Linux操作系統安裝部署規(guī)范方案

./Linux操作系統安裝部署安全規(guī)范為了規(guī)范安裝Linux系統,減少平臺部署中出現的問題,并且方便管理與維護；體現公司運維規(guī)范、專業(yè)化,特制定Linux安裝部署規(guī)范文檔一、安裝前的準備工作1、操作系統的選擇 操作系統統一選用Centos5.X系統64位版本2、操作系統的安裝信息收集1>服務器的內存大小2分區(qū)的特殊需求3Ip地址的規(guī)劃4防火墻的配置要求5如未有特殊要求將按照以下規(guī)范安裝系統二、安裝系統過程詳細要求操作系統安裝過程點擊"新建"按鈕文件系統類型選擇LVM創(chuàng)建LVM物理卷,使用全部可用空間點擊紅色框內的LVM<L>出現下面這個窗口點擊添加"創(chuàng)建LVM邏輯卷"掛載到根分區(qū),針對硬盤較小的服務器〔一百多G或更小容量>,根分區(qū)分配20G空間服務器空間在200G以上者,根分區(qū)分配50G空間再繼續(xù)點擊"添加添加swap交換分區(qū)分區(qū)容量與內存大小相同再點擊添加掛載點設置為/data使用全部剩余空間點擊確定然后下一步直接下一步密碼默認設置為sd@2012選擇"現在定制"安裝基本系統里面選擇基本、管理工具、系統工具三項應用程序里面選擇編輯器一項開發(fā)里面選擇"開發(fā)工具"、"開發(fā)庫"兩項語言支持里面默認選擇"中文支持"其他選項里面都不要勾選任何軟件包,點擊下一步安裝系統完成后重啟系統三、系統安裝完成后設置1.系統setup設置進入系統后執(zhí)行setup命令,有時候setup會自動執(zhí)行選擇防火墻配置全部選擇Disabled然后選擇OK退出選擇系統服務配置<Systemservices>把acpidapmdautofscupsbluetoothcpuspeedfirstbootgpmip6tablesipmiscsiiscsid netfsnfslockrestorecondsetroubleshootsmartdxfsyumupdatesd前面的*去掉<按 空格鍵去掉>禁止這些服務開機啟動2.設置系統參數sysctl內核參數編輯/etc/sysctl.conf在原有內容的基礎上添加以下內容#Addnet.ipv4.ip_forward=1net.ipv4.tcp_max_syn_backlog=262144dev_max_backlog=262144net.core.somaxconn=262144net.core.wmem_default=8388608net.core.rmem_default=8388608net.core.rmem_max=16777216em_max=16777216net.ipv4.tcp_timestamps=0net.ipv4.tcp_synack_retries=1net.ipv4.tcp_syn_retries=1net.ipv4.tcp_tw_recycle=1net.ipv4.tcp_tw_len=1net.ipv4.tcp_tw_reuse=1net.ipv4.tcp_mem=94500000915000000927000000net.ipv4.tcp_max_orphans=3276800net.ipv4.tcp_fin_timeout=30net.ipv4.tcp_keepalive_time=120net.ipv4.ip_local_port_range=102465535fs.file-max=102400net.ipv4.tcp_keepalive_time=302設置文件描述符執(zhí)行echo"ulimit-SHn102400">>/etc/profile3、系統文件安全設置 1vim/etc/inittabca::ctrlaltdel:/sbin/shutdown-t3-rnow找到此處改成#ca::ctrlaltdel:/sbin/shutdown-t3–rnow前面加上注釋防止ctrl+alt+del重啟服務器 2系統帳戶配置 賬號管理vim/etc/passwd文件以下賬號可以鎖定或者刪除gophersyncgamessmmspxfsshudwonrpcrpcuser uucppostgresnewsnscdoperatorhalt 方法1:usermod–L用戶鎖定用戶 2:userdel用戶刪除用戶刪除不需要的用戶組vim/etc/group刪除與剛才刪除的用戶名相同的組刪除組groupdel用戶組名修改passwd、shadow、group文件權限cd/etcchownroot:rootpasswdshadowgroupchmod600passwdchmod600groupchmod400shadowIP地址規(guī)劃服務器一般情況下有兩個、四個或以上網卡要求：如無特殊需求,服務器一概配置一個公網IPEth0:配置為公網IPEth1:配置為內網IP如遇服務器只有內網IP:：eth1:配置為內網如果內網有多個、依次排列eth2、eth3等添加定時校對時間任務：執(zhí)行：crontab-e添加下面一行執(zhí)行chkconfigcrondon確保crond服務為開機啟動6、升級系統執(zhí)行yumupdate-y命令升級系統需要長時間等待設置iptables防火墻先清除防火墻規(guī)則/sbin/iptables-F/sbin/iptables-X執(zhí)行iptables-save>/etc/sysconfig/iptables保存防火墻規(guī)則編輯/etc/sysconfig/iptables文件修改為一下內容*filter:INPUTACCEPT[47:4040]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[37:3724]-AINPUT-ilo-jACCEPT-AINPUT-ieth1-jACCEPT<如eth1為內網>-AINPUT-s6-jACCEPT-AINPUT-mstate--stateRELATED,ESTABLISH