20190726_安装CentOS7minimal版本后需要做的优化和配置

20190726_安装CentOS7minimal版本后需要做的优化和配置

CentOS系统镜像下载地址：https://www.centos.org/

CentOS的Minimal(最小化安装版本)与DVD ISO(标准安装版)区别：

DVD ISO版的软件包较为丰富和完整，有图形界面；

Minimal版是最精简的CentOS，不配备图形界面，自带的软件最少。很多在DVD ISO版本上自带的命令和功能Minimal版本都没有。为了节约资源，是服务器常用的版本(服务器追求性能和稳定，不需要多余的功能和图形界面)。

1.配网卡

本人是采用虚拟机的NAT模式来进行连接的。编辑》虚拟网络编辑器，更改设置，NAT设置，记下ip地址信息。

由于刚刚安装好的CentoS Minimal版系统没有vim编辑器，所以用vi编辑器编辑网卡配置文件参数.加注释的行是改动行，其余参数均无改动：

vi /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static                             #配置静态连接，方便远程
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=3b0abeb8-7cbe-4380-a727-b40fe2357616    
DEVICE=ens33
ONBOOT=yes                                   #yes启用网卡，no禁用网卡
IPADDR=192.168.88.111                        #ip地址，注意地址要和nat设置中的网关IP同在一个网段
NETMASK=255.255.255.0                        #子网掩码
GATEWAY=192.168.88.2                         #网关地址要和nat网关地址一致
DNS1=192.168.88.2                            #DNS地址要和nat网关地址一致
systemctl restart network                    #重启网卡服务

重启网卡服务后，应该就可以访问外网了。可以ping www.baidu.com试试。

2.更新系统并安装必备的组件

CentOS 标准安装时自带的很多好用的命令和工具，CentOS7 Minimal版本都没有，要自行安装相关的软件包才能使用。比如：vim编辑器，ifconfig命令(可以用 ip addr查询IP地址)，tab按键补全命令，wget等。

*-devel包：基本都是开发包，主要包括一些header文件(头文件)和静态链接库。

yum update                               #更新系统组件
yum install -y bash-completion           #安装bash-completion，装完重启系统，按tab可以补全命令                 
yum install -y vim                       #安装vim，提供vim命令
yum install -y net-tools                 #该组件提供dig，nslookup，ifconfig等命令，方便初始化网络环境
yum install -y wget                      #安装wget，提供wget命令yum install -y perl perl-devel           
yum install -y kernel-devel              #该组件包含用于内核开发环境所需的内核header文件以及Makefile
yum groupinstall -y Development tools    #一次性安装开发工具    
reboot                                   #重启系统

3.配置telnet服务

telnet有什么用？Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

当使用Telnet登录进入远程计算机系统时，事实上启动了两个程序：

• 一个是Telnet客户程序，运行在本地主机上；
• 另一个是Telnet服务器程序，它运行在要登录的远程计算机上。

本地主机上的Telnet客户程序主要完成以下功能：

• 建立与远程服务器的TCP联接；
• 从键盘上接收本地输入的字符；

CentOS-Minimal版本下默认没有安装xinetd服务和telnet服务。

telnet服务需要依靠xinetd服务启动，因此要先安装xinetd服务，再安装telnet服务。

yum install -y xinetd                  #1.安装xinetd服务
yum install -y telnet telnet-server    #2.安装telnet客户端和telnet服务端
vim /etc/xinetd.d/telnet               #3.编辑配置文件，在xinetd服务中开启telnet服务
# default: yes 
# description: The telnet server servestelnet sessions 
# unencrypted username/password pairs for authentication 
service telnet 
{ 
  flags = REUSE 
  socket_type = stream 
  wait = no 
  user = root 
  server =/usr/sbin/in.telnetd     
  log_on_failure += USERID 
  disable = no                    #yes表示禁用服务，no表示启用服务
}
systemctl enable xinetd           #把xinetd服务和telnet.socket服务加入开机启动项
systemctl enable telnet.socket    
systemctl restart xinetd          #重启xinetd服务和telnet.socket服务
systemctl restart telnet.socket
vi /etc/pam.d/remote               #telnet输入帐号密码正确但总提示Login incorrect，修改此文件
...
#auth required pam_securetty.so    #注释此行
...
firewall-cmd --list-all                          #查看当前防火墙允许的服务、端口以及策略等信息
firewall-cmd --permanent --add-service=telnet    #如果要使得外部可以telnet本机，需要在防火墙添加telnet服务以允许通过(也可以直接禁用防火墙)
firewall-cmd --reload                            #使防火墙配置立即生效
firewall-cmd --list-all                          #再一次查看，telnet服务已添加，此时外部可以telnet本机

可以用telnet ip地址 [端口号] 的形式访问。 

Telnet和SSH的区别？

两者都是用于远程控制的通信协议。区别是：

• SSH是加密的，需要交换密钥;
• 而Telnet是明文的，传输的是明文字符。

所以SSH比Telnet更加安全。

4.配置yum源以及第三方源EPEL

阿里的yum源不错，地址：https://opsx.alibaba.com/mirror，点击“帮助”即有配置yum源的指南。

163网易yum官网：http://mirrors.163.com/

EPEL (Extra Packages for Enterprise Linux)是基于Fedora的一个项目，为“红帽系”的操作系统提供额外的软件包，适用于RHEL、CentOS和Scientific Linux。需要安装一个叫”epel-release”的软件包，这个软件包会自动配置yum的软件仓库。

mkdir -p /root/backups/yum.repos.d                 #创建备份原yum源的文件夹
mv /etc/yum.repos.d/* /root/backups/yum.repos.d    #把原yum源文件剪切到备份文件夹
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo    #下载阿里yum源到本地/etc/yum.repos.d/
yum install -y epel-release    #添加第三方源epel
yum clean all    #清除缓存目录下的软件包以及旧的headers
yum makecache    #把服务器的包信息下载到本地缓存，配合yum -C search XXX使用就无需联网检索也能查找软件信息
yum list         #列出yum源可用的包

5.关闭SELinux

SELinux安全子系统虽然对系统安全保障起到很好的做用，但由于其过于严格的安全机制往往导致很多软件无法正常安装和使用。

一般企业服务器会直接禁用SELinux。

vim /etc/selinux/config
...
SELINUX=disabled    #禁用SELinux，重启后生效
...
setenforce 0               #立即关闭SELinux 

6.关闭防火墙

CentOS7默认使用的是firewall防火墙，且在Minimal版本中iptables默认没有安装。

一般企业服务器会禁用防火墙，安全方面一般交给类似openstack的云平台集中管理。

systemctl stop firewalld
systemctl disable firewalld

7.配置ntp服务同步时间

yum install -y ntp
systemctl enable ntpd
systemctl restart ntpd