LINUX操作系统配置规范.docx
《LINUX操作系统配置规范.docx》由会员分享,可在线阅读,更多相关《LINUX操作系统配置规范.docx(30页珍藏版)》请在冰豆网上搜索。
LINUX操作系统配置规范
本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
LINUX操作系统配置规范
1概述
2上架规范
2.1配置iLo管理口
2.2硬盘RAID配置
2.3服务器安装导轨
2.4服务器插线要求
3系统安装
3.1系统版本要求
3.2分区要求
3.3安装包要求
3.4用户要求
3.5时间同步要求
3.6字符集
3.7网卡绑定
3.8配置snmp
3.9连存储的服务器
3.10多路径软件
3.11udev配置(块设备管理、ASM组)
3.12CVE漏洞软件包版本
4补丁
4.1系统补丁(仅供参考)
4.2其他应用补丁(仅供参考)
5主机名、账号和口令安全配置基线
5.1主机命名规范
5.2账号安全控制要求
5.3口令策略配置要求
5.4口令复杂度和密码锁定策略配置要求
5.5口令重复次数限制配置要求
5.6设置登录Banner
5.7设置openssh登陆Banner
5.8Pam的设置
5.9root登录策略的配置要求
5.10root的环境变量基线
6网络与服务安全配置标准
6.1最小化启动服务
6.2最小化xinetd网络服务
7文件与目录安全配置
7.1临时目录权限配置标准
7.2重要文件和目录权限配置标准
7.3umask配置标准
7.4coredump状态
7.5ssh的安全设置
7.6bash历史记录
7.7其他注意事项
8系统Banner的配置
9防病毒软件安装
10ITSM监控agent安装
11内核参数优化
12syslog日志的配置
13重启服务器
附件:
安全工具
1概述
本规范适用于某运营商使用Linux操作系统的设备。
本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
由于版本不同,配置操作有所不同,本规范以Redhat6.6为例,给出参考配置操作。
2 上架规范
2.1 配置iLo管理口
2.2硬盘RAID配置
2.3服务器安装导轨
2.4服务器插线要求
1、集成网卡服务器
业务网络要求使用eth0、eth1两网口做双网卡绑定。
(个别应用默认顺序取第一个接口mac地址,要求使用前两个端口做业务网络接口)
网卡插线参考如下图方式:
2、非集成网卡服务器
要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。
光口卡同理操作。
网卡插线参考如下图方式:
3 系统安装
3.1系统版本要求
新上系统全部使用rhel6.664位操作系统。
rhel-server-6.6-x86_64-dvd.iso3.52GB
SHA-256:
16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32
[root@rhel6-6/]$uname-a
Linuxrhel6-62.6.32-504.el6.x86_64#1SMPTueSep1601:
56:
35EDT2014x86_64x86_64x86_64GNU/Linux
目前机房生产平台用的较多的是rhel5.7和rhel6.1。
有特殊要求的则仍使用rhel6.1。
3.2分区要求
使用LVM分区、文件系统格式采用ext4。
3.3安装包要求
安装系统当中要将GCC等所有的开发包和管理包打全,以防后期存在缺包现象。
以下包全部安装
AdministrationTools
DevelopmentTools
SystemTools
telnet ftp lrzsz(这三个包要求安装)
“系统管理”菜单:
所有包全选安装
“开发”菜单:
所有包全选安装
“语言支持”菜单:
要求安装英文语言包、简体中文语言包!
3.4用户要求
根据主机运维工作的实际需求,要求系统初始用户包括以下用户。
密码根据项目整体要求配置
root
root用户密码根据要求进行配置
pcloud
新创建用户且附加组为wheel
参考命令:
#useradd-Gwheelpcloud
bestpay
新创建用户
#useraddbestpay
logview
新创建用户且附加组为bestpay
参考命令:
#useradd–Gbestpaylogview
分区赋权
在root用户根目录下按3.3小节分区要求,给分区重新赋权
/data:
o
chown–R bestpay:
bestpay/data
o
o
chmod0750/data
o
/tools:
o
chown–Rbestpay:
bestpay /tools
o
o
chmod0700/tools
o
/admin:
o
chown–Rbestpay:
bestpay /admin
o
o
chmod0750/admin
o
3.5时间同步要求
在root用户下执行crontab–e
*/5****/usr/sbin/ntpdate172.18.70.10172.18.70.20
157***/sbin/hwclock–w
3.6字符集
使用系统缺省字符集配置。
系统缺省字符集为en_US.UTF-8;有特殊需求,另行配置。
修改字符集可以在文件/etc/sysconfig/i18n里改。
3.7网卡绑定
将服务器网卡两两做绑定,网卡绑定为主备模式。
服务器网卡要求使用第一块网卡1口和第二块网卡1口;第一块网卡2口和第二块网卡2口;即避免由于单块网卡故障导致的业务中断,可以冗余。
以下为配置示例:
配置虚拟网卡:
[root@rhel6network-scripts]#cpifcfg-eth0ifcfg-bond0
[root@rhel6network-scripts]#viifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
IPADDR=192.168.1.100
NETMASK=255.255.255.0
ONBOOT=yes
TAPE=Ethernet
GATEWAY=192.168.1.254
USERCTL=no
配置真实网卡:
[root@rhel6network-scripts]#viifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
SLAVE=yes ----写上就不用加开机启动
MASTER=bond0 ----写上就不用加开机启动
[root@rhel6network-scripts]#viifcfg-eth1
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
SLAVE=yes ----写上就不用加开机启动
MASTER=bond0----写上就不用加开机启动
加载模块让系统支持:
[root@rhel6~]vi/etc/modprobe.d/dist.conf
aliasbond0bonding
optionsbond0miimon=100mode=1-----模式1为主备
重启网络并检查配置:
servicenetworkrestart
lsmod|grepbond
cat/proc/net/bonding/bond0
3.8配置snmp
参照其他平台,共同提名不能使用public,长度必须8位以上,至少三种(大小写字母,符号,特殊符号)结合,配置snmp服务器并指向采集服务器,采集服务器ip为172.18.55.65、172.18.55.66、172.18.55.67
ITSM二期要求新增采集地址:
172.18.0.0/24;团体字为Itsm2014roJK!
以下为配置示例:
检查系统是否安装snmp服务
[root@rhel6~]#rpm-qa|grepsnmp
net-snmp-devel-5.5-31.el6.x86_64
net-snmp-utils-5.5-31.el6.x86_64
net-snmp-5.5-31.el6.x86_64
net-snmp-libs-5.5-31.el6.x86_64
net-snmp-python-5.5-31.el6.x86_64
net-snmp-perl-5.5-31.el6.x86_64SNMP
若无以上包,则安装SNMP服务
1.配置好本地yum服务,使用yum安装
yuminstall-ynet-snmp*
2.配置SNMP服务开机启动
#servicesnmpdstart
#chkconfigsnmpdon
#chkconfig--list|grepsnmpd 查看开机启动设置是否成功
snmpd 0:
关闭 1:
关闭 2:
启用 3:
启用 4:
启用 5:
启用 6:
关闭
验证SNMP服务
1.使用snmpwalk获取主机名
[root@rhel6~]#snmpwalk-v2c-cpubliclocalhostsysName.0
SNMPv2-MIB:
:
sysName.0=STRING:
rhel6.1
#snmpwalk用法
snmpwalk-v1|2c|3(代表SNMP版本)-cIP地址OID(对象标示符)
2.使用snmptranslate命令,检查snmp工具是否可以使用
#snmptranslate-To|head
.1.3
.1.3.6
.1.3.6.1
.1.3.6.1.1
.1.3.6.1.2
.1.3.6.1.2.1
.1.3.6.1.2.1.1
.1.3.6.1.2.1.1.1
.1.3.6.1.2.1.1.2
.1.3.6.1.2.1.1.3
查出了部分oid,则表示snmp工具可以正常使用
配置SNMP服务
配置项包括但不限于:
communitystring
sec.name
sec.model
查看设备节点权限“viewall”;被允许查看的sec.model组
指定检测的Processchecks
diskchecks
Executables/scripts
loadaveragechecks
3.9连存储的服务器
必须使用双hba卡;
确保连接到两个控制器的HBA卡/接口冗余;
单个HBA卡故障,或单个HBA卡某个接口故障,都满足冗余
3.10多路径软件
1、多路径配置要求
多路径必须绑定别名;
设置多路径服务为开机启动;
屏蔽掉本地磁盘,本地磁盘不做聚合;
结合数据库规范等配置实施
版本系统自带multipath即可,要求做盘符别名绑定。
比如要确保数据库的两个节点扫描到的盘符一致。
注意在blacklist里面过滤本地磁盘!
blacklist里面需要有以下参数:
blacklist{
devnode"^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode"^hd[a-z]"
devnode"^sd[a-d]" 过滤条件视实际情况,防止过滤掉多路径块设备!
}
2、多路径安装及配置参数简介
检查multipath是否安装成功:
#lsmod|grepdm_multipath
如果输出没有,则进行安装
#yum–yinstalldevice-mapperdevice-mapper-multipath
查看多路径状态查看模块是否加载成功
[root@rhel6~]#multipath-ll
Jan0102:
36:
12|/etc/multipath.confdoesnotexist,blacklistingalldevices. --配置文件没有
Jan0102:
36:
12|Asamplemultipath.conffileislocatedat
Jan0102:
36:
12|/usr/share/doc/device-mapper-multipath-0.4.9/multipath.conf
Jan0102:
36:
12|Youcanrun/sbin/mpathconftocreateormodify/etc/multipath.conf
Jan0102:
36:
12|DMmultipathkerneldrivernotloaded --DM模块没加载
如果模块没有加载成功请使用下列命初始化DM,或重启系统
[root@rhel6~]#modprobedm-multipath
[root@rhel6~]#modprobedm-round-robin
[root@rhel6~]#servicemultipathdstart
正在启动守护进程multipathd:
查看系统是否安装多路径
[root@rhel6mapper]#rpm-qa|grepmapper
device-mapper-libs-1.02.62-3.el6.x86_64
device-mapper-multipath-libs-0.4.9-41.el6.x86_64
device-mapper-multipath-0.4.9-41.el6.x86_64
device-mapper-event-libs-1.02.62-3.el6.x86_64
device-mapper-1.02.62-3.el6.x86_64
device-mapper-event-1.02.62-3.el6.x86_64
multipath.conf配置说明
接下来的工作就是要编辑/etc/multipath.conf的配置文件
multipath.conf主要包括defaults、blacklist、multipaths、devices三部份的配置
defaults是全局配置参数
blacklist用来过滤不需绑定的设备
multipaths用来绑定别名
devices用来定义存储厂商和自定义规则
blacklist配置
blacklist{
devnode"^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode"^hd[a-z]"
devnode"^sd[a-d]"
}
Multipaths部分配置multipaths和devices两部份的配置。
multipaths{
multipath{
wwid **************** #此值multipath-ll可以获取
aliasdata1 #映射后的别名,可以随便取
}
}
Devices部分配置
devices{
device{
vendor"iSCSI-Enterprise"#厂商名称
product"Virtualdisk"#产品型号
path_grouping_policy multibus#默认的路径组策略
getuid_callout "/sbin/scsi_id-g-u-s/block/%n"#获得唯一设备号
path_checker readsector0 #决定路径状态的方法
path_selector "round-robin0" #选择那条路径进行下一个IO操作的方法
failback immediate #故障恢复的模式有immediate和failover两种
no_path_retry queue#在disablequeue之前系统尝试使用失效路径的次数的数值
rr_min_io 100#在当前的用户组中,在切换到另外一条路径之前的IO请求的数目
}
}
3、多路径配置范例
1)IBM存储DS8000系列官方推荐配置
defaults{
user_friendly_namesyes
}
blacklist{
devnode"^hd[a-z]"
devnode"^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode"^cciss.*"
}
devices{
device{
vendor"IBM"
product"2107900"
path_grouping_policymultibus
getuid_callout"/lib/udev/scsi_id--whitelisted--device=/dev/%n"
path_selector"round-robin0"
path_checkertur
features"1queue_if_no_path"
hardware_handler"0"
prioconst
rr_weightuniform
rr_min_io1000
}
}
multipaths{
multipath{
wwid3600a098038303553495d47*******
aliasdata1
}
}
2)IBM存储DS4800系列官方推荐配置
defaults{
user_friendly_namesyes
}
blacklist{
devnode"^hd[a-z]"
devnode"^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode"^cciss.*"
}
devices{
device{
vendor"IBM"
product"1815"
path_grouping_policygroup_by_prio
getuid_callout"/sbin/scsi_id-g-u-s/block/%n"
path_selector"round-robin0"
path_checkerrdac
features"0"
hardware_handler"1rdac"
prio_callout"/sbin/mpath_prio_rdac/dev/%n"
failbackimmediate
rr_weightuniform
no_path_retryqueue
rr_min_io1000
}
}
multipaths{
multipath{
wwid3600a098038303553495d47*******
aliasdata1
}
}
3)NetApp存储官方推荐配置
defaults{
user_friendly_namesyes
max_fdsmax
flush_on_last_delyes
queue_without_daemonno
}
blacklist{
devnode"^hd[a-z]"
devnode"^(ram|raw|loop|fd|md|dm-|sr|scd|st)[0-9]*"
devnode"^cciss.*"
}
devices{
device{
vendor"NETAPP"
product"LUN"
path_grouping_policygroup_by_prio
features"3queue_if_no_pathpg_init_retries50"
prio"alua"
path_checkertur
failbackimmediate
path_selector"round-robin0"
hardware_handler"1alua"
rr_weightuniform
rr_min_io128
getuid_callout"/lib/udev/scsi_id-g-u-d/dev/%n"
}
}
multipaths{
multipath{
wwid3600a098038303553495d47*******
aliasdata1
}
}
3.11udev配置(块设备管理、ASM组)
以下只针对数据库服务器,或有多路径需求的服务器,否则可跳过本小节。
1、配置注意事项
multipath配置中将本地磁盘或SCSI设备加入黑名单blacklist
multipath第一次配置完成后重启操作系统;
应用上线后使用multipath–v2、multipath–ll、servicemultipathreload命令执行初始化扫描检查
udev第一次配置完成后,执行start_udev扫盘操作
应用上线后使用以下命令扫盘
#udevadmcontrol--reload-rules
#udevadmtrigger--type=devices--action=change
2、将LUN加载到主机
将刚刚创建的几个LUN加载到数据库的主机组里,映射,后台同步。
分别在节点1和节点2进行如下操作:
先查看机器有几块HBA卡
#ls/sys/class/fc_host/
host1host2host3
写入"---"到“scan”文件,有几张HBA卡就写几次。
#echo"---">/sys/class/scsi_host/host1/scan
#echo"---">/sys/class/scsi_host/host2/scan
#echo"---">/sys/class/scsi_host/host3/scan
然后就可以通过如下命令查看新增的磁盘
#fdisk–l
3、使用UDEV绑定磁盘
以roo
升级会员 