linux系统参数优化
- 系统最小化安装
- 修改ssh配置文件
- 配置防火墙
- 升级yum资源库
- 定时自动更新服务器时间 /usr/bin/ntpdate ntp1.aliyun.com >>
- 重要文件加锁 etc目录下 sudoers 用户权限信息文件 shadow 用户命令文件 passwd 用户属性文件 grub.conf 系统引导文件
在root用户下执行 chattr +i 文件 命令 查看文件是否解锁 lsattr 文件 执行chattr -i 进行解锁 - 系统参数优化
/etc/security/limits.conf
/e…/se…/limits.d/90-nproc.conf (centos6.x)
/e…/se…/limits.d/20-nproc.conf (centos7.x)
- soft nproc 20480
- hard nproc 20480 //soft nproc 的值 必须 <= hard nproc
- soft nofile 655360
- hard nofile 655360 // soft nofile 的值 必须 <= hard nofile
- soft memlock unlimited
- hard memlock unlimited
linux安全策略
linux服务器的安全主要跟 操作系统,应用程序,网络这三个方面有关
1.1 操作系统安全策略
系统服务端口位于 /etc/service 文件中
系统可用的服务端口总共有 65536个,分别为“root”用户启动的端口和“客户端”启用的端口
端口0-1023 被root身份的用户启用
端口1024-65536 被客户端软件所使用
常见端口 20,21 为ftp服务所用,23 为telnet服务所用 25 为mail服务所用 80 为 web服务所用 53 为dns服务所用 1521 为 oracle数据库所用
1.2 更新yum源库
yum update
yum update 库名
1.3 禁止ping
执行 echo “1” > /proc/sys/net/ipv4/icmp/icmp_echo_ignore_all
1.4 设定tcp_wrappers防火墙
tcp_wrappers的配置文件 有 /etc/hosts.allow和 /etc/hosts.deny
sshd:ip
sshd:ALL
保存文件后即可生效
2.1网路策略
开启iptables和firewalld
linux系统自动化运维工具
rsync 线上文件镜像备份同步工具,可以实现保持文件属性,以压缩格式的方式进行文件传输。有以下特点
- 镜像保存整个目录和文件系统
- 增量同步数据,文件传输效率高,同步时间短
- 保持文件原有属性和权限
- 数据加密传输,安全性高
该工具常见工作模式为 server-client client-client
server-client模式下,启动server端一个服务端口,客户端通过该端口,进行数据传输和同步
rsync.服务端的配置文件为
/etc/rsync.conf
uid = nobody
gid = nobody
use chroot = no
max connections = 10
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsync.lock
log file = /var/log/rsyncd.log
[ixdba]
path = /webdata
comment = ixdba file
ignore errors
read only = true
list = false
uid = root
gid = root
auth users = backup
secrets file = /etc/server.pass
uid 此选项指定当该模块传输文件时守护进程应该具有的用户ID,默认值是“nobody”。
gid 此选项指定当该模块传输文件时守护进程应该具有的用户组ID。默认值为“nobody”。
max connections 此选项指定模块的最大并发连接数量,以保护服务器,超过限制的连接请求,将被暂时限制。默认值是0,也就是没有限制。
pid file 此选项用来指定rsync守护进程对应的PID文件路径。
lock file 此选择指定支持max connections的锁文件,默认值是/var/run/rsyncd.lock。
log file 此选项指定了rsync的日志输出文件路径。
[ixdba] 表示定义一个模块的开始,ixdba就是对应的模块名称。
path 此选项用来指定需要备份的文件或目录,必填项,这里指定的目录为/webdata。
list 此选项设定当客户请求可以使用的模块列表时,该模块是否被列出。默认值是true,如果需要建立隐藏的模块。可以设置为false。
auth users 此选项用来定义可以连接该模块的用户名,多个用户用空格或逗号分隔开。需要注意的是这里的用户和Linux系统用户没有任何关系。这里指定的用户是backup。
secrets file 此选项指定一个包含“用户名:密码”格式的文件,用户名就是“auth users”选项定义的用户,密码可以随便指定,只要和客户端的secrets file对应起来就行。只有在auth users被定义时,该文件才起作用。系统默认没有这个文件,自己手动创建一个即可。
执行如下指令启动rsync守护进程:
[root@web ~]# /usr/local/bin/rsync --daemon
[root@localhost /]# ps -ef|grep rsync
root 20278 1 0 16:29 ? 00:00:00 /usr/local/bin/rsync --daemon
主机推送数据到客户端
[root@web~]# /usr/local/bin/rsync -vzrtopg --delete --progress backup@192.168.60.253::ixdba /data --password-file=/etc/server.pass
“–vzrtopg”选项中v是“-verbose”,即详细模式输出,z表示“–compress” 即对备份的文件在传输时进行压缩处理,r表示“–recursive”,也就是对子目录以递归模式处理。t即“–times”,用来保持文件时间信息,o即“–owner”用来保持文件属主信息。p即“–perms”用来保持文件权限,g即“–group”用来保持文件的属组信息。
“–delete”选项指定以rsync服务端为基准进行数据镜像同步,也就是要保持rsync服务端目录与客户端目录的完全一致性。
“–progress”选项用于显示数据镜像同步的过程。
“backup@192.168.60.253::ixdba” 表示对服务器192.168.60.253中的ixdba模块进行备份,也就是指定备份的模块,backup表示使用“backup”这个用户对该模块进行备份。
“/data”用于指定备份文件在客户端机器上的存放路径,也就是将备份的文件存放在备份机的/data目录下。
“–password-file=/etc/server.pass”用来指定客户机上存放的密码文件位置,这样在客户端执行同步命令时就无需输入交互密码了,注意,这个密码文件的名称和位置可以随意指定,但是在客户机上必须存在此文件,文件的内容仅仅为备份用户的密码,这里指的是backup的密码。
rsync的client/client模式
rsync -vzrtopg --delete --progress 文件/目录 目的地址:目录 #推送模式
rsync -vzrtopg --delete --progress -e ‘ssh -p 9090’ 文件/目录 目的地址:目录 #指定端口推送模式
rsync -vzrtopg --delete --progress 目的地址:目录 文件/目录 #拉取模式
rsync -vzrtopg --delete --progress -e ‘ssh -p 9090’ 目的地址:目录 文件/目录 #指定端口拉取模式
例子:
rsync -vzrtopg --delete --progress Python-3.6.5.tgz root@172.16.213.233:/mnt (推送模式)
rsync -vzrtopg --delete --progress root@172.16.213.233:/mnt/Python-3.6.5.tgz /app/(拉取模式)
默认情况下rsync走的是ssh协议,22端口,如果ssh是非默认的22端口,那么可以添加“-e“选项:
rsync -vzrtopg --delete --progress -e ‘ssh -p 9090’ Python-3.6.5.tgz root@172.16.213.233:/mnt (推送模式)
rsync -vzrtopg --delete --progress -e ‘ssh -p 9090’ root@172.16.213.233:/mnt/Python-3.6.5.tgz /app/(拉取模式)
其中,9090是sshd服务的端口。
技巧
rsync 与 crontab 结合使用可以实现定时同步数据的功能
170
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
