Linux安装实施规范

Linux系统安装及配置实施规范方案2017年03月29日版权说明本文档版权由中国电信集团江西有限公司信息技术中心所有。未经中国电信集团江西有限公司信息技术中心书面许可，任何单位与个人不得以任何形式摘抄、复制本文档得部分或全部，并以任何形式传播。版本控制目录版权说明 2版本控制 2一、 安装准备 51、 硬件准备： 52、 软件准备： 53、 磁盘RAID规划 54、 收集信息 5二、 安装过程 61、 分区规划 62、 Linux安装 61、 安装前准备 62、 安装Linux基本系统 6三、 系统安装配置 161、 配置默认运行级别： 162、 安装其她软件包： 163、 设置环境变量： 174、 修改系统日志保存设置： 175、 性能监控部署与分析工具使用nmon： 186、 分配置内核启动参数：（可选操作） 187、 配置内核参数：（可选操作） 198、 开启Kdump功能（可选操作） 21四、 应用配置 221、 多路径软件：（可选操作） 222、 多网卡绑定：（可选操作） 223、 配置本地YUM服务,便于添加未安装得软件包（可选操作） 25五、 安全设置 261、 加强系统安全文件保护： 262、 关闭不需要得服务： 263、 删除finger程序,具体方法如下： 274、 帐号安全设置： 275、 /etc/aliases文件： 276、 防止任何人都可以用su命令成为root： 277、 禁止rootSSH登录： 288、 使Control+Alt+Delete关机键无效： 289、 设定登录不活动时间： 2810、 history记录详细得操作时间与访问IP： 2811、 收回系统编译器得权限或删除：（可选操作） 2912、 删除不必要得用户与组用户：（可选操作） 2913、 TCP_Wrappers：（可选操作） 2914、 取消可执行程序得s标志位：（可选操作） 3015、 软NFS（可选操作） 32六、 备份系统最初得重要文件 32附件１：Linux(Unix)时钟同步ntpd服务配置方法 32附件2：linux中ftp得配置管理 34附件3：linux中ftp得配置管理 38安装准备硬件准备：序号确认内容备注设备拆箱随机带光盘与手册归档存放设备上架（机架式）1、上架前注意检查机柜空间、机柜UPS供电冗余、UPS最大功率、设备散热、机器电源检查硬件自检通过连接磁带机、磁盘阵列连接（系统安装完毕后连接）网络设备连通检查软件准备：序号安装介质版本备注1服务器启动光盘2RHELAS5update2磁盘RAID规划硬盘数量RAIDLEVEL备注2RAID13RAID1+hotspare4RAID105RAID10+hotspare5块以上酌情处理 注：一般PC服务器机器本机硬盘也就2块，需要更好得性能与可靠性，推荐四块硬盘做RAID10。收集信息序号内容信息记录1IP地址，掩码，网关、DNS、主机名2root口令安装过程分区规划对于本地硬盘一下目录建立在非LVM管理分区大小分区类型文件系统备注/boot200M主分区ext3非LVM逻辑卷/4G主分区ext3非LVM逻辑卷Swap如果RAM<2G,swap=2×RAM

否则swap=RAM大于4G得swap划分原则，划分多个swap，每个swap大小为4G主分区非LVM逻辑卷/usr10G逻辑分区ext3LVM逻辑卷/var10G逻辑分区ext3LVM逻辑卷/home20G逻辑分区ext3LVM逻辑卷/tmp10G逻辑分区ext3LVM逻辑卷/opt10G逻辑分区ext3LVM逻辑卷剩余空间LVM逻辑卷，暂时不分，作为以后机动空间Linux安装安装前准备选择REDHATAS5、0－64位，硬盘50G，存储在winsd1里，挂载好REDHAT安装盘。安装Linux基本系统进入安装界面，回车：光盘检测界面，选择SKIP跳过：选择语言，简体中文：选择键盘类型，美国英语式：输入安装序列号49af89414d147589选择自定义分区结构，下一步：按照分区要求分区，先划分/boot、/、swap区，并强制为主分区，剩余分区建立LVM，然后在LVM划分/usr、/var等，如下表及图：分区大小分区类型文件系统备注/boot200M主分区ext3非LVM逻辑卷/4G主分区ext3非LVM逻辑卷Swap如果RAM<2G,swap=2×RAM

否则swap=RAM大于4G得swap划分原则，划分多个swap，每个swap大小为4G主分区非LVM逻辑卷/usr10G逻辑分区ext3LVM逻辑卷/var10G逻辑分区ext3LVM逻辑卷/home20G逻辑分区ext3LVM逻辑卷/tmp10G逻辑分区ext3LVM逻辑卷/opt10G逻辑分区ext3LVM逻辑卷剩余空间LVM逻辑卷，暂时不分，作为以后机动空间因为就是模板，暂时不配置网络：选择时区：输入管理员密码，这里用123456，以后部署再修改：选择现在定制：只选择必要得组件：桌面环境：GNOME;应用程序：图形化互联网、基于文本得互联网、编辑器开发：开发工具、开发库、老得软件开发java开发基本系统：基本、管理工具、老软件支持语言支持：中文支持下一步开始安装系统：完成后重新引导，系统安装完毕。14、防火墙：NoFirewall; SELinux禁用 安装完毕后，执行命令setup会瞧到如下页面系统安装配置配置默认运行级别：配置默认运行级别：3文件位置：/etc/inittabid:3:initdefault:安装其她软件包：安装好系统后，在DVD光盘得Server目录中安装以下软件包注：i386与x64版本得软件包名就是一样得，小得版本号有些出入。#mount/dev/cdrom/media#cd/media/Server/rpm-Uvhlrzsz-0、12、20-22、1、x86_64、rpm#rpm-Uvhsystem-config-services-0、9、4-1、el5、noarch、rpm#rpm-Uvhsysstat-7、0、2-1、el5、x86_64、rpm安装vncserver#rpm-Uvhvnc-server-4、1、2-9、el5、x86_64、rpm安装Oracle需要得软件包rpm-UvhlibXp-1、0、0-8、1、el5、i386、rpmrpm-UvhlibXau-1、0、1-3、1、i386、rpmrpm-UvhlibXau-devel-1、0、1-3、1、i386、rpmrpm-UvhlibXp-devel-1、0、0-8、1、el5、i386、rpmrpm-Uvhopenmotif-2、3、0-0、5、el5、i386、rpmrpm-UvhlibXp-1、0、0-8、1、el5、x86_64、rpmrpm-UvhlibXau-1、0、1-3、1、x86_64、rpmrpm-UvhlibXau-devel-1、0、1-3、1、x86_64、rpmrpm-UvhlibXp-devel-1、0、0-8、1、el5、x86_64、rpmrpm-Uvhopenmotif-2、3、0-0、5、el5、x86_64、rpm设置环境变量：编辑/etc/profile文件#vi/etc/profile添加如下内容：exportPS1=[`hostname`]'[$USER][$PWD]'\#exportEDITOR=/bin/viset-ovi修改系统日志保存设置：编辑/etc/logrotate、d/syslog#vi/etc/logrotate、d/syslog内容修改如下/var/log/secure/var/log/maillog/var/log/spooler/var/log/boot、log/var/log/cron{sharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd、pid2>/dev/null`2>/dev/null||true /bin/kill-HUP`cat/var/run/rsyslogd、pid2>/dev/null`2>/dev/null||trueendscript}/var/log/messages{weeklysize=10Mrotate50sharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd、pid2>/dev/null`2>/dev/null||true /bin/kill-HUP`cat/var/run/rsyslogd、pid2>/dev/null`2>/dev/null||trueendscript}性能监控部署与分析工具使用nmon：1、部署监控工具上传nmon_x86_11f、zip或者nmon_x86_64_rhel4、zip到服务器目录/soft_ins/nmon，nmon_x86_11f、zip适用于32位系统，nmon_x86_64_rhel4、zip适用于64位系统。以下操作为root用户，到目录/soft_ins/nmon，解压文件，并修改文件属性。#cd/soft_ins/nmon#unzipnmon_x86_11f、zip（如果就是64位机器请解压nmon_x86_64_rhel4、zip）#chmod755nmon_x86_rhel4（如果就是64位机器文件名为nmon_x86_64_rhel4）新建文件nmon、sh#vinmon、sh内容为：#/bin/shcd/soft_ins/nmon、/nmon_x86_64_rhel4-fT注解nmon-fT(缺省为s300c288,即一天时间，每隔5分钟）添加定时程序#crontab-e增加如下行：00***/soft_ins/nmon/nmon、sh>/dev/null2>&1 每天都会在目录/soft_ins/nmon生成一份日志文件，格式如下：hostname_YYMMDD_0000、nmon如：ssr900a02_090121_0000、nmon分析工具使用下载日志文件如：hostname_090121_0000、nmon这样得文件到本地，解压nmon_analyser、zip得到nmonanalyserv334、xls，就可以导入记录文件进行分析了。参考信息分配置内核启动参数：（可选操作）位置：/boot/grub/grub、conf得kernel行原则：DB服务器：elevator=deadlineWEB服务器：elevator=as其它情况不需要修改：使用RHEL得默认配置(elevator=cfq)内容：kernel/vmlinuz-2、6、18-92、el5roroot=LABEL=/elevator=as配置内核参数：（可选操作）文件位：etc/sysctl、conf;内容添加:net、ipv4、ip_forward=0net、ipv4、tcp_syncookies=1net、ipv4、conf、all、rp_filter=1net、ipv4、conf、all、accept_source_route=0net、ipv4、conf、all、accept_redirects=0net、ipv4、tcp_keepalive_time=1800net、ipv4、tcp_timestamps=0net、ipv4、tcp_fin_timeout=30net、ipv4、tcp_window_scaling=1net、ipv4、tcp_sack=0net、ipv4、tcp_max_syn_backlog=1280net、ipv4、tcp_synack_retries=2net、ipv4、tcp_syn_retries=3net、ipv4、icmp_echo_ignore_broadcasts=1net、ipv4、icmp_ignore_bogus_error_responses=1net、ipv4、ip_local_port_range=3276861000kernel、sysrq=0kernel、core_uses_pid=1kernel、ctrl-alt-del=1验证：#sysctl–p“sysctl、new、conf”#KernelsysctlconfigurationRedHatLinux##Forbinaryvalues,0isdisabled,1isenabled、Seesysctl(8)and#sysctl、conf(5)formoredetails、#ControlsIPpacketforwardingnet、ipv4、ip_forward=0#Controlssourcerouteverificationnet、ipv4、conf、default、rp_filter=1#Donotacceptsourceroutingnet、ipv4、conf、default、accept_source_route=0#ControlstheSystemRequestdebuggingfunctionalityofthekernelkernel、sysrq=0#ControlswhethercoredumpswillappendthePIDtothecore#Usefulfordebuggingmulti-threadedapplicationskernel、core_uses_pid=1#ControlstheuseofTCPsyncookiesnet、ipv4、tcp_syncookies=0#Controlsthemaximumsizeofamessage,inbyteskernel、msgmnb=65536#Controlsthedefaultmaxmimumsizeofamesagequeuekernel、msgmax=65536#Controlsthemaximumsharedsegmentsize,inbyteskernel、shmmax=68719476736#Controlsthemaximumnumberofsharedmemorysegments,inpageskernel、shmall=4294967296net、ipv4、tcp_tw_reuse=1net、ipv4、tcp_tw_recycle=1net、ipv4、tcp_fin_timeout=30net、ipv4、tcp_keepalive_time=1200net、ipv4、tcp_max_tw_buckets=5000net、ipv4、tcp_max_syn_backlog=65536net、core、netdev_max_backlog=32768net、core、somaxconn=32768net、core、wmem_default=8388608net、core、rmem_default=8388608net、core、rmem_max=16777216net、core、wmem_max=16777216net、ipv4、tcp_timestamps=0net、ipv4、tcp_synack_retries=2net、ipv4、tcp_syn_retries=2net、ipv4、tcp_wmem=8192436600873200net、ipv4、tcp_rmem=32768436600873200net、ipv4、tcp_mem=9450092700000验证：#sysctl–p开启Kdump功能（可选操作）#Uncommentthefollowingtwolinesfornormaldesktop:unsetSESSION_MANAGERexec/etc/X11/xinit/xinitrc勾选其余kdump后，确定重启计算机就完成了。主要需要考虑文件存放位置，意外宕机后会保存一份与内存大小相当得文件到配置得位置。应用配置多路径软件：（可选操作）多路径软件选择原则：优先使用存储设备提供得多路径驱动，其次选择HBA卡厂商得驱动，最后可以选择红帽自带动多路径软件。（后面细化）多网卡绑定：（可选操作）参考文档中Linux系统中，路径/usr/share/doc/iputils-20020927/README、bonding前提：主机有两块以上网卡绑定模式：balance-rror0、active-backupor1、balance-xoror2、broadcastor3、802、3ador4、balance-tlbor5、balance-albor6最常用得就就是两种模式balance-rror0、active-backupor1操作指南：首先确认一下系统就是否正常Bonding进入系统执行命令[root@xtptj2eedev~]#rpm-qf/sbin/ifupinitscripts-7、93、25、EL-1[root@xtptj2eedev~]#grepifenslave/sbin/ifup-x/sbin/ifenslave];thenifenslave${RFLAG}"${MASTER}""${DEVICE}">/dev/null2>&1ifenslave-d$DEV$DEVICE应该可以瞧到类似如上信息，说明就是支持网卡Bonding功能。1．备份设备配置信息，位置/etc/sysconfig/network-scripts/ifcfg-ethx，将其备份到其她位置。(在修改之前作备份就是个好习惯）2．修改配置文件，例子如下，修改相应参数即可,注意设备名有出入创建/etc/sysconfig/network-scripts/ifcfg-bond0，内容如下DEVICE=bond0IPADDR=10、25、76、170NETMASK=255、255、255、0NETWORK=10、25、76、0BROADCAST=10、25、76、255GATEWAY=10、25、76、254ONBOOT=yesBOOTPROTO=noneUSERCTL=no修改/etc/sysconfig/network-scripts/ifcfg-eth0，内容如下DEVICE=eth0USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/sysconfig/network-scripts/ifcfg-eth1，内容如下DEVICE=eth1USERCTL=noONBOOT=yesMASTER=bond0SLAVE=yesBOOTPROTO=none修改/etc/modprobe、conf,在最后添加引用:aliasbond0bondingoptionsbond0miimon=100mode=active-backup注意：Bonding模式设置得就是模式采用主备模式3．配置完毕。要让配置生效执行命令#modprobebond0miimon=100mode=active-backup#servicenetworkrestart或者直接重启机器就行了。4．检验运行命令，注意红色字体#ifconfigbond0Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinetaddr:10、25、76、21Bcast:10、25、76、255Mask:255、255、255、0inet6addr:fe80::200:ff:fe00:0/64Scope:LinkUPBROADCASTRUNNINGMASTERMULTICASTMTU:1500Metric:1RXpackets:1948298errors:2dropped:0overruns:0frame:2TXpackets:3732268errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:0RXbytes:170299705(162、4MiB)TXbytes:1206117061(1、1GiB)eth0Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinet6addr:fe80::213:72ff:fe53:8c9d/64Scope:LinkUPBROADCASTRUNNINGSLAVEMULTICASTMTU:1500Metric:1RXpackets:1919499errors:2dropped:0overruns:0frame:2TXpackets:3696798errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:163541721(155、9MiB)TXbytes:1169827536(1、0GiB)Baseaddress:0xecc0Memory:fe6e0000-fe700000eth1Linkencap:EthernetHWaddr00:13:72:53:8C:9Dinet6addr:fe80::213:72ff:fe53:8c9d/64Scope:LinkUPBROADCASTRUNNINGSLAVEMULTICASTMTU:1500Metric:1RXpackets:28799errors:0dropped:0overruns:0frame:0TXpackets:35470errors:0dropped:0overruns:0carrier:0collisions:0txqueuelen:1000RXbytes:6757984(6、4MiB)TXbytes:36289525(34、6MiB)Baseaddress:0xdcc0Memory:fe4e0000-fe500000#cat/proc/net/bonding/bond0EthernetChannelBondingDriver:v2、6、3(June8,2005)BondingMode:fault-tolerance(active-backup)PrimarySlave:NoneCurrentlyActiveSlave:eth0MIIStatus:upMIIPollingInterval(ms):100UpDelay(ms):0DownDelay(ms):0SlaveInterface:eth0MIIStatus:upLinkFailureCount:3PermanentHWaddr:00:13:72:53:8c:9dSlaveInterface:eth1MIIStatus:upLinkFailureCount:1PermanentHWaddr:00:13:72:53:8c:9e配置本地YUM服务,便于添加未安装得软件包（可选操作） 方法：准备介质，有三种方式，任选其一：#mkdir/soft_ins/dvd1）拷贝rhel5、iso光盘iso文件到/soft_ins目录#mount-oloop/soft_ins/rhel5、iso/soft_ins/dvd2）将光盘内容直接copy到目录/soft_ins/dvd下3）将光驱放光驱中，#mount/dev/cdrom/soft_ins/dvd修改/etc/yum、repos、d/rhel-debuginfo、repo文件，修改前备份一下吧^^，修改内容为

baseurl=

enabled=1修改服务器上得/usr/lib/python2、4/site-packages/yum/yumRepo、py文件，这个文件得607行原来得内容就是：remote=url+'/'+relative改成remote="soft_ins/dvd/Server"+'/'+relative清一下缓存：yumcleanall。运行system-config-packages，browse与search功能都能用了，可以很方便得添加程序。安全设置加强系统安全文件保护：用chattr命令给下面得文件加上不可更改属性#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow修改后添加组与用户会失败。唯一可以取消这个属性得人只有root。

如果要修改文件，首先要就是取消不可修改性质:#chattr-i/etc/passwd#chattr-i/etc/shadow#chattr-i/etc/group#chattr-i/etc/gshadow改变/etc/rc、d/init、d目录下得脚本文件得访问许可注意:慎重修改此安全设置备份文件到root目录先#tarcvf/root/init、d、tar/etc/rc、d/init、d/#chmod-R700/etc/rc、d/init、d/*关闭不需要得服务：#ntsysv关闭得服务autofs、bluetooth、cpuspeed、cups、cpus-config-daemon、hidd、isdn、ip6tables、iptables、kudzu、mcstrans、mdmonitor、netfs、nfslock、pcscd、portmap、readahead_early、readahead_later、restorecond、rhnsd、rpcgssd、rpcidmapd、setroubleshoot、smartd、sendmail#servicesendmailstop#chkconfig--listsendmail(可以查瞧到sendmail在2，3，4，5时就是自动启动得，而一般得系统设置为3，因此每次启动时sendmail还就是会自动启动)#chkconfig--level2345sendmailoff｜#chkconfigsendmailoff#chkconfigiptablesoff开启得服务acpid、anacron、atd、auditd、avahi-daemon、crond、gpm、haldaemon、irqbalance、lvm2-monitor、messagebus、network、syslog、sshd、xfs、yum-updatesd删除finger程序,具体方法如下：#rpm-efinger帐号安全设置：帐号安全设置请修改/etc/login、defs文件PASS_MAX_DAYS120#设置密码过期日期PASS_MIN_DAYS0#设置密码最少更改日期PASS_MIN_LEN10#设置密码最小长度PASS_WARN_AGE7#设置过期提前警告天数/etc/aliases文件：Aliases文件如果管理错误或管理粗心就会造成安全隐患、把定义”decode”这个别名得行从aliases文件中注释、#decode:root运行/usr/bin/newaliases重新加载防止任何人都可以用su命令成为root：编辑su文件(vi/etc/pam、d/su),应该有如下两行，如有注释请去掉注释authsufficientpam_rootok、soauthrequiredpam_wheel、souse_uid把能su为root得用户加入wheel组usermod-G10username禁止rootSSH登录：#vi/etc/ssh/sshd_config把PermitRootLoginyes改为PermitRootLoginno重启sshd服务#servicesshdrestart使Control+Alt+Delete关机键无效：编辑/etc/inittab文件,注释掉下面一行Ca:ctrlaltdel:/sbin/shutdown-t3-rnow运行/sbin/initq使设置生效设定登录不活动时间：#vi/etc/profile追加内容1800半小时TMOUT=1800确认：grepTMOUT/etc/profilehistory记录详细得操作时间与访问IP：要求：SHELL为bash，且bash版本在3、0以上。一般S9,S10都就是3、0以上得，只要将用户得默认SHELL设置为bash即可。此方法在AIX、Linux4、Linux5下都可以使用，条件就就是要使用bash。（PS不知道这算不算为bash在做广告？就是不就是可以有分红拿？^_^）操作方法：修改/etc/profile，添加如下信息：HISTHISTSIZE=999999HISTHISTTIMEFORMAT="%F%T$(whoami|awk'{printsubstr($NF,2,length($NF)-2)":"}')"exportHISTHISTSIZEHIST执行效果：输入history后输出：5292008-08-0122:02:3510、30、245、17:ll5302008-08-0122:02:3710、30、245、17:date5312008-08-0122:02:3810、30、245、17:pwd收回系统编译器得权限或删除：（可选操作）如:#chmod700/usr/bin/gcc删除不必要得用户与组用户：（可选操作）#userdeladm#userdellp#userdelsync#userdelshutdown#userdelhalt#userdelnews#userdeluucp#userdeloperator#userdelgames#userdelgopher#groupdeladm#groupdellp#groupdelnews#groupdeluucp#groupdelgames#groupdeldip#groupdelpppusers#groupdelpopusers#groupdelslipusersTCP_Wrappers：（可选操作）格式：service:host(s)[:action]服务名主机名(或多个)动作,符合条件后所采取得动作关键字：ALLALLEXCEPTservice代表服务名，就就是使用ps-e瞧到得服务名。如:sshd,mysald,vs在/etc/hosts、allow中加入允许得服务,如:ALLEXCEPTtelnetd:192、168、0EXCEPT192、168、0、33说明：192、168、0、0/255、255、255、0中除了192、168、0、33，其她机器都可以访问本机得服务，除了telnetd注意！！192、168、0192、168、0、33这些IP需要酌情修改在/etc/hosts、deny里加入这么一行ALL:ALL取消可执行程序得s标志位：（可选操作）程序拥有s位标志，可以以root特权运行，会带来一些安全隐患。当然有些程序需要这个，用命令‘chmoda-s’可以取消s标志位。注：前面带（*）号得那些程序一般不需要拥有s位标志。[root@deep]#find/-typef\(-perm-04000-o-perm-02000\)\-execls-lg{}\;-rwsr-xr-x1rootroot33120Mar211999/usr/bin/at*-rwsr-xr-x1rootroot30560Apr1520:03/usr/bin/chage*-rwsr-xr-x1rootroot29492Apr1520:03/usr/bin/gpasswd-rwsr-xr-x1rootroot3208Mar221999/usr/bin/disable-paste-rwxr-sr-x1rootman32320Apr91999/usr/bin/man-r-s--x--x1rootroot10704Apr1417:21/usr/bin/passwd-rws--x--x2rootroot517916Apr61999/usr/bin/suidperl-rws--x--x2rootroot517916Apr61999/usr/bin/sperl5、00503-rwxr-sr-x1rootmail11432Apr61999/usr/bin/lockfile-rwsr-sr-x1rootmail64468Apr61999/usr/bin/procmail-rwsr-xr-x1rootroot21848Aug2711:06/usr/bin/crontab-rwxr-sr-x1rootslocate15032Apr1914:55/usr/bin/slocate*-r-xr-sr-x1roottty6212Apr1711:29/usr/bin/wall*-rws--x--x1rootroot14088Apr1712:57/usr/bin/chfn*-rws--x--x1rootroot13800Apr1712:57/usr/bin/chsh*-rws--x--x1rootroot5576Apr1712:57/usr/bin/newgrp*-rwxr-sr-x1roottty8392Apr1712:57/usr/bin/write-rwsr-x1rootsquid14076Oct714:48/usr/lib/squid/pinger-rwxr-sr-x1rootutmp15587Jun909:30/usr/sbin/utempter*-rwsr-xr-x1rootroot5736Apr1915:39/usr/sbin/usernetctl*-rwsr-xr-x1rootbin16488Jul609:35/usr/sbin/traceroute-rwsr-sr-x1rootroot299364Apr1916:38/usr/sbin/sendmail-rwsr-xr-x1rootroot34131Apr1618:49/usr/libexec/pt_chown-rwsr-xr-x1rootroot13208Apr1314:58/bin/su*-rwsr-xr-x1rootroot52788Apr1715:16/bin/mount*-rwsr-xr-x1rootroot26508Apr1720:26/bin/umount*-rwsr-xr-x1rootroot17652Jul609:33/bin/ping-rwsr-xr-x1rootroot20164Apr1712:57/bin/login*-rwxr-sr-x1rootroot3860Apr1915:39/sbin/netreport-r-sr-xr-x1rootroot46472Apr1716:26/sbin/pwdb_chkpwd#chmoda-s/usr/bin/chage#chmoda-s/usr/bin/gpasswd#chmoda-s/usr/bin/wall#chmoda-s/usr/bin/chfn#chmoda-s/usr/bin/chsh#chmoda-s/usr/bin/newgrp#chmoda-s/usr/bin/write#chmoda-s/usr/sbin/usernetctl#chmoda-s/usr/sbin/traceroute#chmoda-s/bin/mount#chmoda-s/bin/umount#chmoda-s/bin/ping#chmoda-s/sbin/netreport您可以用下面得命令查找所有带s位标志得程序：#find/-typef\(-perm-04000-o-perm-02000\)\-execls-lg{}\;>suid-sgid-results把结果输出到文件suid-sgid-results中。为了查找所有可写得文件与目录，用下面得命令：#find/-typef\(-perm-2-o-perm-20\)-execls-lg{}\;>ww-#find/-typed\(-perm-2-o-perm-20\)-execls-ldg{}\;>ww-directories-results用下面得命令查找没有拥有者得文件：#find/-nouser-o-nogroup>unowed-results用下面得命令查找所有得、rhosts文件：#find/home-name、rhosts>rhost-results软NFS（可选操作）如果通过NFS把文件共享出来,那么一定要配置”/etc/exports”文件,使得访问限制尽可能得严格、这就就是说,不要使用通配符,不允许对根目录有写权限,而且尽可能得只给读权限、在/etc/exports文件加入:格式：/dir/to/exporthost1、mydomain、com(ro,root_squash)如：/home/share*(ro,root_squash)建议最好不要使用NFS、备份系统最初得重要文件备份/boot/*、/etc/fstab、/etc/modprobe、conf等文件到/soft_ins/backup目录。mkdir-p/soft_ins/backup/etc/cp/etc/fstab/soft_ins/backup/etc/cp/etc/modprobe、conf/soft_ins/backup/etc/cp-ap/boot//soft_ins/backup/附件１：Linux(Unix)时钟同步ntpd服务配置方法第一步、安装NTP服务一般得Linux发行版都会带ntp软件包，如果您得系统中还没有安装，就使用rpm命令安装此包，以下以centos系统为例配置一台时间服务器:查找当前系统就是否已安装ntp

[root@localhost~]#rpm-qa|grepntp

chkfontpath-1、10、1-1、1

ntp-4、2、2p1-8、el5、centos、1(这个就就是已经安装得RPM包)如果没有安装，可用下例命令安装：

[root@localhost~]#rpm-ivhntp-4、2、2p1-8、el5、centos、1、rpm第二步、配置NTP服务器

NTP服务器配置如下：编辑配置文件/etc/ntp、confrestrictdefaultkodnomodifynotrapnopeernoquery

restrict-6defaultkodnomodifynotrapnopeernoqueryrestrict127、0、0、1

restrict-6::1

restrict192、168、1、0mask255、255、255、0nomodifynotrapserver192、168、146、225

server0、centos、pool、ntp、org

server1、centos、pool、ntp、org

server2、centos、pool、ntp、org

server127、127、1、0#localclock

fudge127、127、1、0stratum10配置文件说明如下：第一行restrict、default定义默认访问规则，nomodify禁止远程主机修改本地服务器配置，notrap拒绝特殊得ntpdq捕获消息，noquery拒绝btodq/ntpdc查询（这里得查询就是服务器本身状态查询）。restrict192、168、1、0mask255、255、255、0nomodifynotrap

这句就是手动增加得，意思就是从192、168、1、1-192、168、1、254得服务器都可以使用我们得NTP服务器来同步时间。server192、168、146、225

这句也就是手动增加得，指明局域网中作为NTP服务器得IP；配置文件得最后两行作用就是当服务器与公用得时间服务器失去联系时以本地时间为客户端提供时间服务。

端口

ntp使用udp协议，记得开放其123端口。

启动NTPD为了使NTP服务可以在系统引导得时候自动启动，执行：

#chkconfigntpdon

启动ntpd：

#servicentpdstart

NTP客户端配置：在客户端手动执行“ntpdate服务器IP”来同步时间；

另可以使用crond来定时同步时间：以root身份运行周期性任务：

[root@supersunroot]#crontab-e添加以下内容，每天凌晨3点同步更新时间：

03***ntpdate服务器IP此处得ntpdate命令包含在ntp软件包中，记得确认系统中就是否已安装。

第三步、检查时间服务器就是否正确同步使用下面得命令检查时间服务器同步得状态：#ntpq–p#ntpstat一个可以证明同步有问题得证据就是：所有远程服务器得jitter值就是4000并且delay与reach得值就是0。可能得原因有：有防火墙阻断了与server之间得通讯，即123端口就是否正常开放；此外每次重启NTP服务器之后大约要3－5分钟客户端才能与server建立正常得通讯连接，否则您在客户端执行“ntpdate服务器ip”得时候将返回：

27Jun10:20:17ntpdate[21920]:noserversuitableforsynchronizationfound如果要关闭ntpd服务：chkconfigntpdoff附件2：linux中ftp得配置管理

vsftpd就是UNIX类操作系统上运行得服务器名称，它得名字代表“verysecure”，安全性就是其设计与开发得一个重要目标。它可运行在Linux、Solaris等系统中，支持很多其她得FTP服务器不支持得特征：

非常高得安全性需求

带宽限制

良好得可伸缩性

创建虚拟用户得可能性

分配虚拟IP地址得可能性

一、vsftpd得启动

#servicevsftpdstart

如果允许用户匿名访问，需创建用户ftp与目录/var/ftp

#mkdir/var/ftp

#useradd–d/var/

二、vsftpd得配置

Vsftpd得配置文件存放在/etc/vs我们可根据实际数要对如下信息进行配置：

1、连接选项

☆监听地址与控制端口

(1)listen_address=ipaddress

定义主机在哪个IP地址上监听FTP请求。即在哪个IP地址上提供FTP服务。

(2)listen_port=port_value

指定FTP服务器监听得端口号。默认值为21。

2、性能与负载控制

☆超时选项

(1)idle_session_timeout=

空闲用户会话得超时时间，若就是超过这段时间没有数据得传送或就是指令得输入，则会被迫断线。默认值就是300s

(2)accept_timeout=numericalvalue

接受建立联机得超时设定。默认值为60s

☆负载选项

(1)max_clients=numericalvalue

定义FTP服务器最大得兵法连接数。当超过此连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。

(2)max_per_ip=numericalvalue

定义每个IP地址最大得并发连接数目。超过这个数目将会拒绝连接。此选项得设置将会影响到网际快车、迅雷之类得多线程下载软件。默认值为0，表示不限制。

(3)anon_max_rate=value

设定匿名用户得最大数据传输速度，以B/s为单位。默认无。

(4)local_max_rate=value

设定用户得最大数据传输速度。以B/s为单位。默认无。此选项对所有得用户都生效。

3、用户选项

vsftpd得用户分为3类：匿名用户、本地用户（localuser）及虚拟用户（guest）

☆匿名用户

(1)anonymous_enable=YES|NO

控制就是否允许匿名用户登录

(2)

匿名用户使用得系统用户名。默认情况下，值为ftp

(3)no_anon_password=YES|NO

控制匿名用户登录时就是否需要密码。

(4)anon