Linux系统安装和安全配置技术规范管理

Linux控制系统加装和安全可靠实用性技术国际标准管理工作

一、简述

1、目地及象征意义

为的是强化大部份Linux操作控制系统加装实用性和安全可靠管理工作, 使比藏西县Linux控制系统更为制度化、制度化化和放于更为安全可靠的存取控制商业模式下，特制订本制度化，以供尔后大部份的比藏西县Linux控制系统遵从并继续执行。

2、通则

适用于于大部份比藏西县的Linux操作控制系统，日常生活运转的试验合作开发PS3控制系统和制造PS3控制系统，也可做为不定期的控制系统安全可靠检查国际标准业务流程。

二、加装后期预备

1、伺服器实用性

若伺服器是力学机，则最少须要四块硬碟做raid1以确保控制系统的易用性，三个力学存储设备以确保互联网高需用。若是软件包，宿PS3也须要合乎此前提

2、控制系统版优先选择

做为制造机，明确要求采用Red Hat Linux Enterprise 6.8或更高版

三、控制系统的加装

依照加装提示信息的关键步骤一点一点走下来，Sitapurenglish，夏令时间选北京，除此之外有下列几点须要特别注意。

1、PS3重新命名制度化

为的是更快的辨别伺服器的促进作用，PS3依照下列制度化重新命名

环境用途+期数 +业务类型 +服务功能 +数字

1）环境用途：P（正式环境），D（合作开发环境），T（试验环境）

2）期数：2 （t2）

3）业务类型：FAB/MOD/RPT/SPC/EDA/OEE……

4）服务功能：AP/DB

5）序号：01、02、03…

如：p2rvdap01（t2制造环境的RVD应用01号机）

d2moddb01（t2模组厂的数据库合作开发环境01号机）

2、磁盘划分

devicemount pointsize

sdasda1/boot200M

lvmlv_root/100G

lv_swap　mem*1.5

lv_home/home100G

默认采用以上分区，划分完控制系统启动分区/boot（某些伺服器会多一个/boot/efi）后，将剩下的空间全部实用性成LVM（Logical Volume Manager）。swap为内存交换空间，一般为内存的1.5倍，如果力学内存足够大，则可适当减少。根和家目录分完后，如果用户没有特别需求，则将剩下的空间保留，以便尔后新建目录或扩容现有目录。

3、加装包优先选择

加装时手动来优先选择一些包，除了控制系统默认的包以外，再勾选下列的扩展包：

1）Base System：Compatibility libraries

2）Desktops:Desktop,Desktop Debugging and Performan,Desktop platform,Fonts,General Purpose Desktop,Graphical Administration Tools,X Windows

3）Development:Development tools(里面的rpm包要全选)

四、控制系统基础实用性

1、安全可靠实用性

公司内部互联网有防火墙等安全可靠设备，所以要让伺服器对外提供服务，则先关闭本地防火墙和selinux。

1）关闭防火墙：service iptables stop

2）关闭selinux：临时关闭用setenforce 0；永久关闭修改实用性文件/etc/selinux/config，修改SELINUX=disabled。

2、互联网实用性

前面提到力学机须要最少三个存储设备，分别接在三个不同的核心交换机上，以提高互联网高易用性，在控制系统里须要把三个存储设备做绑定，并选用mode=1（主备）的绑定商业模式。

1）首先关闭控制系统的NetworkManager服务，并且关闭开机自启动

service NetworkManager stop

chkconfig NetworkManager off

2）实用性互联网

在/etc/sysconfig/network-scripts目录下， ifcfg-eth0和ifcfg-eth1（根据具体伺服器和网口位置而定）文件修改一下参数：

ONBOOT=yes

BOOTPROTO=none

NM_CONTROLLED=no

MASTER=bond0

SLAVE=yes

再创建文件ifcfg-bond0以手动实用性IP地址

3、开机启动等级设置

加装时优先选择了桌面控制系统，但是一般情况下用不上，而且会消耗控制系统资源，所以将开机启动等级设置成无桌面的文本命令行界面。

编辑实用性文件/etc/inittab，将最后一行修改为id:3:initdefault:

4、创建普通账号

root账号权限太大，故创建几个普通账号（csotdsa、perfmon）工日常生活采用

useradd -m csotsa

echo "Hp1nvent" | passwd --stdin csotsa

useradd -m perfmon

echo "Hp1nvent" | passwd --stdin perfmon

五、常用工具部署

为方便管理工作，加装一些插件及监控软件。

软件位置：\\oafile\15.信息中心\02.IT规划部\01 基础架构\ISO\linux\linux_6.x_tools\

1、工具加装

1）htop、banner

采用命令rpm -ivhbanner-1.3.3-1.el6.x86_64.rpmhtop-1.0.3-1.el6.rf.x86_64.rpm

htop是top命令的升级版，banner是打印大型字的工具

2）ipmitool:智能平台管理工作接口,使硬件管理工作具备智能化的通用接口

解压：tar -xvf ipmitool-1.8.15.tar.bz2

进入解压后的目录，运转命令./configure;make;make install

3）netdata：Linux 性能实时监测工具

解压：tar -xvf netdata-1.4.0.tar.gz

进入目录后运转命令./netdata-installer.sh

2、工具实用性

1）yum源设置

编辑实用性文件/etc/yum.repos.d /rhel-source.repo

修改yum Server ：baseurl=http://172.16.4.105/yum/6.x/（fab互联网）或baseurl=http://10.108.243.13/yum/rhel/6.x（OA互联网）

使生效并跳过验证：

enabled=1

gpgcheck=0

2）nmon部署

nmon是Linux 性能专家提供监视和分析性能数据的功能

上传nmon_x86_64_rhel6和nmon_daily.sh至伺服器

修改权限并移动：

chmod a+x nmon_x86_64_rhel6

mv -f nmon_x86_64_rhel6 /bin/nmon

chmod a+x nmon_daily.sh

cp nmon_daily.sh /home/perfmon/scripts

添加计划任务：

crontab -u perfmon -e

daily OS performance data collecting

0 0 * * * /home/perfmon/scripts/nmon_daily.sh

3）编辑profile文件

在/etc/profile文件末尾添加：

Set up shell command history env:

HISTDIR=/home/.sh_history

AUDIDIR=/var/adm/.sh_history

if [ ! -d $HISTDIR ]

then

mkdir -p $HISTDIR

chmod 777 $HISTDIR

fi

if [ ! -d $HISTDIR/${LOGNAME} ]

then

mkdir -p $HISTDIR/${LOGNAME}

chmod 700 $HISTDIR/${LOGNAME}

fi

if [ ! -d $AUDIDIR ]

then

mkdir -p $AUDIDIR

chmod 777 $AUDIDIR

fi

if [ ! -d $AUDIDIR/${LOGNAME} ]

then

mkdir -p $AUDIDIR/${LOGNAME}

chmod 700 $AUDIDIR/${LOGNAME}

fi

RHOST=`who -um | awk {print $7} | awk -F[(,)] {print $2}`

export HISTSIZE=10000

export HISTTIMEFORMAT="%F %T ${LOGNAME} "

export HISTFILE=$HISTDIR/${LOGNAME}/sh_history.`date +%Y%m%d-%H%M%S`_${LOGNAME}.${RHOST}.dat

trap "history > $AUDIDIR/${LOGNAME}/sh_logout.`date +%Y%m%d-%H%M%S`_${LOGNAME}.${RHOST}.dat;chmod 700 $AUDIDIR/${LOGNAME}/*.dat;echo logout" 0

export HISTFILE=$HISTDIR/${LOGNAME}/sh_history.`date +%Y%m%d-%H%M%S`_${LOGNAME}.${RHOST}.dat

readonly HISTFILE

readonly HISTFILESIZE

readonly HISTSIZE

readonly HISTCMD

readonly HISTCONTROL

readonly HISTIGNORE

Display banner

clear

echo

echo ================================================================================

echo -e "\033[41;37m WARNING:\033[0m This is a Confidential system of CSOT, All your activities will be"

echo " logged in audit trail."

echo -e "\033[41;37m WARNING:\033[0m YOU ARE ${LOGNAME} !! Please be careful and pay attention to operating."

echo ================================================================================

banner $HOSTNAME

我告诉你msdn版权声明：以上内容作者已申请原创保护，未经允许不得转载，侵权必究！授权事宜、对本内容有异议或投诉，敬请联系网站管理员，我们将尽快回复您，谢谢合作！