centos5.3

CentOS5.3系统配置

2010年2月15日  | 标签:

这份最新的安装记录，其实是在春节前就已完成的。今日补发出来。后续还有Apache-2.2.14+PHP-5.3.1+MySQL-5.1.43的环境搭建安装记录文档。

用户管理

修改root密码，登录root后
#passwd

增加新用户，登录root后
#useradd NEWUSERNAME

修改用户密码，登录root后
#passwd NEWUSERNAME

建立管理员组内一般用户
/*
* 在 一般情况下，一般用户通过执行“su -”命令、输入正确的root密码，可以登录为root用户来对系统进行管理员级别的配置。
* 但是，为了更进一步加强系统的安全性，有必要建立一个管理员的组，只允许这个组的用户来执行“su -”命令登录为root用户
* 而让其他组的用户即使执行“su -”、输入了正确的root密码，也无法登录为root用户。
* 在UNIX下，这个组的名称通常为“wheel”。
*/
直接用root登录后
# usermod -G wheel yobbozhu 　// 将一般用户 yobbozhu 加在管理员组wheel组中
# vi /etc/pam.d/su 　// 打开这个配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid 　 // 找到此行，去掉行首的“#”
修改为
auth required /lib/security/$ISA/pam_wheel.so use_uid　 // 变为此状态（大约在第6行的位置）
# echo “SU_WHEEL_ONLY yes” >> /etc/login.defs　// 添加语句到行末
/*
* 以上操作完成后，可以再建立一个新用户，然后用这个新建的用户测试
* 没有加入到wheel组的用户，执行“su -”命令，即使输入了正确的root密码，也无法登录为root用户。
*/

查看系统中的用户
#cat /etc/passwd

版本号

查看内核版本命令：
#cat /proc/version

查看linux发行版本号
#cat /etc/redhat-release

禁用掉SELinux

用root用户打开/etc/selinux/config:
#vi /etc/selinux/config
将其中的SELINUX=enforcing删除并用下面一行字替换：
SELINUX=disabled

重启后可查看selinux是否禁用
# sestatus
SELinux status: disabled

更新软件库

移除不用的软件
# yum remove httpd mysql php vsftpd

# yum update

安装一些比较有用的软件：
# yum install ntp vim-enhanced gcc gcc-c++ flex bison autoconf automake bzip2-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel kernel wget vixie-cron mlocate sendmail libtool

关闭不需要的服务

# ntsysv
以下仅列出需要启动的服务，未列出的服务一律关闭：
atd
crond
irqbalance
microcode_ctl
network
sendmail
sshd
syslog

修改主机名

# vi /etc/sysconfig/network // 通过配置文件修改主机名
HOSTNAME=NEWHOSTNAME // 修改该值作为主机名，如：NEWPC

日期时间

查看时间
#date

修改时区
#timeconfig //改为中国的上海时区CST

自动定时校准互联网时间，增加的是系统级的定时命令，需要在/etc/crontab文件中增加
0 5 * * * ( /usr/sbin/ntpdate -s 203.117.180.36 131.107.1.10 time.asia.apple.com 64.236.96.53 130.149.17.21 66.92.68.246 www.freebsd.org 18.145.0.30 clock.via.net 137.92.140.80 133.100.9.2 128.118.46.3 ntp.nasa.gov 129.7.1.66 ntp-sop.inria.fr )

或直接修改时间
#date MMDDhhmmYYYY

写入bios时间
#hwclock -w

读出bios时间
#hwclock -r

/* 注意：
* 1、五位数字分别代表：分 时 日 月 周
* 2、crontab未安装 需先安装crond
* # yum install vixie-cron
*/

root邮件的转送

登录root后
# vi /etc/aliases 　 ← 编辑aliases，添加如下行到文尾
root: yourname@yourserver.com　← 加入自己的邮箱地址
# newaliases　← 重建aliasesdb
/etc/aliases: 79 aliases, longest 19 bytes, 825 bytes total
# echo test | mail root　← 发送测试邮件给root //** 测试失败 **//

locate命令用数据库更新及自动更新设定

locate命令是Linux下告诉搜索文件用的工具，它的原理和Windows下的“Google桌面搜索”有点类似，是通过事先建立数据库的方式，来达到高速查找目标文件的目的。

若没有locate，则需先安装
# yum install mlocate

更新文件数据库
# updatedb

停止打印服务

如果不准备提供打印服务，停止默认被设置为自动启动的打印服务。需要用root先登录
# /etc/rc.d/init.d/cups stop　 ← 停止打印服务
Stopping cups: 　　　　　　 　　　　[ OK ]　 　　← 停止服务成功，出现“OK”
# chkconfig cups off　 ← 禁止打印服务自动启动
# chkconfig –list cups　 ← 确认打印服务自启动设置状态
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off　 ← 0-6都为off的状态就OK（当前打印服务自启动被禁止中）

停止ipv6

# ifconfig -a　← 列出全部网络接口信息
sit0 Link encap:IPv6-in-IPv4　← 确认ipv6是被启动的状态

然后修改相应配置文件，停止ipv6。
# vi /etc/modprobe.conf　← 修改相应配置文件，添加如下行到文尾：
alias net-pf-10 off
alias ipv6 off
# shutdown -r now 　← 重新启动系统，使设置生效

最后确认ipv6的功能已经被关闭。
# ifconfig -a　← 列出全部网络接口信息

安装多线程下载工具

axel：http://axel.alioth.debian.org/
#tar zxvf axel-XXX.tar.gz
#cd axel-1.0a/
#./configure
#make
#make install

axel下载使用语法：
#axel -n 线程数 -o 下载目录 下载URL

安装杀毒软件

avg8.5 free for linux edition

http://download.avg.com/filedir/inst/avg85lms-r732-a3168.i386.tar.gz

解压后，运行sh安装脚本，根据提示自动完成安装

默认安装在/opt/avg目录下

安装最后需要输入授权码
avgctl –register 8FREE-VHRDW-PAP8C-E64FA-9ZMGD-6D6L2-EEHG
这个序列号我可上网找了好久，感谢Google！

没有可以回车跳过，以后再次输入，avgctl –register XXXXXXX-XXXXX-XX-XXX-XX-XXX-XXXX

/*
* 安装完成后提示：
Installing ‘avgd’ service initscripts…
Registering ‘avgd’ service to runlevels…
*/
/*
* 进程命令说明
DAEMONS:
avgd — general AVG daemon; starts first, manages other AVG daemons
avgavid — AVI daemon; loads AVI into shared memory
avgsched — scheduler for planning periodic events (update etc.)
avgtcpd — e-mail scanning daemon; supports SMTP, AVG, and Milter protocol
avgspamd — anti-spam daemon
avgscand — anti-virus daemon
avgupd — update daemon
avgoad — on-access daemon

COMMAND-LINES:
avgctl — basic control of AVG product, such as launching, stopping,
restarting, registration, and getting statistics from running
daemons
avgcfgctl — can get and set configurations values
avgscan — launch on-demand scan of requested path
avgupdate — run virus database update or program update via avgupd with
specified parameters
avgdiag.sh — diagnostic tool for easy collection of troubleshooting data
*/

初次安装完毕后，需要启动avg
# /etc/rc.d/init.d/avgd start

添加自启动
# chkconfig avgd on
# chkconfig –lisst avgd

初次安装完毕后，升级杀毒库
# avgupdate

杀毒
# avgscan -o 杀毒目录
（注：参数-o表示开启回显）
或生成杀毒结果报告
#avgscan –report=结果报告文件路径和文件名 杀毒目录

升级OpenSSL和OpenSSH

openssl-0.9.8m-beta1
# cd openssl-0.9.8m-beta1
# ./config –prefix=/usr/local/openssl
# make
# make install

openssh-5.3p1
# ./configure \
“–prefix=/usr” \
“–with-pam” \
“–with-zlib” \
“–sysconfdir=/etc/ssh” \
“–with-ssl-dir=/data/tools/openssl” \
“–with-md5-passwords”
# make
# make install

配置ssh登录密钥

1、修改SSH的配置文件
# vi /etc/ssh/sshd_config　 ← 用vi打开SSH的配置文件
/*
* 修改如下
Protocol 2　← 修改后变为此状态，仅使用SSH2
ServerKeyBits 1024　← 修改后变为此状态，将ServerKey强度改为1024比特
PermitEmptyPasswords no　 ← 修改后变为此状态，禁止空密码进行登录
UseDNS no
*/
2、重新启动SSH服务，让刚才修改的配置文件生效
#/etc/rc.d/init.d/sshd restart

3、登录为一个一般用户，基于这个用户建立公钥与私钥。（这里以 root 用户为例）
# ssh-keygen -t rsa 　← 建立公钥与私钥
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kaz/.ssh/id_rsa): 　← 钥匙的文件名，这里保持默认直接回车
Created directory ‘/home/kaz/.ssh’
Enter passphrase (empty for no passphrase): 　← 输入口令
Enter same passphrase again: 　 ← 再次输入口令
Your identification has been saved in /home/kaz/.ssh/id_rsa.
Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.
The key fingerprint is:
tf:rs:e3:7s:28:59:5s:93:fe:33:84:01:cj:65:3b:8e centospub@sample.centospub.com
4、建立公钥与密钥，以及对应于客户端的一些处理。
# cd ~/.ssh　 ← 进入用户SSH配置文件的目录
# ls -l　 ← 列出文件
total 16
-rw——- 1 centospub centospub 951 Sep 4 19:22 id_rsa　 ← 确认私钥已被建立
-rw-r–r– 1 centospub centospub 241 Sep 4 19:22 id_rsa.pub　 ← 确认公钥已被建立

$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys　 ← 公钥内容输出到相应文件中（这个文件名是根据ssh配置文件中的设置而定，默认即authorized_keys）
# rm -f ~/.ssh/id_rsa.pub　 ← 删除原来的公钥文件
# chmod 400 ~/.ssh/authorized_keys　 ← 将新建立的公钥文件属性设置为400
5、用winscp连接上服务器后到相应用户的目录/home/yobbozhu/.ssh/中下载id_rsa私钥文件
6、在puttygen中根据私钥生成putty能够使用的ppk类型的私钥文件
7、在putty中用root账号登录
login as: root
若出现以下信息，则表明私钥加载成功
Authenticating with public key “imported-openssh-key”
Passphrase for key “imported-openssh-key”: ← 输入创建密钥时设置的保护密码即可登录系统
8、再次修改SSH的配置文件
# vi /etc/ssh/sshd_config
/*
* 修改如下
PasswordAuthentication no　← 修改后变为此状态，不允许密码方式的登录
*/
9、修改完成后，再次重启ssh服务
#/etc/rc.d/init.d/sshd restart
10、再次使用root登录，会拒绝登录；只有使用yobbozhu这个一般用户账号，并且正确加载了私钥才可以输入密码登录。