一般生产环境Linux服务器配置

1、一般生产环境Linux服务器配置-标准化文件发布号：（9556EUATWKMWUB-WUNNINNUL-DDQTY-KII一般生产环境Linux服务器配置1生产环境Linux服务器系统版本的选择选择版本64位的Linux操作系统CentOS (Community Enterprise Operating System,中文意思是：社区企业操作 系统)是Linux发行版之一,它是来自于红帽的Red HatEnterprise Linux依照开 放源代码规定释出的源代码所编译而成。山于出自同样的源代码，因此和红帽 商业版的RHEL系统用着同样的高度稳定性。两者的不同，在于CentOS并不包 含红帽

2、的商业支持和一些RHEL商业版隐藏的功能。CentOS是完全开源和免费 的，企业可以在生产环境上自由部署2. 般服务器的初始磁盘分区1) /boot引导分区，存放引导文件和内核等。分区大小设定200Mo一般正式环境下，Linux引导文件及内核全部大小在100M以内。2) swap交换分区，作为虚拟内存使用，用于当物理内存不足时，调用硬盘的一 部分当内存使用。使用虚拟内存，会保障服务器在内存不足的时候不会宕机。一般生产环境服务器内存较大，交换分区大小与内存相同即可3) /分区根分区，将分完/boot和swap分区剩下的空间都分给/分区3. 数据库服务器的初始磁盘分区1) /boot引导分区，分区

3、大小设定200M2) swap交换分区，交换分区大小与内存相同3) 逻辑卷建立LVM逻辑卷，将逻辑卷挂载到相应的文件路径，后期可以轻松扩 充或减小文件系统的大小4) /分区根分区使用逻辑卷，数据库服务器的根分区主要存放系统相关文件、日 志、用户信息等，由于不用存放数据文件，并且可以通过逻辑卷随意扩充，大 小满足系统运行需要即可。lv大小设定200G5) 数据分区为数据库软件和数据库文件单独划分一个逻辑卷分区，以保证数据 的独立性和安全性，如果Linux操作系统崩溃，可以格式化/boot分区和根分区 重新安装系统，而保留数据分区下的数据库软件和数据文件。将所有剩余的卷 组空间都分配给数据分区的逻

4、辑卷，Mysql数据库一般将数据分区挂载在 /usr/local, Oracle数据库一般将数据分区挂载在/u02上4多网卡绑定bond配置生产环境多块物理网卡，需要用bond绑定为一块虚拟网卡对外提供服务，配 置一个ip,可以实现网卡的负载均衡和高可用性，规划生产环境用两块网卡 ethO、ethl 绑定为 bondO1）虚拟网卡bondO配置文件vim /etc/sysconfig/network-scripts/讦cfgbondODEVICE=bondOBOOTPROTO=noneONBOOT=yesIPADDR=NETMASK=GATEWAY=2）物理网卡ethO配置文件vim /etc

5、/sysconfig/network-scripts/ifcfg-ethODEVICE=ethOONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes3）物理网卡ethl配置文件vim /etc/sysconfig/network-scripts/ifcfg-ethlDEVICE=ethlONBOOT=yesBOOTPROTO=noneMASTER=bondOSLAVE=yes4）修改modprobe相关设定文件，并加载bonding模块vim /etc/alias bondO bondingoptions bond mode=0 miimon=100mod

6、e模式：0提供负载均衡和高可用，按顺序轮流把包发给绑定在在bond 口 内的网卡1主备策略，提供高可用性，逻辑简单，同时只有一个网卡处于激活状态，一 个失败，另外一个自动激活miimon：监视网络链接的频度，单位是毫秒5）加载模块（或重启）modprobe bonding6）查看模块加载情况Ismod | grep bonding7）重启网络service network restart8）确认绑定惜况cat /proc/net/b onding /bondOifconfig5 关闭本地防火墙iptables -Fiptables -Lservice iptables save6关闭 Netw

7、orkManager 服务service NetworkManagerstopchkconfig NetworkManager off7.账户安全权限配置1）禁用root以外的超级用户cat /etc/passwd | awk -F 'print $lz$3' | grep ' 0$'检测其他超级用户passwd -I username 锁定用户2）删除不必要的账号awk F : 'print $1! /etc/passwd | grep -E'adm |lp | sync | shutdown | halt | n ews | uucp | o

8、perator | games | gopher1userdel username3）删除不必要的组awk -F :' print $1 * /etc/group | grep E'adm | Ip | news | uucp | games |dip| pppusers | popusers | slipusers1groupdel groupname4）设置root用户口令passwd5）检查空口令账号，如发现则设置口令awk -F: '（$2 = ""） print $1' /etc/shadowpasswd user name6) 口

9、令文件加锁chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadow当需要改密码的时候，要先解锁shadow文件：chattr -i /etc/shadow刀设置root账户自动注销时限vim /etc/profile在l,HISTFILESIZE=H后面加入下面TMOUT=3008）限制普通用户通过su切换为root用户vim /etc/suauth required use_uid如果需要用户可以su成为root,要将其加入wheel组usermod -G 10 username9）限制普通用户无法执行关机、重启、配置网络等敏感操作rm -rf /etc/security/*10）禁用Ctrl+Alt+Delete组合键重新启动机器命令vim /etc/inittab#ca:ctrlaltdel:/s