信息，并可以進行添加、刪除路由信息。以下操作模擬進行添加、刪除、備份、恢復路由。1、添加路由添加臨時路由方式：本機網(wǎng)段172.16.232.X/24，添加靜態(tài)路由，往172.16.220.X

48、/24網(wǎng)段經(jīng)由20網(wǎng)關：route add -net netmask gw 20注：如果失敗，可以指定網(wǎng)絡端口：(具體網(wǎng)卡設備根據(jù)要添加的路由地址，查找和本機配置了同網(wǎng)段IP的網(wǎng)卡設備)route add -net netmask gw 20 dev eth0本機網(wǎng)段172.16.232.X/24，添加靜態(tài)路由，往4/24主機經(jīng)由14網(wǎng)關：route add -host 4 gw 14上述命令是都是添加即時生效的路由方式，但重啟網(wǎng)絡或者重啟服務器后將會丟失。如果需要添加永久有效的路由，還需要使用如下方式：添加永久路由方式：(1) 先備份路由文件/etc/sysconfig/network/ro

49、utes，請執(zhí)行 cp /etc/sysconfig/network/routes /etc/sysconfig/network/routes.bak (2)編輯/etc/sysconfig/network/routes文件，添加： 20 4 14 55(3)重啟網(wǎng)絡生效rcnetwork restart注：如果在不能重啟網(wǎng)絡的情況下，可以兩種方式結合使用，先用添加臨時路由的方式讓路由即時生效，然后在配置文件添加相對應的路由條目，在下次重啟時臨時添加的丟失了，但是配置文件里的路由條目就生效了。2、刪除路由刪除上述往172.16.232.X/24網(wǎng)段的路由。route del -net netm

50、ask gw 20刪除上述往4主機的路由。route del -host 4 gw 14命令執(zhí)行后，使用route命令查看當前路由表信息，確認已刪除。編輯/etc/sysconfig/network/routes文件，刪除相對應的路由條目。注：同添加路由的方式一樣，在不允許重啟網(wǎng)絡的情況下，先用命令刪除路由條目，然后再修改路由配置文件。3、備份路由路由配置文件都保存在/etc/sysconfig/network/routes文件中，在每次路由變更前先備份此文件，以便能夠及時回退。注：如系統(tǒng)前期的路由添加非本文檔方法，此類路由備份方法需酌情分析。cp /etc/sysconfig/network

51、/routes /etc/sysconfig/network/routes.bak4、恢復路由將/etc/sysconfig/network/route文件恢復，重啟系統(tǒng)網(wǎng)絡服務，即可恢復靜態(tài)路由。cp /etc/sysconfig/network/routes.bak /etc/sysconfig/network/routesssh2配置策略10.1 下載軟件包Suse Linux和Redhat Linux操作系統(tǒng)安裝盤中，存在ssh軟件包，無須單獨再下載。10.2安裝 ssh軟件包 說明：Linux安裝一般會安裝ssh軟件包，無須安裝。# mount /dev/cdrom /media#

52、cd /media/suse/x86_64# rpm -Uvh openssh-*.x86_64.rpm10.3修改ssh服務配置# vi /etc/ssh/sshd_config確認或修改如下配置項：#Protocol 2 修改為Protocol 2ServerKeyBits 1024修改為ServerKeyBits 204810.4 運行ssh服務默認安裝好后系統(tǒng)自動啟用ssh服務。確認ssh服務是否啟動，如下命令：# service sshd statusChecking for service sshd running如果有對應進程，可通過以下命令重啟ssh服務：# service s

53、shd restart如果沒有對應進程，可通過以下命令啟動ssh服務：# service sshd start若要停止ssh服務，可輸入：# service sshd stop10.5設置開機自動啟動ssh服務# chkconfig -level 35 sshd on# chkconfig -list sshdsshd 0:off 1:off 2:off 3:on 4:off 5:on 6:off10.6關閉telnet和ftp服務1、關閉telnet服務自啟chkconfig level 35 telnet off 執(zhí)行/etc/init.d/xinetd restart使更改生效2、停止f

54、tp服務service vsftpd stop關閉ftp服務自啟chkconfig -level 35 vsftpd offHP管理工具包安裝以及HP驅動程序更新11.1 準備工作對于HP G8機器，更新HP驅動程序以及HP管理工具包需要做以下準備工作對于 SLES 11 AMD64/EM64T 服務器： glib-1.2.10-15.i386 或更高版本 compat-libstdc+-296-2.96-132.7.2.i386 或更高版本 libstdc+33-32bit-3.3.3-11.9 或更高版本 perl-SNMP-6.3.x86_64 或更高版本 （如下圖所示）net-snmp

55、-6.3.x86_64 或更高版本 libnl（需要 QLogic 和 Emulex 驅動程序） 如要構建 NIC 源 RPM，在運行 HP SUM 的本地 Linux 系統(tǒng)上需要使用以下 RPM： gcc-2.96-108.1 或更高版本 （如下圖所示）kernel-default-devel（通過源建立 RPM 時需要。尤其是 Red Hat Enterprise Server 5.3 和更高版本。確保除了 kernel-xen-devel 或 kernel-PAE-devel 等內核專用軟件包，還安裝了 kernel-default-devel） kernel-syms （如下圖所示勾選

56、kernel-default-devel和kernel-syms ）RPM 構建工具 11.2安裝HP管理包更新HP驅動程序通過SUSE系統(tǒng)掛載SPP光盤 mount /dev/cdrom /mnt執(zhí)行hp/swpackage/hpsum打開hpsum點擊下一步next選擇default源點擊下一步選中l(wèi)ocalhost，并點擊Enter Credentials輸入主機的用戶名和密碼，（此時如果是刀片服務器，會提示OA的升級，請務必不要選中oa的地址）輸入用戶名和密碼后，next會變成可選狀態(tài)，點擊下一步選擇select components選擇要安裝的驅動或其他組件如果僅為了安裝sim服務包

57、，建議按照如下方式選擇如果安裝驅動和sim服務包，建議按照如下方式選擇 （其中驅動程序可根據(jù)實際需求選擇更新）點擊install開始進行安裝安裝完畢之后顯示可以點擊view log查看詳細的安裝記錄，查看是否都已安裝成功。點擊reboot now重啟系統(tǒng)至此，spp安裝全部完畢11.3 HP管理包使用方法1: 登陸HP homepage方法在ecc操作機中訪問https:/IP:2381/ 或 http:/IP:2301/2: 登陸HP ACU方法先在命令行中啟用ACU訪問命令： cpqacuxe -R在HP homepage的Storage中點擊Array Configuration Uti

58、lity選項 使用完成后在命令行中禁用ACU訪問命令：cpqacuxe stop3: 登陸HP Insight Diagnostics方法在HP homepage的Webapps選項下點擊HP Insight DiagnosticsSLES HA安裝及配置請參見附錄三：SuSE Linux High Availability Extension安裝和配置規(guī)范文檔操作系統(tǒng)備份方法SUSE Enterprise Linux 操作系統(tǒng)備份可以通過下列方式進行：通過數(shù)據(jù)中心已經(jīng)部署的支持SUSE Linux的商業(yè)備份軟件進行備份，例如NBU、BESR等；若部署在虛擬機上則可以通過虛擬化平臺進行備份恢復

59、；通過直接備份重要的系統(tǒng)配置文件實現(xiàn)。方法是定期將配置文件備份至共享存儲，恢復時先重裝操作系統(tǒng)，再恢復這些文件。操作系統(tǒng)備份參考步驟和命令如下：support -A命令完成后會在/var/log/目錄下生成名為nts開頭的文件，該文件中有當前系統(tǒng)中系統(tǒng)配置相關的信息。 tar zcvf /mnt/backup.tar.gz / -exclude=/tmp -exclude=/proc -exclude=/media -exclude=/mnt -exclude=/sys四：通過suse Linux 操作系統(tǒng)自帶的備份還原工具(一) suse Linux 操作系統(tǒng)備份1:運行 yast2 bac

60、kup 2:點擊 backp up manually3:選擇將操作系統(tǒng)備份到指定目錄和文件，并勾選Local File(備份到本地服務器)或者NFS(備份到遠程服務器) 4 如圖對File Selection內的選項全部勾選 其中Back Up Files Not Belonging to Any Package: 搜索備份不屬于RPM包的文件，如果啟用這個選項，將需要更多備份時間，并備份不屬于RPM包的文件。Back Up Content of All Packages: 備份所有RPM包的文件。Display List of Files Before Creating Archive: 創(chuàng)