维护红宝书:通达信服务器系统运维文档
文档记录:
版本
时间
修改者
描述
1.0
2008-06-2
2.0
2008-07-1
田进恩
一.Linux系统操作管理
Linux操作系统安装管理
推荐使用RedHat Advance Server版,并安装最新的Update。
安装RedHat时,请不要选择X窗口等模块。
停止各类没有使用的系统服务。
采用linux自带防火墙限制能连接的TCP端口。
定期检查系统状态和日志。
应该禁止所有默认的被操作系统本身启动的并且不必要的账号,设置复杂且没有规律的root密码。
第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
可以用下面的命令删除账号。
# userdel用户名
或者用以下的命令删除组用户账号。
# groupdel username
限制网络访问
如果您使用NFS网络文件系统服务,应该确保您的/etc/exports具有最严格的访问
权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读
文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/export (ro,root_squash)
/dir/to/export (ro,root_squash)
/dir/to/export 是您想输出的目录,是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
# /usr/sbin/exportfs –a
对于Linux系统管理,建议使用Linux的sshd来进行远程终端管理(只打开22端口)
设置时间。
用date -s 改时间后,务必使用/sbin/hwclock --systonc来刷到BIOS中去,否则下次Linux系统重启后又会将时间换回去。
例如:月日时分(年)
date 062713132008
date -s 13:13:28
请在crond中设置定时对时命令:crontab -e
0 7 * * * /usr/sbin/ntpdate 4
3 7 * * * /sbin/hwclock --systohc
(注意:在防火墙上打开对外UDP 123端口)
在rc.local中设置对异常网络连接的控制。命令:vi /etc/rc.local
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 60 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes
如果负载均衡器对ping没有要求的话,可以加入以下行(注意:有些均衡器需要能管辖的服务器进行ping操作,这种情况下就不能禁ping)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Linux常用服务及命令
crond服务的使用
一个是系统执行的部分,放在/etc/的crontab中,这部分不能用crontab -e或-l命令。
另一部分是用户的放在/var/spool/cron的临时文件中,可以使用crontab -e或-l命令。
检查wget、unzip、mc:如果没有则安装(对于wget,行情主站等需要)
rpm -ivh unzip-5.42-1.i386.rpm
rpm -ivh mc-4.5.51-36.i386.rpm
使用常用命令对系统进行检查。
命令名
用途描述
df
查看系统空间是否足够
du
查找目录占用磁盘空间
pstree或 ps –aux
列出系统进程状态
ps -aux | grep hostl | wc -l
查看hostl启动了多少个连接
dmesg | more
系统启动信息查看命令
top
系统总体状态
vmstat x (x为状态刷新间隔时间)
系统各运行参数情况
ifconfig
本机器IP等信息
route
查看网络路由信息
netstat
查看网络状态
netstat –na|grep SYN
查看是否有太多的SYN的连接
tar xvf FileName.tar
tar解包
tar cvf FileName.tar DirName
tar打包
tar zxvf FileName.tar.gz
tar.gz解压(z表示用gzip,j表示用bzip2)
tar zcv