云主机实施方案v12.docx

云主机实施方案v12.docx

《云主机实施方案v12.docx》由会员分享，可在线阅读，更多相关《云主机实施方案v12.docx（25页珍藏版）》请在冰豆网上搜索。

云主机实施方案v12

云主机实施方案

安装与配置报告

工作概要

1.1适用范围

本文档主要给移动提供RedhatEnterpriseLinux6.9介质后安装操作系统使用。

第2章操作说明

2.1安装操作步骤

2.1.1安装前准备

安装操作系统前，应搜集在安装操作系统中各项设置的基本要求，再进行安装。

2.1.2操作系统版本

a）安装前应获取物理机器的CPU架构，是32位的还是64位的，以便选择对应操作系统。

b）操作系统的版本应根据各应用的兼容列表选择操作系统的版本。

如果没有特殊要求，则统一安装RedhatEnterpriseLinux6.9版本。

2.1.3操作系统安装信息收集

a）服务器的内存大小

b）分区的特殊需求

c）IP地址的规划，是否使用IPV6

d）主机名的规划

e）软件包的特殊需求

f）防火墙和SELinux的特殊要求

2.1.4Linux操作系统的安装

默认情况即在应用、客户没有特殊要求时，请按照以下要求进行安装。

在安装过程中没有进行特别阐述的，则按照操作系统默认值进行设置。

2.1.4.1操作选择

插入光盘后，重启服务器，进入安装界面选择第一个：

安装或升级一个系统

2.1.4.2光盘检测选择

光盘检测，如已确定安装光盘没问题则选skip跳过检测。

2.1.4.3安装欢迎界面

进入安装界面选择next

2.1.4.4选择安装语言及输入法

选择在安装过程中的语言，这里选中文，选择next进入输入法选择，选择默认输入法美国英语式。

2.1.4.5存储设备选择

安装时选择存储设备为基本存储设备，选择后弹出警告选择是，忽略所有数据。

2.1.4.6主机名称命名

操作系统主机名不能包含大写字母（linux系统下变量一般定义为大写字母，这样做可以避免系统错误识别变量）或特殊字符。

2.1.4.7时区选择

操作系统选择对应时间，默认选择Asia/Shanghai亚洲/上海

2.1.4.8设置登录根密码

操作系统密码一般使用8位以上的随机密码，密码中包含大小写字母以及特殊字符。

2.1.4.9磁盘分区

选择安装方式的时候选择替换现有linux系统并勾选查看并修改分区布局，在存储设备选择中选择对应的安装路径如：

AVAGO在lvm劵组中可以自定义各个分区容量大小。

完成选择将修改写入磁盘。

选择安装方式：

存储设备选择：

自定义分区：

选择将修改写入磁盘

2.1.4.10选择boot安装路径

安装在用来启动系统的存储上，如sda

2.1.4.11选择安装系统类型

勾选安装桌面，点下一步

2.1.5Redhat协议同意以及初始化

重启后进入系统，出现欢迎界面，选择next

2.1.5.1许可证协议

勾选是，我同意该许可证协议，点前进

2.1.5.2选择是否注册

在注册页面选择不，以后再注册，点前进，在弹出页面中仍然选择以后再注册

2.1.5.3选择是否创建新用户

这里是用来创建普通用户，根据实际需要时创建，如果不创建点下一步在弹出的警告中点击是

2.1.5.4时间更改

在页面中根据需要，更改当前时间

2.1.5.5Kdump设置

可以根据需要是否启用Kdump，在弹出需要重启的窗口选择是，等待重启完成

2.1.6系统配置

安装完系统后进行防火墙，SELinux，网络等配置

2.1.6.1防火墙配置

可以根据需要关闭防火墙和NetworkManager

临时关闭防火墙

永久关闭防火墙和NetworkManager

2.1.6.2关闭SElinux

在命令行中vim/etc/selinux/config将SELINUX=后面改为disabled

2.1.6.3bond网络配置

永久关闭NetworkManager服务：

会影响network服务

serviceNetworkManagerstop;chkconfigNetworkManagerstop

bond用来做网络冗余，一般用mode1即主备模式，将两个网卡绑定到一起，可以提高冗余，任一网卡down掉都不会影响网络

2.1.6.3.1bond物理网卡之一配置

如：

要将网卡2，4绑定到bond0虚拟网卡上

更改/etc/sysconfig/network-scripts/ifcfg-eth2配置文件，内容如下：

DEVICE代表eth2网卡，MASTER代表被bond0控制，ONBOOT代表开机自启，SLAVE代表开机自动绑定。

eth4的配置和这个类似只是将DEVICE=eth4

2.1.6.3.2bond虚拟网卡配置

在/etc/sysconfig/network-scripts/下新建bond0的配置文件，修改为内容如下：

DEVICE代表bond0虚拟网卡，IPADDR代表ip地址，NETMASK代表子网掩码，GATEWAY代表网关地址，ONBOOT代表开机自启。

2.1.6.3.3更改bond模型

在/etc/modprobe.d/中修改bond模型的配置文件dist.conf，在文件末尾添加如图的bond类型

aliasbond0bonding代表bond0的类型是bonding

optionsbondingmiimon=100mode=1max_bonds=2代表以上2个bondIng每100ms检查链路状态，类型为主备模式。

更改完成后用modprobebonding加载bond配置

2.1.6.3.4重启网络完成配置

在命令行中执行servicenetworkrestart来重启网络服务

2.1.7配置本地yum源

在实际生产环境中，由于无法连接外网，导致yum无法正常连接外网服务器，所以需要在本地搭建yum源，方便安装需要的软件。

2.1.7.1配置前准备

将系统光盘文件rhel-server-6.9-x86_64-dvd.iso拷贝到/media/rehel6.9/目录下，如目录不存在则创建该目录，以下命令用来创建rhel6.9和localISO目录

mkdir/media/rhel6.9

mkdir/mnt/localISO

拷贝文件完成后用以下命令将该iso文件挂载到/mnt/localISO目录

mount-oloop/media/rhel6.9//mnt/localISO

2.1.7.2更改yum配置文件

用以下命令进入yum配置文件目录

cd/etc/yum.repos.d

将原有yum配置文件备份转移防止干扰新配置文件

mkdirbak;mv*.repobak

在该目录下创建新的配置文件local.repo并修改为下图

其中name代表yum源名称gpgcheck代表不进行校验，enabled代表可以进行安装，baseurl代表安装源的目录为/mnt/localISO/

2.1.7.3验证yum源配置结果

在命令行中输入以下命令来清除yum缓存，并重新读入yum列表，当列表中出现localYUM安装源时代表yum配置成功

yumcleanall;yumlist

2.1.7.4永久挂载镜像

添加开机挂载配置/etc/fstab如下

最后一行代表/media/rhel6.9/rhel-server-6.9-x86_64-dve.iso在开机的时候以iso9600类型通过回环挂载到/mnt/localISO目录下

可以通过mount-a来判断配置是否正确，如果正确则不会有输出

2.1.8ntp服务配置

桌面版系统默认安装了ntp，如果没有安装，可以在yum源配置好的前提下执行

yuminstall-yntp来安装相应服务，ntp服务分为客户端（ntp）和服务端（ntpd），服务端ntp用来给客户端提供时间同步服务

2.1.8.1更改ntpd的配置文件

通过更改/etc/ntp.conf文件将各个server替换如下

代表已本机时间作为时间服务器，为10.0.0.0/24网段的提供时间同步服务

2.1.8.2更改主板时间与系统时间同步

通过更改配置文件/etc/sysconfig/ntpd来设置主板时间与系统时间同步

SYNC_HWCLOCK代表系统与主板时间同步

2.1.8.3更改ntp的配置文件

通过修改配置文件vim/etc/ntp/stpe-tickers来设置ntpd的服务器地址

如

server10.0.0.12prefer

restrict10.0.0.12

代表从10.0.0.12获取时间

2.1.8.4强制同步时间以及永久开启ntp服务

通过以下命令来强制与10.0.0.12同步时间，防止时间差过大导致ntp服务失败

ntpdate10.0.0.12

通过以下命令永久开启ntp服务

servicentpdstart;chkconfigntpdon

通过以下命令查看ntp状态，若有从10.0.0.12reach的包则代表成功

ntpstate;ntpq-p

2.1.9华为多路径（UltraPath）安装

由于存储存在多路径导致系统识别了重复硬盘，导致磁盘数目为实际的整数倍，需要通过多路径软件将重复的磁盘合并

2.1.9.1安装前准备

先从官方获取当前系统支持的安装包，如当前安装的是OceanStor_UltraPath_21.1.0_RHEL.zip，将该文件拷贝到/tmp目录下,并通过命令

unzipOceanStor_UltraPath_21.1.0_RHEL.zip解压当前安装包

2.1.9.2对可执行文件提权并执行

进入解压后的RHEL目录，命令行执行chmod+xinstall.sh来提升文件install.sh的可执行权利，通过以下命令来执行安装,注意/前面有个符号点.。

./install.sh

根据提示选择安装中的配置

Doyouwanttocontinuetheinstalllation输入Y后回车进行仍然安装

Pleasechoosetheboottypeofyoursystem选择对应的启动方式，如选择本地启动选择输入1后回车

Whethertorestartthesystemnow根据需要来选择是否重启来完成安装，输入Y回车后就会重启，但是只有重启后多路径软件才可以更好的生效，所以建议输入Y

2.2安全加固

根据等级保护三级标准，对主机进行安全加固。

主要涉及口令策略、用户认证、配置审核以及日志存储空间分配（等保要求保存6个月以上）策略等。

2.2.1口令策略

2.2.1.1密码使用周期

编辑/etc/login.defs，增加或修改如下参数：

PASS_MAX_DAYS90#密码有效期为90天

PASS_MIN_DAYS1#两次密码修改间隔为1天

PASS_MIN_LEN=9#最小密码长度9

PASS_WARN_AGE7#密码有效期最后7天开始提醒你修改密码

参考命令vim/etc/login.defs

2.2.1.2密码复杂度

编辑/etc/pam.d/system-auth，增加或修改如下参数：

passwordrequisitepam_cracklib.sotry_first_passretry=3type=minlen=9dcredit=-1ucredit=-1lcredit=-1ocredit=-1

注释：

minlen=9#密码字符长度不少于9位（默认为9）

lcredit=-1#至少包含1个小写字母

ucredit=-1#至少包含1个大写字母

dcredit=-1#至少包含1个数字

ocredit=-1#至少包含1个特殊字符

retry=3#配置密码时，提示3次用户密码错误输入

参考命令：

vi/etc/pam.d/system-auth

2.2.1.3用户认证

1.登陆失败处理：

编辑/etc/pam.d/system-auth，增加或修改如下参数：

authrequiredpam_tally2.sofile=/var/log/tallylogdeny=6even_deny_rootunlock_time=1800

accountrequiredpam_tally2.so

注释：

deny=6表示失败6次后开始锁定

even_deny_root表示对root账户同样适用

unlock_time=1800表示锁定时间30分钟，单位是s

2、超时退出

编辑：

/etc/profile，增加或修改如下参数：

TMOUT=600

参考命令：

echo"TMOUT=600">>/etc/profile

source/etc/profile

3、ssh登录设置

编辑/etc/ssh/sshd_conf，增加或修改如下参数：

PermitRootLoginno#禁止root用户ssh登陆

ClientAliveInterval18999999999999】】、80#超时时间3分钟

参考命令:

vi/etc/ssh/sshd_conf

4、可信主机

编辑/etc/hosts.equiv删除其中不必要的主机

编辑/$HOME/.rhosts删除其中不必要的主机

注意：

在多机互备的环境中，需要保留其他主机的IP可信任。

2.2.1.4审计策略

1、日志配置

编辑/etc/rsyslog.conf，增加如下参数：

*.warning/var/log/syslog

重启rsyslog服务

servicersyslogrestart

参考命令：

vi/etc/rsyslog.conf

2、日志转储

编辑/etc/logrotate.conf，修改如下参数：

rotate26#每周转储一次，转储26个周180天以上的日志记录

去掉compress的注释

注意：

分配足够的日志存储空间，确保日志留存6个月以上。

参考命令：

vi/etc/logrotate.conf

3、配置审计规则

编辑/etc/audit/audit.rules，文件末增加如下行：

-w/etc/pam.d/system-auth-pwa-ksu_file

-w/etc/pam.d/su-pwa-ksu_file

-w/etc/sudoers-pwa-ksudoers_file

-w/etc/shadow-pwa-ksu_file

-w/etc/passwd-pwa-ksu_file

-aexit,always-Sopen-Fuid=501

-aexit,always-Sopen-Fuid=502

-w/etc/profile-pwa-kprofile_file

重启audit服务

serviceauditdrestart

2.2.1.5加固建议

建议安装支持linux的企业版防病毒软件，如果系统在虚拟化环境运行则安装支持虚拟化的防病毒软件。

配置日志服务器对日志进行统一收集和定期分析，确保日志留存6个月以上，并部署堡垒机统一管理服务器访问，对用户操作进行审计和配置双因素登陆。

2.3备注

1、磁盘分区时注意要选自定义分区，先划分/boot引导分区，然后划分/swap分区，最后划根分区

2、确定时间时，不勾选UCT时间

第3章常见问题处理

3.1启动

（一）、mbr损坏或丢失.进入RESCUE模式，grub-install

（二）、启动时所需的配置文件不正确

（要对文件的内容与格式熟悉）

/boot/grub/grub.conf

/etc/inittab

/etc/fstab

（三）、启动系统时，所用的文件或目录丢失

如：

mount,bash,inittab,init,/initrd,/proc

1.mount，bash被替换或删除。

进入RESCUE模式，网络重新安装mount,bash包

2./sbin/init丢失或替换。

此文件在SysVinit*包内，此包还包括如下文件：

/sbin

halt,poweroff,init,runlevel,reboot,shutdown等

init丢失时，（a）、直接启动时会进入bash2.05#只读shell

（b）、用单用户进入如下提示：

s:

snosuchfileordirectory

kernelpanic:

Attemptedtokillinit

修复如mount的修复

3.initscripts*包

启动的相关文件:

/etc/inittab,/etc/rc.d,/etc/rc.d/rc,rc.sysinit,

/etc/sysconfig/*,/etc/sysclt.conf,/sbin/ifup,/sbin/ifdown

/sbin/service

#inittab丢失：

INIT：

noinittabfilefound.

Enterrunlevel:

#/etc/rc.d,/etc/rc.d/rc丢失：

用reboot,shutdown,init6命令重启时有如下明显提示：

INIT:

cannotexecute"/etc/rc.d/rc"

INIT:

nomoreprocessesleftinthisrunlevel

按电源重启系统，可以到达login界面：

Kernel2.4.21-15.ELonani686

（none）login:

可以登录，但会提示：

modprobe:

modprobe:

Can'tlocatemoduleChar-major-10-224

login（PAM-unix）[22]Sessionipenedforuserrootby（uid=0）

-bash:

Commandnotfound

此时没有网络，不能修复，主要提示在重启的时候，进入rescue模式，

修复后可正常使用，/etc/rc.d丢失，重新安装initscripts*包，登录时

仍会有提示，但常使用。

#/etc/rc/rc.sysinit为系统启动时所用的第一个脚本，若丢失

系统启动时：

INIT:

can'texecute/etc/rc.d/tc.sysinitnotfound

及其它提示

#/sbin/ifup,/sbin/ifdown如果丢失，网络将无法启动。

#/sbin/service若丢失或被替换，任何服务无法启动。

4./initrd目录丢失,启动时有如下提示:

pivotroot:

pivotroot（/sysroot,/sysroot/initrd）failed:

2

umount/initrd/procfailed:

2

Freeingunusedkernelmemory:

164kfreed

Kernelpanic:

noinitfound,Trypassinginit=optiontokernel

进入rescue模式,建立/initrd目录即可

3.2本地系统

（一）、用户登录问题

1、root用户不可登录：

a.密码失效b.是否过期c.被锁d./etc/securitty定义了

root可安全登录的终端e.没用root用户,uid=0用户不存在

2、user不可登录

同上a.b.c.

d.存在/etc/nologin空文件

e.passwd文件中没有shell或被替换

f./etc/bash_profile

g..bash_profile中有exit,logout

3、rootuser都不可登录，/bin/bash被替换或删除

4、检查pam,/etc/security/access.conf,/etc/pam.d/system-auth,

用authconfig清除设置

更多的信息需要看/var/log/secure

/var/log/message

3.3密钥

#生成密匙

gpg–gen-key

＃显示密匙，公匙，私匙

gpg--list-keys

gpg--list-public-keys

gpg–list-secret-keys

＃以ascii形式dump出公匙,私匙。

gpg--export-auserID>public.key

gpg--export-secret-key-auserID>secret.key

＃导入key.file

gpg--importkey.file

#加密生成signaure和公匙加密的文件。

gpg-se-ruserIDfile

#加密生成没有signaure的加密文件。

gpg-e-ruserIDfile

#加密生成signaure和symmetric形式的加密文件。

gpg-sc-ruserIDfile

#加密生成没有signaure的symmetric加密文件。

gpg-c-ruserIDfile

#加密生成sig式的detachable文件。

gpg-b-ruserIDfile

#解密文件

gpg[--decrypt]file

#复核sig文件。

gpg--verifysig.file

#删除密匙,私匙，私匙和公匙。

gpg--delete-keyuserID

gpg--delete-secret-keyuserID

gpg--delete-secret-and-public-keyuserID

3.3文件系统错误

１、使用fsck进行修复，郁闷的是无论出现什么提示只能选y，要不系统依然有问题。

２、可能文件系统的superblock有问题，把备份的恢复即可。

fsck.ext3-b（8192*n）+1