通过脚本案例学习shell（四） --- 通过脚本初始化并加固新安装的Linux系统

通过脚本案例学习shell（四）

--- 通过脚本初始化并加固新安装的Linux系统

 

版权声明：

本文遵循“署名非商业性使用相同方式共享 2.5 中国大陆”协议

您可以自由复制、发行、展览、表演、放映、广播或通过信息网络传播本作品

您可以根据本作品演义自己的作品

您必须按照作者或者许可人指定的方式对作品进行署名。

您不得将本作品用于商业目的。

如果您改变、转换本作品或者以本作品为基础进行创作，您只能采用与本协议相同的许可协议发布基于本作品的演绎作品。

对任何再使用或者发行，您都必须向他人清楚地展示本作品使用的许可协议条款。

如果得到著作权人的许可，您可以不受任何这些条件的限制。

Designed by 小诺（www.rsyslog.org  dreamfire.blog.51cto.com）

 

   近来喜欢无人值守安装RHEL6.3系统,可是安装好每次都要做很多初始化工作,实在麻烦就写了个简单脚本省去了不少麻烦,由于本人是小牛,跟大牛比起来差的很远,还请大家提出一些宝贵意见!

本脚本是在rhel6.3环境下运行的,稍作修改同样适合其他Linux版本环境,不过脚本前半部分都是针对我自己的环境进行优化的,大家可以自行修改成自己的环境.

下面我对Linux系统初始化脚本进行简单讲解:

1. #!/bin/bash 
2. echo "New system configuration" 
3. sleep 1 
4. echo "Environment RHEL6.3"  
5. sleep 1 
6. echo "The kernel version configuration!" 
7. sleep 1 
8. echo "Designed by www.rsyslog.org http://dreamfire.blog.51cto.com" 
9. sleep 1 
10. input_fun() //定义一个可以重复输入的函数(空值回车情况下 也可用参考http://dreamfire.blog.51cto.com/418026/1152672)
11. { 
12.         OUTPUT_VAR=$1 
13.         INPUT_VAR="" 
14.                 while [ -z $INPUT_VAR ];do 
15.                         read -p "$OUTPUT_VAR" INPUT_VAR 
16.                 done 
17.         echo $INPUT_VAR 
18. } 
19.  
20. input_again() //定义网络参数函数,交互式读取输入.
21. { 
22. MYHOSTNAME=$( input_fun "Please input the hostname: ") 
23. DOMAINNAME=$( input_fun "Please intput the domainname(rsyslog.org): ")  
24. CARD_TYPE=$( input_fun "Please input card type(eth0): ")  
25. IPADDR=$( input_fun "Please input ipaddress(192.168.100.1): ")  
26. NETMASK=$( input_fun "Please input netmask(255.255.255.0): ")  
27. GATEWAY=$( input_fun "Please input gateway(192.168.100.1): ")  
28. MYDNS1=$( input_fun "Please input DNS1(192.168.100.102): ")  
29. MYDNS2=$( input_fun "Please input DNS2(192.168.100.103): ")  
30. } 
31.  
32. BEGIN_INIT=$( input_fun "Whether you initialize the Linux operating system(YES/NO): ") //如果你不需要运行此脚本,可以按n退出.
33. if [ "$BEGIN_INIT" = "NO" ] || [ "$BEGIN_INIT" = "no" ] || [ "$BEGIN_INIT" = "N" ] ||[  "$BEGIN_INIT" = "n" ];then 
34.     kill -9 $$ //$$为夫进程PID,也就是脚本PID
35.     elif [ "$BEGIN_INIT"   = "YES" ] || [  "$BEGIN_INIT" = "yes" ] || [ "$BEGIN_INIT" = "y" ] || [ "$BEGIN_INIT" = "Y"  ];then 
36.         echo "The script is begin....." 
37.     else 
38.     kill -9 $$ 
39.     
40. fi 
41. input_again 
42. BEGIN_INIT=$( input_fun "If you need input again[YES/NO]: ")  //为了防止出错再给你一次机会.
43.     if [ "$BEGIN_INIT" = "YES" ] || [ "$BEGIN_INIT" = "YES" ] || [ "$BEGIN_INIT" = "Y" ] ||[  "$BEGIN_INIT" = "y" ];then 
44.     input_again 
45.     fi 
46.      
47. MAC=`ifconfig $CARD_TYPE | grep "HWaddr" | awk -F[" "]+ '{print $5}'` //取网卡MAC地址. 
48. cat >/etc/sysconfig/network << ENDF  //配置network文件,激活网卡
49. NETWORKING=yes 
50. HOSTNAME=$MYHOSTNAME 
51. ENDF 
52. echo "Configure the HOSTNAME................................ OK !" 
53. sleep 1 
54. ########################## 
55. cat >/etc/sysconfig/network-scripts/ifcfg-$CARD_TYPE <<endf  //配置网卡(静态环境下配置,动态获取不适合)
56. DEVICE=$CARD_TYPE 
57. BOOTPROTO=none 
58. HWADDR=$MAC 
59. NM_CONTROLLED=yes 
60. ONBOOT=yes 
61. TYPE=Ethernet 
62. DNS2=$MYDNS2 
63. DNS1=$MYDNS1 
64. IPV6INIT=no 
65. USERCTL=no 
66. IPADDR=$IPADDR 
67. NETMASK=$NETMASK 
68. GATEWAY=$GATEWAY 
69. endf 
70. /etc/rc.d/init.d/network restart 
71. chkconfig --level 35 network off 
72. echo "Configure the $CARD_TYPE............................OK!" 
73. sleep 1 
74. ########################### 
75. cat >/etc/hosts <<endf  //配置本地hosts文件
76. 127.0.0.1 $MYHOSTNAME $MYHOSTNAME.$DOMAINNAME 
77. $IPADDR $MYHOSTNAME $MYHOSTNAME.$DOMAINNAME 
78. endf 
79. echo "Configure the hosts.............................. OK !" 
80. sleep 1 
81. ############################### 
82. cat >/etc/resolv.conf <<endf  //配置dns
83. domain $DOMAINNAME 
84. search $DOMAINNAME 
85. nameserver $MYDNS1 
86. nameserver $MYDNS2 
87. endf 
88. echo "Configure the resolv.conf......................OK!" 
89. sleep 1 
90. ############################### 
91. mount | grep dev/sr0 >/dev/null  //挂载安装光盘到 /media/cdrom下为yum仓库做准备
92. if [ $? -eq 0 ];then 
93.         umount `mount | grep dev/sr0 | awk -F[" "] '{print $3}'` 
94.         [ ! -d /media/cdrom ] && mkdir /media/cdrom 
95.         mount /dev/sr0 /media/cdrom 
96.     else 
97.         mount | grep dev/sr0 
98. fi 
99. echo "mount the iso of system................OK!" 
100. sleep 1 
101. #################################
102. cp -p /etc/yum.repos.d/rhel-source.repo{,.bak} //配置yum仓库 
103. cat >/etc/yum.repos.d/rhel-source.repo <<endf 
104. [rhel-source-beta] 
105. name=RHEL6U3-ISO 
106. baseurl=file:///media/cdrom 
107. enabled=1 
108. gpgcheck=0 
109. endf 
110. echo "Configure YUM.........................OK!"  
111. #####################################
112. yum clean all && yum makecache  //安装系统必须的一些测试工具,方便后期维护
113. yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel zip unzip ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5-devel libidn libidn-devel openssl openssh openssl-devel nss_ldap openldap openldap-devel openldap-clients openldap-servers libxslt-devel libevent-devel ntp  libtool-ltdl bison libtool vim-enhanced python wget lsof iptraf strace lrzsz kernel-devel kernel-headers pam-devel Tcl/Tk  cmake  ncurses-devel bison setuptool  
114. echo "Install the system view command......................OK!" 
115. ######################################### 
116. sed -i 's/id:.*$/id:3:initdefault:/g' /etc/inittab  //设置系统从init 3级别启动
117. echo "alias net-pf-10 off" >> /etc/modprobe.conf 
118. echo "alias ipv6 off" >> /etc/modprobe.conf 
119. /sbin/chkconfig --level 35 ip6tables off  //关闭ipv6,虽然ipv6是未来发展趋势,但是现在不用
120. sed -i 's/SELINUX=enforcing/SELINUX=disabled' /etc/sysconfig/selinux  //关闭selinux,后期如果需要可以打开
121. sed -i -e 's/GSSAPIAuthentication yes/GSSAPIAuthentication no/' -e 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config  //加速ssh连接
122. echo "Stop iptables ang set selinux=disable,If you need,please open them!,Optimization to speed up access to ssh,init 3" 
123. #########################################//以下是锁定系统不需要登录的账号 
124. passwd -l news 
125. passwd -l nscd 
126. passwd -l dbus 
127. passwd -l vcsa 
128. passwd -l games 
129. passwd -l nobody 
130. passwd -l avahi 
131. passwd -l haldaemon 
132. passwd -l gopher 
133. passwd -l ftp 
134. passwd -l mailnull 
135. passwd -l pcap 
136. passwd -l mail 
137. passwd -l shutdown 
138. passwd -l halt 
139. passwd -l uucp 
140. passwd -l operator 
141. passwd -l sync 
142. passwd -l adm 
143. passwd -l lp 
144. echo "Lock useless users.......................OK" 
145. sleep 1 
146. ############################ 
147. echo "TMOUT=1800" >>/etc/profile  //设置30分钟无活动自动退出,可自行设置
148. echo "* soft nofile 66666" >> /etc/security/limits.conf  //修改系统打开的最大文件数
149. echo "* hard nofile 66666" >> /etc/security/limits.conf 
150. echo "30 minutes of inactivity, automatic exit && To modify the system to open the maximum number of files.....OK" 
151. sleep 1 
152. ############################### 
153. cat >> /etc/sysctl.conf << endf  //优化内核参数调整
154. #michaelkang add 120724 
155. net.ipv4.tcp_abort_on_overflow = 1 
156. net.ipv4.tcp_syncookies = 1 
157. net.ipv4.tcp_tw_reuse = 1 
158. net.ipv4.tcp_tw_recycle = 1 
159. net.ipv4.tcp_fin_timeout = 20 
160. net.ipv4.tcp_retries1 = 2 
161. net.ipv4.tcp_retries2 = 5 
162. net.ipv4.tcp_max_orphans = 2000 
163. net.ipv4.tcp_keepalive_time = 1200 
164. net.ipv4.tcp_keepalive_intvl = 15 
165. net.ipv4.tcp_keepalive_probes = 5 
166. net.ipv4.tcp_syn_retries = 2 
167. net.ipv4.tcp_synack_retries = 3 
168. net.ipv4.tcp_max_syn_backlog = 8192 
169. net.ipv4.tcp_max_tw_buckets = 5000 
170. endf 
171. sysctl -p 
172. echo "Adjust the kernel parameters!......................OK!" 
173. sleep 1 
174. ############################################# 
175. for I in `ls /etc/rc3.d/S*` //关闭系统不需要的服务,其中S打头的都是正在运行的服务,K打头的是没有运行的服务.
176. do 
177.         STOP_SRV=`echo $I|cut -c 15-` //过滤服务名称,从15个字符往后.
178.         echo $STOP_SRV 
179.         case $STOP_SRV in 
180.                 local | cpuspeed | crond | irqbalance | microcode_ctl | xinetd | network | mon | partmon | messagebus| udev-post | sshd | rsyslog | syslog ) 
181.                 echo "Base services, Skip!" 
182.                 ;; 
183.                 *) 
184.                 echo "change $STOP_SRV to off" 
185.                 chkconfig --level 235 $STOP_SRV off 
186.                 service $STOP_SRV stop 
187.                 ;; 
188.         esac 
189. done 
190. echo "Close useless services.........................ok" 
191. sleep 1 
192. ############################################## //系统一些安全密码文件加锁,不允许修改创建
193. chattr +i /etc/passwd  
194. chattr +i /etc/shadow  
195. chattr +i /etc/group  
196. chattr +i /etc/gshadow  
197. chattr +a /root/.bash_history  //root执行命令数据只运行添加
198. sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile //设置使用history命令只能查看10条命令
199. echo "The passwd shadow group gshadow is locked,if you use them,please use chattr -i!..............ok" 
200. sleep 1 
201. ############################################## 
202. cat >> /etc/hosts.allow << ENDF  //设置运行远程使用ssh登录的网段
203. sshd:192.168.100.0/255.255.255.0 
204. ENDF 
205. echo 'sshd:all' >>/etc/hosts.deny 
206. echo "Allowd 192.168.100.0 to use ssh................ok " 
207. ############################################ //设置默认创建用户密码最大存活天数以及密码长度
208. sed -i -e "s/PASS_MAX_DAYS.*$/PASS_MAX_DAYS  90/" -e "s/PASS_MIN_LEN.*$/PASS_MIN_LEN 8/"  /etc/login.defs  
209. echo "###################The script is stop!!####################"