关闭防火墙和selinux
每个节点都执行
#关闭防火墙
systemctl stop firewalld
#关闭开机自启
systemctl disable firewalld
#关闭selinux
setenforce 0
#永久关闭selinux
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
系统环境
CentOS7.9最小化安装(否则配置的时候得先验证)
假设集群主机环境如下
| 主机IP | 主机名 | ssh端口号 | 是否主节点 |
|---|---|---|---|
| 192.168.42.144 | dbnode1 | 20884 | Y |
| 192.168.42.145 | dbnode2 | 20885 | N |
| 192.168.42.146 | dbnode3 | 20886 | N |
确保集群的主机网络互通,ssh互通
主机名设置
#在第一个节点执行
hostnamectl set-hostname dbnode1
#在第二个节点执行
hostnamectl set-hostname dbnode2
#在第三个节点执行
hostnamectl set-hostname dbnode3
hosts文件配置
每个节点的/etc/hosts文件添加以下内容
192.168.42.144 dbnode1
192.168.42.145 dbnode2
192.168.42.146 dbnode3
ssh互信配置
- 密钥生成
每个节点都执行以下命令生成密钥
#1.确认启用了密码身份验证(参考:https://cloud.tencent.com/developer/article/1894132)
cat /etc/ssh/sshd_config
PasswordAuthentication yes
ChallengeResponseAuthentication no
#2.生成密钥
ssh-keygen -t rsa -P "" -f ~/.ssh/id_rsa
- 密钥分发
每个节点都执行以下命令(交互执行,必须一条一条执行),把自己的密钥发送给所有节点
ssh-copy-id -p 20884 root@dbnode1
ssh-copy-id -p 20885 root@dbnode2
ssh-copy-id -p 20886 root@dbnode3
执行示例如下图
时钟同步chrony配置
说明:Chrony是一个开源的自由软件,像CentOS 7或基于RHEL 7操作系统,已经是默认服务,它能保持系统时间与时间服务器(NTP)同步,让时间始终保持同步。相对于NTP时间同步软件,占据很大优势。
详情请参考: CentOS7集群时间同步.
- 主节点chrony服务配置(作为集群的ntp服务端)
在dbnode1节点配置
#删除默认的时钟同步服务器
sed -i '/server /d' /etc/chrony.conf
#添加阿里的ntp服务
sed -i "/# Please/a server ntp1.aliyun.com iburst" /etc/chrony.conf
#指定一台主机、子网,或者网络以允许NTP连接到扮演时钟服务器的机器(允许谁同步我的时间)
sed -i "/#allow/a allow 0.0.0.0/0" /etc/chrony.conf
#当server中提供的公网NTP服务器不可用时,采用本地时间作为同步标准
sed -i 's/#local/local/g' /etc/chrony.conf
#重启chrony服务
systemctl restart chronyd
#强制同步系统时钟
chronyc -a makestep
- 其他节点chrony服务配置(作为ntp客户端)
在其他节点上都进行配置
#删除默认的时钟同步服务器
sed -i '/server /d' /etc/chrony.conf
#添加主节点作为ntp服务
sed -i "/# Please/a server dbnode1 iburst" /etc/chrony.conf
#重启chrony服务
systemctl restart chronyd
#强制同步下系统时钟
chronyc -a makestep
内核调优
每个节点都执行
#swap分区使用调整(详情参考http://www.javashuo.com/article/p-pelaczba-ew.html)
#修改并使其立即生效(*一定注意=两边不能有空格)
sysctl -w vm.swappiness=10
sysctl -p
#永久改变swap分区的使用(*一定注意=两边不能有空格)
echo 'vm.swappiness=10' >> /etc/sysctl.conf
#关闭透明大页
#立即关闭透明大页
echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled
#永久关闭透明大页
echo 'echo never > /sys/kernel/mm/transparent_hugepage/defrag' >> /etc/rc.local
echo 'echo never > /sys/kernel/mm/transparent_hugepage/enabled' >> /etc/rc.local
#Centos7之后必须赋予可执行权限才行
chmod +x /etc/rc.d/rc.local
已知漏洞修复
每个节点都执行
-
polkit pkexec 本地提权漏洞修复
1.无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险:
2.升级的方式修复chmod 0755 /usr/bin/pkexec- CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用
- RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
- Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
- Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复)
- Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用
- 其他Linux发行版操作系统OS建议联系官方寻求软件包修复源
2572
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
