Linux的使用环境也日趋成熟,各种开源产品络绎不绝,大有百花齐放的盛景,那么当Linux落地企业,回归工作时,我们还要面对这Linux运维方面的诸多问题,今天我们特意组织一场有关Linux 在企业运用当中交流分享活动。本次活动内容丰富,在此我们进行一下系统的梳理。
一 Linux选择
选择一个适合自身企业的Linux版本系列和主流版本还是相对不容易的,下面我们来介绍一下在选择时各企业所参考的依据:
RedHat和CentOS
选择红帽子系列产品,以centos为主,主要考虑有几个方面:
1. centos是redhat的编译版本,基本上没有什么大的变动
2. 现在很多环境都是集群环境,包括web集群,中间件集群,rac群集等等,OS层面本身的高可用系数已经不是100%要求那么高了。
3. 主流版本生命周期比较长,比较适合一个硬件的生命周期管理,基本上安装一次直到设备报废了。
4. 批量安装部署方便,硬件和软件兼容性都挺好。
5. 版本主要使用6版本,新上应用可以全面考虑升级使用7版本
SuSe
使用的Suse Linux Enterprise版,主要考虑因素如下:
1、该发行版本性能和稳定性比较突出
2、对客户的技术支持体系较为完备,服务响应较快(这基本上是最重要的因素)
3、对开源社区如openstack等生态拥抱得也较好。
4、版本主要是SUSE11 较多。
二 安装部署
方式:U盘,光盘和网络安装
其中网络安装已经成为了目前批量部署的首选方式:主要工具有Cobbler和PXE+kickstart
可以参考如下链接内容:
http://www.cnblogs.com/mchina/p/centos-pxe-kickstart-auto-install-os.html
三 初始化配置
禁用服务
chkconfig --level 35 iptables off
chkconfig --level 35 ip6tables off
service iptables stop
chkconfig --level 35 postfix off
禁用SeLinux
vi /etc/selinux/config SELINUX=disabled
配置YUM源配置
[root@rhel63 yum.repos.d]# vi local.repo
[local]
name=local
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0
可以配置为光盘,内部YUM源或EPEL等
常用软件安装
# yum install ftp telnet make imake gcc compat-libstdc++-33 gcc-c++ libstdc++ libXp kernel kernel-devel kernel-headers rsh ksh lsof openssh-clients -y
# yum install iptraf.x86_64 unzip.x86_64 libaio.x86_64 eject sysfsutils dmidecode pciutils dstat lsscsi -y
安装xwindows
# yum groupinstall "X Window System" -y
# yum groupinstall Desktop -y (可以不安装桌面)
# yum install xorg-x11-apps -y (包含xclock)
配置ntp
*/10 * * * * /usr/sbin/ntpdate 10.0.0.1
Crontab 添加如上记录,指定内部ntp服务器
SSH 登录设置
修改ssh 禁用DNS 选项:
echo "UseDNS no" >> /etc/ssh/sshd_config service sshd restart
添加允许指定用户登录:
echo "AllowUsers user1" >> /etc/ssh/sshd_config
service sshd restart
上传扫描工具
rescan-scsi-bus.sh
网络上有该脚本,下载自行使用
修改历史记录格式
echo "export HISTTIMEFORMAT='%F %T'" >> /etc/profile
四 安全加固
本次安全加固内容主要参考的是Redhat和Centos系列版本系统:
参考链接
http://www.centoscn.com/CentosSecurity/CentosSafe/2015/0315/4881.html
注释掉系统不需要的用户和用户组
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。
cp /etc/passwd /etc/passwdbak #修改之前先备份
vi /etc/passwd #编辑用户,在前面加上#注释掉此行
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin#注释掉ftp匿名账号
cp /etc/group /etc/groupbak #修改之前先备份
vi /etc/group #编辑用户组,在前面加上#注释掉此行
#adm:x:4:root,adm,daemon
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#dip:x:40:
关闭系统不需要的服务
service acpid stop chkconfig acpid off #停止服务,取消开机启动 #电源进阶设定,常用在 Laptop 上
service autofs stop chkconfig autofs off #停用自动挂载档桉系统与週边装置
service bluetooth stop chkconfig bluetooth off #停用Bluetooth蓝芽
service cpuspeed stop chkconfig cpuspeed off #停用控制CPU速度主要用来省电
service cups stop chkconfig cups off #停用 Common UNIX Printing System 使系统支援印表机
service ip6tables stop chkconfig ip6tables off #禁止IPv6
如果要恢复某一个服务,可以执行下面操作
service acpid start chkconfig acpid on
## 禁止非root用户执行/etc/rc.d/init.d/下的系统命令禁止非root用户执行/etc/rc.d/init.d/下的系统命令
chmod -R 700 /etc/rc.d/init.d/*
chmod -R 777 /etc/rc.d/init.d/* #恢复默认设置
给下面的文件加上不可更改属性,从而防止非授权用户获得权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services #显示文件的属性
注意:执行以上权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作
chattr -i /etc/passwd #取消权限锁定设置
chattr -i /etc/shadow
chattr -i /etc/group
chattr -i /etc/gshadow
chattr -i /etc/services #取消系统服务端口列表文件加锁
现在可以进行添加删除用户了,操作完之后再锁定目录文件
限制不同文件的权限
chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null
chattr +i .bash_history
chmod 700 /usr/bin 恢复 chmod 555 /usr/bin
chmod 700 /bin/ping 恢复 chmod 4755 /bin/ping
chmod 700 /usr/bin/vim 恢复 chmod 755 /usr/bin/vim
chmod 700 /bin/netstat 恢复 chmod 755 /bin/netstat
chmod 700 /usr/bin/tail 恢复 chmod 755 /usr/bin/tail
chmod 700 /usr/bin/less 恢复 chmod 755 /usr/bin/less
chmod 700 /usr/bin/head 恢复 chmod 755 /usr/bin/head
chmod 700 /bin/cat 恢复 chmod 755 /bin