SUSE Linux操作系统集成规范

1、 第 PAGE 155 页 共 NUMPAGES 156 页 SUSE Linux操作系统集成规范 目录 TOC o 1-3 h z u HYPERLINK l _Toc372724638 1.文档说明 PAGEREF _Toc372724638 h 6 HYPERLINK l _Toc372724639 1.1.编写目的与适用范围 PAGEREF _Toc372724639 h 6 HYPERLINK l _Toc372724640 2.服务器操作系统安装 PAGEREF _Toc372724640 h 6 HYPERLINK l _Toc372724641 2.1.前提条件 PAGEREF

2、 _Toc372724641 h 6 HYPERLINK l _Toc372724642 2.1.1.软件需求 PAGEREF _Toc372724642 h 6 HYPERLINK l _Toc372724643 2.1.2.硬件需求（最低系统要求） PAGEREF _Toc372724643 h 6 HYPERLINK l _Toc372724644 2.2.SLES操作系统安装 PAGEREF _Toc372724644 h 7 HYPERLINK l _Toc372724645 2.2.1.基本配置 PAGEREF _Toc372724645 h 7 HYPERLINK l _Toc3

3、72724646 2.2.2.时区配置 PAGEREF _Toc372724646 h 12 HYPERLINK l _Toc372724647 2.2.3.分区配置 PAGEREF _Toc372724647 h 13 HYPERLINK l _Toc372724648 2.2.4.软件配置 PAGEREF _Toc372724648 h 23 HYPERLINK l _Toc372724649 2.2.5.语言配置 PAGEREF _Toc372724649 h 28 HYPERLINK l _Toc372724650 2.2.6.网络配置 PAGEREF _Toc372724650 h

4、33 HYPERLINK l _Toc372724651 2.2.7.用户配置 PAGEREF _Toc372724651 h 38 HYPERLINK l _Toc372724652 3.时钟同步 PAGEREF _Toc372724652 h 43 HYPERLINK l _Toc372724653 4.DNS配置 PAGEREF _Toc372724653 h 44 HYPERLINK l _Toc372724654 5.系统服务 PAGEREF _Toc372724654 h 45 HYPERLINK l _Toc372724655 6.系统参数 PAGEREF _Toc3727246

5、55 h 46 HYPERLINK l _Toc372724656 6.1.环境变量 PAGEREF _Toc372724656 h 46 HYPERLINK l _Toc372724657 6.2.内核参数 PAGEREF _Toc372724657 h 46 HYPERLINK l _Toc372724658 6.3.配置hosts PAGEREF _Toc372724658 h 47 HYPERLINK l _Toc372724659 7.安全配置 PAGEREF _Toc372724659 h 47 HYPERLINK l _Toc372724660 8.审计策略（可选配置） PAGE

6、REF _Toc372724660 h 51 HYPERLINK l _Toc372724661 9.网络访问策略以及双网卡绑定 PAGEREF _Toc372724661 h 52 HYPERLINK l _Toc372724662 9.1 网络访问策略 PAGEREF _Toc372724662 h 52 HYPERLINK l _Toc372724663 9.2 双网卡绑定 PAGEREF _Toc372724663 h 52 HYPERLINK l _Toc372724664 9.3 静态路由配置 PAGEREF _Toc372724664 h 54 HYPERLINK l _Toc3

7、72724665 10.ssh2配置策略 PAGEREF _Toc372724665 h 57 HYPERLINK l _Toc372724666 10.1 下载软件包 PAGEREF _Toc372724666 h 57 HYPERLINK l _Toc372724667 10.2安装 ssh软件包 PAGEREF _Toc372724667 h 57 HYPERLINK l _Toc372724668 10.3修改ssh服务配置 PAGEREF _Toc372724668 h 57 HYPERLINK l _Toc372724669 10.4 运行ssh服务 PAGEREF _Toc372

8、724669 h 58 HYPERLINK l _Toc372724670 10.5设置开机自动启动ssh服务 PAGEREF _Toc372724670 h 59 HYPERLINK l _Toc372724671 10.6关闭telnet和ftp服务 PAGEREF _Toc372724671 h 59 HYPERLINK l _Toc372724672 11.HP管理工具包安装以及HP驱动程序更新 PAGEREF _Toc372724672 h 59 HYPERLINK l _Toc372724673 11.1 准备工作 PAGEREF _Toc372724673 h 59 HYPERL

9、INK l _Toc372724674 11.2安装HP管理包更新HP驱动程序 PAGEREF _Toc372724674 h 61 HYPERLINK l _Toc372724675 11.3 HP管理包使用方法 PAGEREF _Toc372724675 h 68 HYPERLINK l _Toc372724676 12.SLES HA安装及配置 PAGEREF _Toc372724676 h 70 HYPERLINK l _Toc372724677 13.操作系统备份方法 PAGEREF _Toc372724677 h 70 HYPERLINK l _Toc372724678 14.附录

10、一 PAGEREF _Toc372724678 h 78 HYPERLINK l _Toc372724679 15.附录二 VMWare虚拟机clone后的系统配置修改手册 PAGEREF _Toc372724679 h 79 HYPERLINK l _Toc372724680 15.1 修改主机名 PAGEREF _Toc372724680 h 79 HYPERLINK l _Toc372724681 15.2 修改网络相关配置 PAGEREF _Toc372724681 h 80 HYPERLINK l _Toc372724682 15.3 修改时钟服务器NTP的配置 PAGEREF _T

11、oc372724682 h 82 HYPERLINK l _Toc372724683 15.4、删除NBU软件安装的文件系统（可选，如果不需要安装nbu备份软件，建议执行此操作） PAGEREF _Toc372724683 h 83 HYPERLINK l _Toc372724684 15.5、扩容SWAP分区(视具体情况而定) PAGEREF _Toc372724684 h 83 HYPERLINK l _Toc372724685 15.6、扩容文件系统(视具体情况而定) PAGEREF _Toc372724685 h 84 HYPERLINK l _Toc372724686 15.7、设置

12、网络访问策略(视具体情况而定) PAGEREF _Toc372724686 h 89 HYPERLINK l _Toc372724687 16.附录三 SuSE Linux High Availability Extension安装和配置规范 PAGEREF _Toc372724687 h 90 HYPERLINK l _Toc372724688 16.1. 引言 PAGEREF _Toc372724688 h 90 HYPERLINK l _Toc372724689 16.1.1.编写目的与适用范围 PAGEREF _Toc372724689 h 90 HYPERLINK l _Toc372

13、724690 16.2.系统要求 PAGEREF _Toc372724690 h 90 HYPERLINK l _Toc372724691 16.2.1.软件要求 PAGEREF _Toc372724691 h 90 HYPERLINK l _Toc372724692 16.2.2.硬件要求 PAGEREF _Toc372724692 h 90 HYPERLINK l _Toc372724693 16.2.3.共享存储系统需求 PAGEREF _Toc372724693 h 91 HYPERLINK l _Toc372724694 16.2.4.其它需求 PAGEREF _Toc3727246

14、94 h 91 HYPERLINK l _Toc372724695 16.3.安装SLE_HA PAGEREF _Toc372724695 h 92 HYPERLINK l _Toc372724696 16.3.1.安装方式 PAGEREF _Toc372724696 h 92 HYPERLINK l _Toc372724697 16.3.2.使用外接式软件安装 PAGEREF _Toc372724697 h 93 HYPERLINK l _Toc372724698 16.4.初始化配置 PAGEREF _Toc372724698 h 98 HYPERLINK l _Toc372724699

15、16.4.1.YaST群集模块 PAGEREF _Toc372724699 h 98 HYPERLINK l _Toc372724700 16.4.2.定义通讯通道 PAGEREF _Toc372724700 h 98 HYPERLINK l _Toc372724701 16.4.3.定义身份验证设置 PAGEREF _Toc372724701 h 99 HYPERLINK l _Toc372724702 16.4.4.配置Cluster服务 PAGEREF _Toc372724702 h 100 HYPERLINK l _Toc372724703 16.4.5.配置Csync2 PAGERE

16、F _Toc372724703 h 101 HYPERLINK l _Toc372724704 16.4.6.同步群集节点间的连接状态 PAGEREF _Toc372724704 h 103 HYPERLINK l _Toc372724705 16.4.7.手动同步配置文件 PAGEREF _Toc372724705 h 104 HYPERLINK l _Toc372724706 16.4.8.初始化SBD PAGEREF _Toc372724706 h 105 HYPERLINK l _Toc372724707 16.5.服务资源配置 PAGEREF _Toc372724707 h 106

17、HYPERLINK l _Toc372724708 16.5.1.添加STONITH资源 PAGEREF _Toc372724708 h 110 HYPERLINK l _Toc372724709 16.5.2.添加服务资源组 PAGEREF _Toc372724709 h 115 HYPERLINK l _Toc372724710 16.6.HA附录 PAGEREF _Toc372724710 h 126 HYPERLINK l _Toc372724711 17.附录四：HP G8 服务器Firmware升级 PAGEREF _Toc372724711 h 127 HYPERLINK l _

18、Toc372724712 18.附录五：HP G8 服务器阵列卡检查和配置 PAGEREF _Toc372724712 h 132 HYPERLINK l _Toc372724713 18.1.阵列卡状态检查 PAGEREF _Toc372724713 h 133 HYPERLINK l _Toc372724714 18.2. 阵列卡配置 PAGEREF _Toc372724714 h 134 HYPERLINK l _Toc372724715 19.附录六：SLES系统NTP配置调整步骤 PAGEREF _Toc372724715 h 137 HYPERLINK l _Toc37272471

19、6 20.附录七：SLES健康检查列表 PAGEREF _Toc372724716 h 141服务器操作系统安装2.1.前提条件2.1.1.软件需求SuSE Linux Enterprise Server 11 SP2 x64安装介质（DVD光盘）2.1.2.硬件需求（最低系统要求）Pentium* III 500 MHz 或更高版本处理器 (建议使用Pentium 4 2.4 GHz 或更高版本，或是任一 AMD64/Intel*EM64T 处理器)512 MB 物理 RAM (建议 1 GB)2 GB 可用磁盘空間 (建议更大)800 x 600 显示器分辨率 (建议 1024 x 768

20、 或更高)2.2.SLES操作系统安装2.2.1.基本配置在安装SLES操作系统之前，需先对服务器进行Firmware升级，参见附录五：HP G8服务器Firmware升级。对于HP G8机器，开机 按F10，智能安装加载引导HP驱动此处请先进入Perform Maintenance中的ACU确认阵列卡配置的raid类型为raid1，参见附录五：HP G8服务器阵列卡检查和配置点击 Configure and install点击Next选择suse linux ，并挂载安装介质，后选择next点击next系统自动重启后，选择从光盘引导的启动方式。在开机画面中选择Installation进入安装

21、界面，并注意选择分辨率，如果显示器分辩率较低，请选择800*600，液晶显示器通常使用1024*768，请参考相关显示器的性能指标。选择安装期间以及所安装系统要使用的语言。阅读授权合约，然后选择“我接受许可证条款”。选择“全新安装”，点“下一步”继续2.2.2.时区配置设置时区后， 点“下一步”进入安装设置界面2.2.3.分区配置如上图，点“分区”，进行系统分区设置, 系统分区建议按如下分区表建立：分区加载点LVM建议大小文件系统格式备注主分区1/boot204Mext3引导分区LVM（剩余空间）/dev/vg00/lvroot50Gext3根分区swap/dev/vg00/lvswapswa

22、p交换分区/usr/openv/dev/vg00/lvopenv5Gext3软件安装目录说明：/boot分区不能采用LVM，否则系统无法启动上述分区方案对于一般来说没有将所有磁盘容量完全用完，可以根据应用在余下的容量中建立相应的逻辑卷。 swap的大小按照如下规则：1、内存小于8G，swap为内存的2倍2、内存大于8G，swap大小为16G3、如果有应用对于swap有特殊要求，按照应用的要求划分。默认文件系统格式为ext3，对于特殊情况可以选择其他文件系统（比如磁盘大小超过16T，可以使用xfs或者btrfs文件系统）；如上图，选择“自定义分区(仅限专家)”,点“下一步”，进入专家分区工具界面

23、：如上图，点“添加”，进入如下画面：选择“主分区”，点“下一步”，进入如下界面：选择“自定义大小”，输入“204M”，点击“下一步”进入如下界面；建立boot分区，文件类型为Ext3，点“完成”接着用剩余空间创建LVM分区, 点“添加”，选择“主分区”, 点“确定”选择“最大大小”，点击“下一步”如下图，文件系统选择“0 x8E Linux LVM”, 选择“不装入分区”，点“完成”；选择“卷管理”，如下图；点“添加卷组”进入物理卷设置界面卷组（VG）命名规范外置卷组即指操作系统中本地硬盘以外的共享存储空间。外置卷组必须采用 vg“主机名”“用途简称”的命名方法，主机名的第一个字母应大写。用途

24、简称指具体的数据库类型或应用类型，包括：informix - I，sybase ASE - S，weblogic - W，tuxedo - T，备份 - B，应用 - A等，根卷保持“vg00”命名不变。按照上述规范，若主机名称为abcdef，则该主机根卷名称为vg00，该主机上为Weblogic配置的共享卷名称为“vgAbcdefW”，为sybase配置的共享卷为“vgAbcdefS”，为备份配置的共享卷名称为“vgAbcdefB”，为应用配置的共享卷为vgAbcdefA。逻辑卷（LV）用于操作系统的逻辑卷命名采用如下表所示方案(Weblogic和Tuxedo可参照此命名方法，需注意挂载点的

25、第一个字母应大写)：逻辑卷用途命名方法(匈牙利表示法)举例用于文件系统lv + 挂载点名称lvMountname用于保留交换区的文件系统lvsw + 挂载点名称lvswMountname说明：用于数据库的逻辑卷命名方法，请参见浦发银行数据库标准化配置规范；划分的逻辑卷必须由特定的用途，严禁系统中存在未使用的逻辑卷。外置卷具体需求，请参见第14节附录一。选中“vg00”，点击“逻辑卷”进入逻辑卷设置界面点“添加”依次创建swap、root逻辑卷接着输入分区大小；如上图，点“下一步”，选择文件系统类型“swap”，选择装入点“swap”，点“完成”；点“添加”依次创建root逻辑卷全部创建完后点击

26、“接受”完成分区配置。2.2.4.软件配置点击“专家”标签页，出现如下界面：如上图，点“软件”，进入软件管理界面：如上图，在左边窗口中取消“打印服务器”，“Novell AppAmor”,点“细节”进入如下界面然后在过滤器下拉框中选择“搜索”；说明：根据项目需求不同，所需软件不同，请参见第14节附录一，这里以vsftpd为例； 如上图，在左边窗口查找框输入“vsftpd“搜索”，在右边的窗口软件列表方框内打勾。点“接受”，出现如下界面；如上图，点击“接受”，完成软件选择，出现如下界面：如上图，点击“继续”，完成软件依赖包选择，出现如下界面：2.2.5.语言配置点击“语言”，会出现如下界面：选择

27、所需要的语言（具体需求请参见第14节附录一），点击“接受”，会出现如下界面：点击“安装”，会出现如下界面： 点击“安装”，确认安装后开始执行安装，如下图：系统基本安装完成后，重新启动系统，出现如下界面：重启完系统之后，会进行系统配置，出现如下界面：如上图，输入root用户口令root123，点“下一步”，进入主机名和域名设置界面如上图，输入主机名和域名，不选择“通过 DHCP 更改主机名”，点击“下一步”，进入网络配置界面：主机命名规则：主机名要求采用拼音简称或英文简称的方式，对于应用服务器可在系统名称拼音首字母后加ap，对于数据库服务器则在系统名称拼音首字母后加上db，统一小写，长度在4 8

28、个字符之间。举例说明：若文件传输系统采用ftc作为应用简称，则其应用服务器应命名为ftcap，其数据库服务器主机名应命名为ftcdb；若主机名不带数字，则表明为单机系统；若主机名包含数字则表明为群集成员，通常：1代表主机，2代表备机。举例说明：以上述文件传输系统应用服务器为例，若其应用服务器作双机，则主、备机应分别命名为：ftcap1和ftcap2；灾备机则在主机名前加上zb。举例说明：以上述文件传输系统应用服务器为例，其应用服务器的灾备主、备机应分别命名为：zbftcap1和zbftcap2。说明：为保证主机名不冲突，编制集成方案时需和数据中心商讨、确认主机名称。若数据中心发布命名规范，则按

29、规范执行。2.2.6.网络配置点击“禁用IPV6”按钮。点击“防火墙禁用”按钮。点击“网络接口”，进入网络设置界面：点击“编辑”，进入网卡设置界面，配置静态IP地址和子网掩码，点击“下一步”说明：网络配置需求，请参见第14节附录一。点“下一步”, 然后选择“路由选择”，如下图：如上图，输入网关地址，点击“确定”，回到网络配置界面。点击“下一步”，保存网络配置。保存网络配置后，出现测试因特网连接的界面，如下图：如上图，选择“否，跳过此测试”，点“下一步”，进入安装设置界面：如上图，选择“跳过配置”，点“下一步”，进入选择用户认证方式界面：2.2.7.用户配置如上图，接受系统默认的“本地（/etc

30、/passwd）”，点“下一步”，出现增加用户界面：如上图，新增的组和用户，具体需求请参见第14节附录一。说明：系统帐号要求在系统集成和应用规划时，必须达到如下要求：系统不存在无用的账号；除root以外，所有系统的账号均可更改；一般情况不允许将各类账号/口令的明文存储在文件中，除非受到技术限制（如只能通过文件存放明文）；某些账号仅供分行或者业务人员FTP使用，对于此类账号，必须进行配置以限制此类账号，应满足如下要求：该类账号仅能通过FTP连接至主机，但不能远程登陆(telnet/rlogin)至相关主机；并且该类账号FTP至主机后，仅能访问固定目录；若分行/业务人员需要登陆至主机以做某些操作，

31、必须提供固定的使用界面，当用户登录后直接进入应用程序环境，若退出应用程序，则直接断开本次连接；必须对密码限制，包括时效限制(口令每6个月修改一次，或按系统重要程度，根据总行、分行关于账户密码管理的相关规定执行)、复杂程度限制(长度最少8位，管理员口令长度16位)、非空限制、重复使用次数限制(不得使用3次之内重复的密码)。帐户口令的设置应遵照上海浦东发展银行信息系统运维帐号管理办法及上海浦东发展银行总行信息科技总部数据中心生产系统运维安全管理规程执行。用户组名、组号、用户名、用户号规范如下：用户名用户ID所属组组ID备注weblogic131weblogic131为weblogic中间件创建tu

32、xedo141tuxedo141为tuxedo中间件创建vlog300vlog300为日常检查创建ovuser110opcgrp110为OpenView创建其他 1100其他 1100其他用户和组的ID需要大于1100Db2400 - 499Db2400 - 499为db2数据库创建oracle201oinstall201为Oracle数据库创建，oracle用户主组dba202为oracle数据库创建oper203用于管理Oracle数据库。（必建）asmadmin204用于安装ASM软件。（如果使用ASM，需要创建）asmdba205用于管理ASM实例。（如果使用ASM，需要创建）asmo

33、per206用于操作ASM实例。（如果使用ASM，需要创建）grid（Oracle使用ASM时需创建）202asmadmin204用于安装ASM软件。（如果使用ASM，需要创建）asmdba205用于管理ASM实例。（如果使用ASM，需要创建）点“下一步”，进入发行说明界面：如上图，点“下一步”，进入硬件配置界面如上图，确认显示器可以支持相应的分辨率(推荐：1024*768)，确认或修改后，点击“下一步”按钮，选中“为Autoyast复制此系统”完成系统安装。时钟同步以root用户登陆服务器，运行yast2 ntp-client, 出现NTP配置界面如上图，选择“New and On Boot

34、”, 选择“Add”填入时间服务器的IP地址x.x.x.x（具体需求请参见第14节附录一), 点“OK”结束时间同步的配置.NTP 服务器信息请与时钟服务器管理员确认：我行总行新建的NTP服务器地址如下：生产9 管理 00 办公 00 业务 灾备58 管理 1办公 1 业务 NTP配置方法详见附录六浦发银行NTP客户端SUSE Linux系统配置步骤，请在配置完NTP服务器后确认硬件时钟和软件时钟是否一致.hwclock -r /查看当前硬件时间hwclock -s /将系统时间设置成和硬件时间一样hwclock -w /将硬件时间设置成和系统时间一样DNS配置SuSE Enterprise

35、Linux作为DNS客户端的配置方法如下 ：修改/etc/resolv.conf文件，添加如下内容 nameserver xx.xx.xx.xx (xx为DNS服务器地址，详细信息请参见第14节附录一)需要注意： 1、“如果在/etc/hosts文件中加入了地址解析的配置，该配置比resolv.conf指向的DNS服务器权限高”。 2、每次修改网卡配置中的DNS并重启该网卡，会刷新resolv.conf中的nameserver。3、SuSE中有nscd缓存服务，在修改DNS、hostname、用户帐户后，需要重启该服务。 rcnscd restart系统服务为提高系统的稳定性，减少系统网络配置

36、上的漏洞，SUSE Enterprise Linux系统必须关闭如下表所示的网络服务:服务名称服务描述cups打印服务postfix邮件服务pcscdsmart卡登录服务smartd磁盘监控服务，对于做过RAID的磁盘无效vsftpdFTP文件传输服务以root用户登陆操作系统进行如下操作：关闭cups、postfix、pcscd、smartd、vsftpd服务chkconfig -level 35 cups offchkconfig -level 35 postfix offchkconfig -level 35 pcscd offchkconfig -level 35 smartd off

37、chkconfig -level 35 vsftpd off提示为修复suse linux 11 sp2 的procps 软件版本bug, 检查rpm -qa |grep procps 软件版本，若procps版本为3.2.7-151.20.1,解决方式：则将procps版本升级到3.2.7-151.26.1，升级方法执行如下命令：rpm Uvh procps-3.2.7-151.26.1.x86_64.rpm系统参数6.1.环境变量编辑/etc/profile文件，加入set -o vi （启用命令行vi模式）TMOUT=300 （终端超时设置）umask 002 （创建文件权限设置）ali

38、as rm=rm -ialias cp=cp -ialias mv=mv -iexport HISTSIZE=1000 (用户历史命令最大条数)export HISTTIMEFORMAT=%Y-%m-%d %H:%M:%S ulimit -c 25000 （当前用户生成core文件的最大大小）编辑/etc/inittab文件：id:5:initdefault:将5修改为3（3表示字符界面网络多用户模式）6.2.内核参数编辑/etc/sysctl.conf具体需求，请参见第14节附录一。编辑完成后使用sysctl -p使配置参数生效2） 如系统使用netapp存储，请检查： more /sys/

39、block/sda/device/timeout 的值已从默认的30修改为180， 如非180则执行linux_gos_timeout-install.sh脚本。 /*如果有多个磁盘,需要检查磁盘相对应的timeout值，本例中只有sda*/6.3.配置hosts编辑/etc/hosts文件：#IP地址主机名 /此行属于注释说明，无需添加到hosts表中41sles11sp2a说明：如果有多个IP地址，请添加多条记录；如果是群集，需要将群集中所有节点的IP地址和主机名都添加到hosts表中，并在群集所有节点中保持一致。安全配置以root用户登陆服务器，运行yast2 security, 出现本

40、地安全性配置界面如下图，选择“密码设置”，进入密码设置界面如上图，选择“测试复杂密码”，要记忆的密码数目选择“3”，密码加密方法选择“MD5”, 密码的最小接受长度改为“8”, 密码有效期的最大值改为“99999”,密码失效期多少天发出警告选择“7”天，点左边“引导设置”进入引导设置界面如上图，对Ctrl+Alt+Del的解释选择“忽略”,点“登录设置”进入登录设置界面如上图，“不正确登陆尝试前的延迟”设置为3，选择“允许远程图形登录”,点“用户添加”进入用户和组ID设置界面如上图，用户ID最大值选择“3000”, 组ID最大值选择“3000”，点“杂项设置”进入杂项界面如上图，文件权限选择“

41、安全”, 点“确定”结束系统的安全性设置。满足监管要求密码长度至少8位，至少包含小写字母和数字需求的设置方法如下：将 /etc/pam.d/common-password 文件内容改为如下：password required pam_cracklib.so retry=3 minlen=8 dcredit=-1 lcredit=-1password required pam_unix2.so use_authtok nullok审计策略（可选配置）系统缺省已经开启syslog服务。系统syslog服务会将所有登录自动记录到/var/log/messages文件中。开启audit审计功能，可以监

42、控指定用户或目录，缺省会监控root的所有登录和操作。如果需要监控某些用户、进程、目录或文件需要添加规则到 /etc/audit.rules 文件中audit日志文件自动保存在/var/log/audit/目录中。启动audit服务 service auditd start添加auidt服务到系统启动项进程 chkconfig auditd on备注：audit日志文件自动保存在/var/log/audit/目录中，每个log文件超过5M时进行轮换，保持最后4个log。可以通过/etc/audit/auditd.conf进行配置。网络访问策略以及双网卡绑定9.1 网络访问策略例如：设置192.

43、168.253.x网段无法使用主机的ssh和telnet服务# vi /etc/hosts.denysshd : /24 或sshd: 192.168.253.in.telnetd : /24 或 in.telnetd : 192.168.253.建议写法，使用拒绝所有，仅允许访问的IP地址或地址段。例：sshd: ALL EXCEPT 00,009.2 双网卡绑定1. 配置加在网卡驱动注意：大多数情况下不需要配置这一步骤，只有某些网卡不能在启动过程中驱动初始较慢没有识别导致绑定不成功，也就是有的slave设备没有加入绑定，才需要配置。在 /etc/sysconfig/kernel 文件中的

44、MODULES_LOADED_ON_BOOT 参数加上网卡的驱动ex.MODULES_LOADED_ON_BOOT=”tg3 e1000”2. 创建要绑定的网卡配置文件编辑 /etc/sysconfig/network/ifcfg-eth*，其中*为数字，例如ifcfg-eth0 , ifcfg-eth1等等。每个文件注释所有内容并添加如下内容：BOOTPROTO=noneSTARTMODE=off# cat /etc/sysconfig/network/ifcfg-eth0和ifcfg-eth1=#USERCONTROL=no#BROADCAST=#ETHTOOL_OPTIONS=#IPAD

45、DR=#MTU=#NAME=79c970 PCnet32 LANCE#NETWORK=#REMOTE_IPADDR=BOOTPROTO=noneSTARTMODE=off=3. 创建bond0的配置文件# vi /etc/sysconfig/network/ifcfg-bond0=BOOTPROTO=staticIPADDR=NETMASK=STARTMODE=onbootBONDING_MASTER=yesBONDING_MODULE_OPTS=mode=1 miimon=100 use_carrier=0 primary=eth0BONDING_SLAVE0=eth0BONDING_SLA

46、VE1=eth1=BONDING_MODULE_OPTS 参数: mode=1 为 active-backup 模式，mode=0 为 balance_rr 模式。4. 对于 active-backup 模式，需要在 BONDING_MODULE_OPTS 参数中加上制定主设备的参数，例如：BONDING_MODULE_OPTS=mode=1 miimon=100 use_carrier=0 primary=eth05. 重新启动network服务# rcnetwork restart6. 注意事项a. 在某些情况下网卡驱动的初始化的时间可能会比较长，从而导致 bonding 不成功，那么可以

47、修改 /etc/sysconfig/network/config 配置文件的 WAIT_FOR_INTERFACES 参数，将其值改成30。b. 配置完bonding之后，可以通过在客户端ping,然后在服务器端拔插网线来验证是否已经正常工作。c. cat /proc/net/bonding/bond0 可以查看bonding的状态。9.3 静态路由配置 在SUSE系统中使用route命令可以查看当前路由表信息，并可以进行添加、删除路由信息。以下操作模拟进行添加、删除、备份、恢复路由。1、添加路由添加临时路由方式：本机网段172.16.232.X/24，添加静态路由，往172.16.220.X

48、/24网段经由20网关：route add -net netmask gw 20注：如果失败，可以指定网络端口：(具体网卡设备根据要添加的路由地址，查找和本机配置了同网段IP的网卡设备)route add -net netmask gw 20 dev eth0本机网段172.16.232.X/24，添加静态路由，往4/24主机经由14网关：route add -host 4 gw 14上述命令是都是添加即时生效的路由方式，但重启网络或者重启服务器后将会丢失。如果需要添加永久有效的路由，还需要使用如下方式：添加永久路由方式：(1) 先备份路由文件/etc/sysconfig/network/ro

49、utes，请执行 cp /etc/sysconfig/network/routes /etc/sysconfig/network/routes.bak (2)编辑/etc/sysconfig/network/routes文件，添加： 20 4 14 55(3)重启网络生效rcnetwork restart注：如果在不能重启网络的情况下，可以两种方式结合使用，先用添加临时路由的方式让路由即时生效，然后在配置文件添加相对应的路由条目，在下次重启时临时添加的丢失了，但是配置文件里的路由条目就生效了。2、删除路由删除上述往172.16.232.X/24网段的路由。route del -net netm

50、ask gw 20删除上述往4主机的路由。route del -host 4 gw 14命令执行后，使用route命令查看当前路由表信息，确认已删除。编辑/etc/sysconfig/network/routes文件，删除相对应的路由条目。注：同添加路由的方式一样，在不允许重启网络的情况下，先用命令删除路由条目，然后再修改路由配置文件。3、备份路由路由配置文件都保存在/etc/sysconfig/network/routes文件中，在每次路由变更前先备份此文件，以便能够及时回退。注：如系统前期的路由添加非本文档方法，此类路由备份方法需酌情分析。cp /etc/sysconfig/network

51、/routes /etc/sysconfig/network/routes.bak4、恢复路由将/etc/sysconfig/network/route文件恢复，重启系统网络服务，即可恢复静态路由。cp /etc/sysconfig/network/routes.bak /etc/sysconfig/network/routesssh2配置策略10.1 下载软件包Suse Linux和Redhat Linux操作系统安装盘中，存在ssh软件包，无须单独再下载。10.2安装 ssh软件包 说明：Linux安装一般会安装ssh软件包，无须安装。# mount /dev/cdrom /media#

52、cd /media/suse/x86_64# rpm -Uvh openssh-*.x86_64.rpm10.3修改ssh服务配置# vi /etc/ssh/sshd_config确认或修改如下配置项：#Protocol 2 修改为Protocol 2ServerKeyBits 1024修改为ServerKeyBits 204810.4 运行ssh服务默认安装好后系统自动启用ssh服务。确认ssh服务是否启动，如下命令：# service sshd statusChecking for service sshd running如果有对应进程，可通过以下命令重启ssh服务：# service s

53、shd restart如果没有对应进程，可通过以下命令启动ssh服务：# service sshd start若要停止ssh服务，可输入：# service sshd stop10.5设置开机自动启动ssh服务# chkconfig -level 35 sshd on# chkconfig -list sshdsshd 0:off 1:off 2:off 3:on 4:off 5:on 6:off10.6关闭telnet和ftp服务1、关闭telnet服务自启chkconfig level 35 telnet off 执行/etc/init.d/xinetd restart使更改生效2、停止f

54、tp服务service vsftpd stop关闭ftp服务自启chkconfig -level 35 vsftpd offHP管理工具包安装以及HP驱动程序更新11.1 准备工作对于HP G8机器，更新HP驱动程序以及HP管理工具包需要做以下准备工作对于 SLES 11 AMD64/EM64T 服务器： glib-1.2.10-15.i386 或更高版本 compat-libstdc+-296-2.96-132.7.2.i386 或更高版本 libstdc+33-32bit-3.3.3-11.9 或更高版本 perl-SNMP-6.3.x86_64 或更高版本 （如下图所示）net-snmp

55、-6.3.x86_64 或更高版本 libnl（需要 QLogic 和 Emulex 驱动程序） 如要构建 NIC 源 RPM，在运行 HP SUM 的本地 Linux 系统上需要使用以下 RPM： gcc-2.96-108.1 或更高版本 （如下图所示）kernel-default-devel（通过源建立 RPM 时需要。尤其是 Red Hat Enterprise Server 5.3 和更高版本。确保除了 kernel-xen-devel 或 kernel-PAE-devel 等内核专用软件包，还安装了 kernel-default-devel） kernel-syms （如下图所示勾选

56、kernel-default-devel和kernel-syms ）RPM 构建工具 11.2安装HP管理包更新HP驱动程序通过SUSE系统挂载SPP光盘 mount /dev/cdrom /mnt执行hp/swpackage/hpsum打开hpsum点击下一步next选择default源点击下一步选中localhost，并点击Enter Credentials输入主机的用户名和密码，（此时如果是刀片服务器，会提示OA的升级，请务必不要选中oa的地址）输入用户名和密码后，next会变成可选状态，点击下一步选择select components选择要安装的驱动或其他组件如果仅为了安装sim服务包

57、，建议按照如下方式选择如果安装驱动和sim服务包，建议按照如下方式选择 （其中驱动程序可根据实际需求选择更新）点击install开始进行安装安装完毕之后显示可以点击view log查看详细的安装记录，查看是否都已安装成功。点击reboot now重启系统至此，spp安装全部完毕11.3 HP管理包使用方法1: 登陆HP homepage方法在ecc操作机中访问https:/IP:2381/ 或 http:/IP:2301/2: 登陆HP ACU方法先在命令行中启用ACU访问命令： cpqacuxe -R在HP homepage的Storage中点击Array Configuration Uti

58、lity选项 使用完成后在命令行中禁用ACU访问命令：cpqacuxe stop3: 登陆HP Insight Diagnostics方法在HP homepage的Webapps选项下点击HP Insight DiagnosticsSLES HA安装及配置请参见附录三：SuSE Linux High Availability Extension安装和配置规范文档操作系统备份方法SUSE Enterprise Linux 操作系统备份可以通过下列方式进行：通过数据中心已经部署的支持SUSE Linux的商业备份软件进行备份，例如NBU、BESR等；若部署在虚拟机上则可以通过虚拟化平台进行备份恢复

59、；通过直接备份重要的系统配置文件实现。方法是定期将配置文件备份至共享存储，恢复时先重装操作系统，再恢复这些文件。操作系统备份参考步骤和命令如下：support -A命令完成后会在/var/log/目录下生成名为nts开头的文件，该文件中有当前系统中系统配置相关的信息。 tar zcvf /mnt/backup.tar.gz / -exclude=/tmp -exclude=/proc -exclude=/media -exclude=/mnt -exclude=/sys四：通过suse Linux 操作系统自带的备份还原工具(一) suse Linux 操作系统备份1:运行 yast2 bac

60、kup 2:点击 backp up manually3:选择将操作系统备份到指定目录和文件，并勾选Local File(备份到本地服务器)或者NFS(备份到远程服务器) 4 如图对File Selection内的选项全部勾选 其中Back Up Files Not Belonging to Any Package: 搜索备份不属于RPM包的文件，如果启用这个选项，将需要更多备份时间，并备份不属于RPM包的文件。Back Up Content of All Packages: 备份所有RPM包的文件。Display List of Files Before Creating Archive: 创