- 添加进入阿里云安全组, 实现通用控制 sg-25ocx9pfx(可远程登录)
- 更新系统软件版本
- 更新时间
-
1234567891011
rm
-rf
/etc/localtime
ln
-s
/usr/share/zoneinfo/Asia/Shanghai
/etc/localtime
yum
install
-y ntp
ntpdate -u pool.ntp.org
date
yum -y update
yum -y remove mysql*
yum -y remove php*
yum -y remove httpd*
yum -y
install
wget cmake gcc gcc-c++ gcc-g77 flex bison
file
libtool libtool-libs autoconf kernel-devel libjpeg libjpeg-devel libpng libpng-devel libpng10 libpng10-devel gd gd-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glib2 glib2-devel
bzip2
bzip2
-devel libevent libevent-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel vim-minimal nano fonts-chinese gettext gettext-devel ncurses-devel gmp-devel pspell-devel unzip libcap pcre pcre-devel git-core subversion vim* bind-utils
-
- 更新时间
- 初始化kerberos
- 初始化内网DNS 解析(TODO ... 文档)
- 登录backup机器 已内网ip为10.30.50.209 举例
- vim /etc/named.rfc1912.zones (增加解析认知文件)
- 在文件末尾增加
-
zone
"50.30.10.in-addr.arpa"
{
type master;
file
"10.30.50.arpa"
;
};
- cd /var/named/
- cp -a 10.30.51.arpa 10.30.50.arpa #注意-a, 文件权限
修改10.30.50.arpa 为如下内容
$TTL 1D
@ IN SOA edianzu-inc.cn. root.edianzu-inc.cn.(
0
;serial
1D;refresh
1H;retry
1W;expire
3H;minimum
)
NS ns.edianzu-inc.cn.
ns A
10.44
.
178.83
209
PTR mrp01.edianzu-inc.cn.
vim edianzu.cn.zone #末尾增加一行
mrp01 IN A
10.30
.
50.209
- systemctl restart named #重启named服务
- host mrp01 #即可得到 mrp01.edianzu-inc.cn has address 10.30.50.209
- host 10.30.50.209 #即可得到209.50.30.10.in-addr.arpa domain name pointer mrp01.edianzu-inc.cn. 说明配置ok
- vim /etc/named.rfc1912.zones (增加解析认知文件)
- 登录backup机器 已内网ip为10.30.50.209 举例
- 记得去掉阿里云绑定的本机host
- 配置hostname – 比如hostname base02.edianzu-inc.cn
yum install -y krb5-libs krb5-workstation pam_krb5 (安装krb 客户端)
- 从backup机器迁移/etc/krb5.conf 到机器上面
- backup生成(机器认证) sh /data/ops/addkb.sh base02.edianzu-inc.cn
- 把上一步的文件/tmp/krb5.keytab 放入base02 的/etc/目录
- vim ~/.k5login #增加root kerberos权限
- 初始化内网DNS 解析(TODO ... 文档)
- 增加防火墙配置,外网网卡只暴露80, 关键服务限制机器访问
systemctl stop firewalls # 停掉老的规则
- yum install iptables-services #安装
systemctl enable iptables # 开机启动
service iptables save #初始化配置文件
- 屏蔽root远程登录
防火墙屏蔽外网22端口以及其他端口
# Generated by iptables-save v1.
4.21
on Thu Aug
25
12
:
07
:
45
2016
*filter
:INPUT ACCEPT [
0
:
0
]
:FORWARD ACCEPT [
0
:
0
]
:OUTPUT ACCEPT [
38
:
12164
]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s
10.0
.
0.0
/
8
-p tcp -j ACCEPT
-A INPUT -s
10.0
.
0.0
/
8
-p udp -j ACCEPT
#-A INPUT -p tcp -m tcp --dport
443
-j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport
22
-j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport
80
-j ACCEPT
#-A INPUT -p udp -m state --state NEW -m udp --dport
88
-j ACCEPT
#-A INPUT -p udp -m state --state NEW -m udp --dport
53
-j ACCEPT
#mysql
#fortress
-I INPUT -s
10.44
.
24.210
-p tcp --dport
3306
-j DROP
#test03
-I INPUT -s
10.172
.
216.113
-p tcp --dport
3306
-j DROP
#test02
-I INPUT -s
10.27
.
66.203
-p tcp --dport
3306
-j DROP
#stage02
-I INPUT -s
10.26
.
169.13
-p tcp --dport
3306
-j DROP
#stage
-I INPUT -s
10.44
.
63.143
-p tcp --dport
3306
-j DROP
#end
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Aug
25
12
:
07
:
45
2016
- 增加性能监控
- 阿里云监控
- java运行环境
- jdk1.7
- JAVA_HOME /opt/java
- nginx 环境以及配置
- 安装 tengine
- 配置文件 /usr/local/nginx
- master用root起, worker用nginx 用户起 useradd -r -M nginx
- 安装 tengine
- 增加外网可以访问安全组 sg-25ocx9pfx
- 增加内网互通安全组 sg-25iss25d1
其他
MySQL安装和配置
安装参考: http://dev.mysql.com/doc/refman/5.6/en/linux-installation-yum-repo.html