linux模版1.1安装必要软件包

1、第 章linux 优化1.1 安装必要包一、关闭selinux由于安装服务、中，经常和selinux，在国内生产环境中，都是关掉selinux。默认是enforcing 启用状态disabled 是完全关闭状态permissive 是打印警告，selinu 不生效这种修改只能重启生效gentenforce0 临时关闭selinux，使用gentenforce 查看当前 selinux 状态上传命令安装系统后通过执行yum install lrzsz-y sz -y filename上传命令rz -y字符集设置rootwww # LANG=en#先调整成英文字符集，以方便下面命令过滤中文字符串l

2、inux 常见字符集错误Failed to set locale, defaulting to C用locale 检测，出现如下提示：查询可知locale 是用来设置语言环境的，故此需要查看并正确设置locale执行命令后重新登录即可关闭 SELinux 功能1）修改配置文件，使关闭SELinux生效：rootwww # sed -i INUX=enforcing/SELINUX=disabled/ /etc/selinux/config2）临时关闭SELinux，可在命令行执行如下命令：echo export LC_ALL=en_US.UTF-8/etc/profilelocale：Cann

3、ot set LC_CTYPE to default locale： No such file or directory locale：Cannot set LC_MESSAGES to default locale： No such file or directory locale：Cannot set LC_ALL to default locale： No such file or directoryvi/etc/selinux/config/配置文件yum -y install lrzsz关闭 iptablesLinux 服务器内核参数优化优化方法是执行vi/etc/sysctl.co

4、nf 命令到文件结尾，然后拷贝如下内容并保存。以下参数是对iptables的优化，不开会提示，可以忽略不理将上面的内核参数值加入/etc/sysctl.conf 文件中，然后执行如下命令使之生效：rootwww # sysctl -pnet.nf_conntrack_max = 25000000filter.nf_conntrack_max = 25000000filter.nf_conntrack_tcp_timeout_established = 180filter.nf_conntrack_tcp_timeout_time_wait = 120filter.nf_conntrack_tc

5、p_timeout_close_wait = 60filter.nf_conntrack_tcp_timeout_fin_wait = 120net.ipv4.tcp_fin_timeout = 2net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_syns = 1 net.ipv4.tcp_keepalive_time = 600net.ipv4.ip_local_port_range = 400065000net.ipv4.tcp_max_syn_backlog = 16384net.ipv4.tcp_max_

6、tw_buckets = 36000net.ipv4.route.gc_timeout = 100net.ipv4.tcp_syn_retries = 1net.ipv4.tcp_synack_retries = 1net.core.somaxconn = 16384dev_max_backlog = 16384net.ipv4.tcp_max_orphans = 16384roottools# chkconfig -list|grptablesiptables0:off1:off2:off3:off4:off5:off6:offroottools# /etc/init.d/iptables

7、stopiptables: Setting chains to policy ACCEPT: filter OK iptables: Flushing firewall rules: OKiptables: Unloading modules: OKrootwww # chkconfig iptables off#关闭开机自启动命令，前面已经关闭这里就无需执行rootwww # setenforce 0rootwww # getenforce/server/scripts/del_file.sh rootoldboy # cat /server/scripts/del_file.shfind

8、/var/spool/tfix/drop/ -type f |xargs rm -frootoldboy # echo 00 00 * * * /bin/sh/server/scripts/del_file.sh /dev/null 2&1 /var/spool/cron/root rootoldboy # crontab -l#del cntmqueue files by oldboy at 2010-09-2600 00 * * 0 /bin/sh /server/scripts/del_file.sh /dev/null 2&11.1.2cd 命令1.1.3rpmrm -rfcp在 cp

9、-a i f p r u源文件目标文件的第一个中括号中可加入如下参数。-a：相当于-dpr。-d：若源文件为文件（link file），则文件属性而非本身。-p：连同的属性一起过去，而非使用默认属性。-r：递归，用于目录。-f：强制，若目标已经存在且无法开启，则移除后再尝试。-i：若目标文件已经存在，在覆盖时会先询问。rpm -e -nodeps包名-nodeps不管依赖cd: change directory家目录，主目录, home directorycd USERNAME: 进入指定用户的家目录cd -:在当前目录和前一次所在的目录之间来回切换p: 命令管道文件(pipe) s: 套接字

10、文件(socket)文件权限：9 位，每 3 位一组，每一组：rwx(读，写，执行), r-文件硬 的次数文件的属主(owner)文件的属组(group)文件大小(size)， 是字节时间戳(timest )：最近一次被修改的时间:acs修改:modify，文件内容发生了改变改变:change，metadata，元数据-h：做转换-a: 显示以.开头的隐藏文件. 表示当前目录. 表示父目录-A:显示除. . 外的所有文件-d: 显示目录自身属性 而不是显示其下的文件-i: index node, inode-r: 逆序显示-R: 递归(recursive)显示 列出所有子目录的文件第 章apa

11、che 安装及配置1.1 可能安装1)编译安装 apr2) 编译安装 apr-util1.2 编译安装 httpd-2.4.3安装需要的依赖库 一般不需要1.1 安装 apache#mkdir -p /home/oldboy/toolsroot# cd /home/oldboy/tools/roottools# wget/apache/httpd/httpd-2.2.31.tar.gz # tar zxvf httpd-2.2.31tar.gz# cd httpd-2.4.3# ./configure -prefix=/application/apache2.2.31-enable-defla

12、te-enable-so-enable-expires-enable-rewritepmqahttpd 查询是否安装了 Apache rpme 包名卸载安装程序rpme-nodeps 包名卸载安装程序不产生依赖#检查是否安装有依赖库yum instally gccglibcmongd gd-devel xinetd openssl-devel zlibzlib-devel ncurses-develgcc-c+ wget tree vim lsof apr*# tar xf apr-util-1.4.1.tar.bz2 # cd apr-util-1.4.1# ./configure -pre

13、fix=/usr/local/apr-util -wipr=/usr/local/apr # make & make install# tar xf apr-1.4.6.tar.bz2 # cd apr-1.4.6# ./configure -prefix=/usr/local/apr # make & make installyum -y install pcre-devel出错checking for zlib location . not found解决方法apache 命令环境变量重新登陆，这样httpd令可以执行了1.5 查看启动是否成功apache 目录说明1.2apache 主要

14、配置文件 httpd.conf1.2.1apache 虚拟主机设置1）修改httpd.conf 末尾添加Listen NameVirtualHost Include conf/vhost/*.conf/usr/local/apache/bin/modules/logs/htdocs/confroot# lsof -i :80DUSERFDTYPE DEVIIZE/OFF NODE NAMEhttpd1786root4uIPv6142700t0TCP *:http (LISTEN) httpd1788 daemon4uIPv614270 0t0 TCP *:http (LISTEN) httpd

15、1789 daemon4uIPv6142700t0TCP *:http (LISTEN) httpd1790 daemon4uIPv6142700t0TCP *:http (LISTEN)apachectl -t检查语法apachectl -k start启动服务# vi /etc/profile.d/httpd.shexport PATH=$PATH:/usr/local/apache/bin#yum install zlib zlib-devel -y-enable-headers-enable-moudles=most-with-mpm=worker-wipr=/usr/local/ap

16、r#可能安装-wipr-util=/usr/local/apr-util#可能 # make & make install2）编辑/vhost 内的配置文件options控制有三个命令1.3 认证apache 提供htpasswd 命令用于创建和修改认证口令文件在/bin 目录下执行在/usr/local/apache/conf 目录下创建user.list 文件，并在文件里添加一个admin 用户./htpasswd -c /usr/local/apache/conf/users.list admin nesswdre nesswdadding passwd for user adminOr

17、der 指令用于执行规则先后顺序Order Allow Deny先允许后Order Deny AllowAllowAllow from All所有主机Allow from IP某个IP 或 IP 段DenyNone: 不支持任何选项Indexes: 允许索引目录FollowSynLinks: 允许符号指向的原文件Includes: 允许执行服务端包含（SSI）ExecCGI: 允许运行 CGI All: 支持所有选项mkdir -p vhost cat ServerNameRoot /data/www/01 Options Indexes FollowSymLinks AllowOverrid

18、e NoneOrder allow,deny Allow From All用户认证在httpd.conf 配置文件段中进行设置涉及主令1）AuthName 指令设置使用指定的域，会显示给用户的提问框中2）AuthType用于选择用户认证类型basic 或digest 主要是basic3）AuthUserFile用于设定认证的用户名和的文件名字4）Require 用于设置哪些用户允许指定的资源使用 Diretory 段设置/usr/local/apache/htdocs/bm 目录属性，修改httpd.conf 配置文件第章 iptables 配置案例iptable t table AD cha

19、in rule-specification optionsiptables A INPUT p tcp dport 52113 j DROP封端口-jump-jACCEPTDROP(丢弃)REJECT（）iptables-L n查看规则-F清除所有规则 默认规则不清空-X 删除自定义规则-Z数据包计数器清零-A 添加规则 成为最后一条规则-I添加规则 第一条-D删除规则-s匹配数据包来源 ip单个或网段-i从哪个接口进来-p协议 tcp udp Option Index FollowSymLinks AllowOverride NoneAuthType Basic AuthName bm_au

20、thAuthName /usr/local/apache/conf/users.list #admin 用户可以require user admin Order deny,allow Deny form allAllow from 开始配置iptables企业自动封ip#!/bin/sh/bin/nets-na|grep ESTABLISHED|awk pr$5 |awk -F: pr$1|sort|uniq -c|sortiptables -F-X-Z删除所有iptables -A INPUT -p tcp -dport 22 -s /24 -j ACCEPT允许自己 ssh 端口通过ipt

21、ables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT本机可以进入iptables -P INPUT DROP默认规则不让进 不过最后检查默认iptables -P OUTPUT ACCEPT出去可以iptables -P FORWARD DROP转发不可以iptables -A INPUT -s /24 -p all -j ACCEPT 允许合法的进入iptables -A INPUT -p tcp -dport 80 -j -ACCEPT 允许iptables -t filter -A INPUT -p icmp -

22、icmp-type 8-j ACCEPT 允许同允许 ftp 状态包iptables -A INPUT -mse -se ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -mse -se ESTABLISHED,RELATED -j ACCEPTnmap 34 -p 1-65535扫描端口重启机器规则所以/etc/init.d/iptables save保存文件检查规则文件都是按顺序从上到下检查默认规则最后检查vi /etc/sysconfig/iptables/etc/init.d/iptables reload以后更改配置文件iptable

23、s A INPUT2p tcp dport 52113 j DROP在第二条规则添加ss lntup |grep ssh查看 ssh 端口iptables t filter A INPUT i eth0 s /24 j DROP iptables -t filter -A INPUT -i eth0! -s 04 -j DROP抛弃所有不是 04 的数据iptables -t filter -I INPUT -p icmp -icmp-type 8 -i eth1 -s -j DROP某个网段linux 优化 更改root 和 ssh 端口iptables -A INPUT -p tcp -d

24、port 52113 ! -s /24 -j DROP封不是某网段 52113 端口iptables -A INPUT -p ! tcp不是 tcp 协议匹配网段iptables -A INPUT -s /24第四章 rsync4.1服务端安装 rsyncRsync:RemoteRynchronization 本地或的同步工具，支持全量，增量备份，删除文件和目录rsync daemon配置文件/etc/rsyncd.confuid = nobody#rsync 对后面模块中的 path 路径拥权限 gid = nobody#rsync 对后面模块中的path 路径拥权限 use chroot

25、=nomax connections = 4#定义连接数 4 file = /var/run/rsyncd.lock file = /var/run/rsync.lock log file =/var/run/rsyncd.log# exclude = lost+found/ # transfer logging = yes timeout = 900# ignore nonreadable = yes# dont compress = *.gz *.tgz *.zip *.z *.Z *.rpm *.deb *.bz2# ftppath = /home/ftp#comment = ftp e

26、xport areaignore errors#忽略错误read only = false#false 才能上传文件，true 不能上传文件list = false#文件列表-avz 相当于-vzrtopgDl 生产环境使用参数-a.archive 归档模式，表示以递归方式传输，并保持文件所有属性，等于以下黄色参数-t,-times 保持文件时间信息-o,-owner 保持文件属主信息-p,-perms 保持文件权限-g,-group 保持文件属组信息-P,-progress 显示同步过程进度-D,-devi保持设备文件信息-l,-links 保持软连接MAND 使用信道协议，制定替代rsh

27、的s程序。例如：sshexclude=PATTERN指定排除不需要传输的文件模式-bwlimit=RATE 限制同步的速度可以 man rsyncd.conf 查看配置setenforce 0 关闭 selinux4.1.7 以守护进程方式启动 rsync 服务在客户端只保存rsync -avz rsync_backup31:oldboy /data虚拟用户是配置文件的 oldboy 模块第五章 nfs服务器端安装mount 源 目标例如 mount 192.168.115:/在提供 NFS 服务之前必须先启动 rpcbind 服务才行。yum install nfs-utils rpcbin

28、d yecho ” rsync_”oldboy”/etc/ rsync.passwordod 600 /etc/rsync.password 也要注意权限useradd s rsync /sbin/nologinn -R rsync.rsync /oldboy 注意要同步目录权限echo ” rsync_backup:oldboy”/etc/ rsync.password#虚拟用户： od 600 /etc/rsync.password 注意保存文件权限，否则会出错rootrsync-server-1/#rsync-daemonsesusSELinux sus:enabledSELinuxfs

29、 mount: /sys/finux SELinux root directory:/etc/selinux Loaded policy name:ed Current mode:permissive Mode from config file: enforcingPolicy MLS sus:enabled Policy deny_unknown sus:allowedMax kernel policy ver:28hosts allow = /24auth users = rsync_backup#虚拟用户 同步时需要这个用户secrets file = /etc/rsync.passwo

30、rd#文件一般修改 NFS 配置文件后，是不需要重启 NFS 的，直接在命令行执行/etc/init.d/nfs reload 或 exportfs-rv 即可使修改的/etc/exports 生效。exportfs 命令启动检查先启动 rpc再启动 nfs 服务配置 NFS 及 rpcbind 服务在系统开机或重新启动后自动运行令如下配置 NFS 服务器端服务开机自启动实战配置 NFS 服务器端例如注意/data/24 (rw ,sync)允许客户端读写 同步到服务器磁盘24 和 ( 不能有空格vi /etc/exportsrootnfs-server # chkconfig rpcbind

31、 on rootnfs-server # chkconfig ntail -3 /etc/rc.local#start up nfs serivce by oldboy at 20150613/etc/init.d/rpcbind start/etc/init.d/nfs startservice nfs start出现很多信息rpcinfo -p localhost 确认NFS 是否启动rootnfs-server # lsof -i 111端口是否启动#chkconfig -list rpcbind=检查rpcbind 开机是否自启动了ps -ef|egrep rpc|nfs/usr/sbin/rpcbin