RHEL6服务器操作系统参数与及安全配置.docx

RHEL6服务器操作系统参数与及安全配置.docx

《RHEL6服务器操作系统参数与及安全配置.docx》由会员分享，可在线阅读，更多相关《RHEL6服务器操作系统参数与及安全配置.docx（40页珍藏版）》请在冰豆网上搜索。

RHEL6服务器操作系统参数与及安全配置

系统参数及安全配置检查确认表

手册说明

V1.3.5

手册名称

RHEL6服务器操作系统参数及安全配置检查确认表

修订历史（REVISIONHISTORY）

Rev

Section

Type

Date

Author

Remarks

1.0

All

2012/5/18

温士帅

创建第一个版本。

1.1

语言环境，建议的服务包（部分增加），禁用IPv6，安装FTP，配置时钟同步

2012/5/21

林东晖

补充修改

1.1.1

修改禁用IPv6配置，增强配置兼容性。

2012/5/21

林东晖

修改禁用IPv6

1.1.2

修正密码策略部分，加入配置文件对象文件

2012/5/24

林东晖

修正密码策略部分

1.2

调整段落次序

2012/7/4

温士帅

修改网卡绑定部分内容

1.2.1

新增时区和时间修改方法

2012/7/4

温士帅

修改和完善始终同步设置

1.2.2

修改IPv6禁用的配置方法

2012/7/30

温士帅

修改禁用IPv6和网卡绑定冲突的问题

1.2.3

1.参考集团基线安全加固

2.提升稳定性配置

2012/08/05

温士帅

1.2.4

修正错误和不合理

2012/08/23

温士帅

1.2.5

添加nmon安装方法

网卡绑定修正增加bonding.conf的配置

时钟同步，修正了同步到硬件时钟

2012/09/03

温士帅

1.2.6

确认语言环境

内核参数调整

有效期管理

使用telnet和ssh

调整日志保存，指定日志保存文件

2012/09/19

石成珂

修改语言变量设置

添加limits.conf参数配置

追加login.defs文件参数配置

追加sshd_config文件参数配置

添加rsyslog日志参数配置

1.2.7

修正错误

2012/09/24

温士帅

SELINUX配置的错误

hosts.equiv写错

1.3

建立自动化配置脚本

2012/09/26

温士帅

1.3.1

自动化脚本更新到1.3.3版本

2012/10/23

温士帅

修正自动化配置脚本bug

1.3.2

修改“参数优化”部分

2012/10/26

温士帅

新增用户资源限制部分优化

1.3.3

修改自动化配置脚本

2012/10/27

温士帅

增加参数优化，ulimit配置自动执行

1.3.4

修正sysctl.conf配置的错误

修改rhelstdmk脚本默认配置的错误

2014/4/16

温士帅

参数配置=左右必须有空格才是有效的配置

Ntpdate需要加入绝对路径

1.3.5

更新网卡bond方式配置

2014/5/8

温士帅

新增网卡绑定的arp探测方式的配置，可以对网卡链路up但是网关不通的情况进行切换

1.3.6

修正自动配置脚本bug

2014/5/30

温士帅

自动配置脚本TMOUT设置错误，已修正

填表人：

填表时间：

审核人：

审核时间：

主机基本信息

主机名

IP地址

CPU（型号，主频，数量）

TPMC

内存

存储适配卡

网卡

1000M光纤卡×41000MUTP卡（双绞线）×4

内置磁盘

序列号

是否配置Cluster

操作系统版本

用户列表

组名

帐号名称

类型

状态

用途

表一.性能专题问题检查

项目

建议配置值及配置方法

实际配置值或者确认结果

备注

基础环境

关闭图形界面

建议设置，一般作为服务器端，不需要图形化桌面的界面，关闭图形桌面相关设置可以提升系统稳定性。

（应用有特殊图形桌面要求的除外）

编辑/etc/inittab将如下行

id:

5:

initdefault:

改为

id:

3:

initdefault:

停止相关桌面工具服务

chkconfigNetworkManageroff

chkconfighaldaemonoff

重启后验证系统只有字符界面登录

确认语言环境

检查系统当前默认语言环境，执行如下命令：

#locale

LANG=en_US.UTF-8

……

……

如果是非English环境，请修改至English环境

编辑/etc/sysconfig/i18n

增加或编辑“LANG”开头的行为如下内容：

LANG="en_US.UTF-8"

如果需要配置中文环境，则：

LANG="zh_CN.GBK"

也可通过命令system-config-language配置

默认

基础配置

本地YUM源配置

创建放置安装文件的本地目录/rhel6；

将安装光盘中的所有文件复制到/rhel6文件夹；进入光盘所在目录，使用cp命令将所有文件复制到/rhel6文件夹；

#mkdir/rhel6

#mount/dev/cdrom/mnt

#cp–r/mnt/*/rhel6

进入/etc/yum.repos.d目录，将现有文件复制为rhel6-local.repo；

使用vi命令对rhel6-local.repo文件做如下修改，并保存退出；

[rhel6]

Name=RHEL6

baseurl=file:

///rhel6/

enabled=1

gpgcheck=1

gpgkey=file:

///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

依次执行yumcleanall命令和yumlist命令；

（我在10.10.104.123上放了个ISO镜像，网络能访问到的可以设置成以下的yum配置）

[rhel6]

Name=RHEL6

baseurl=ftp:

//rhel61:

vfr43edc@10.10.104.123/rhel61.iso/

enabled=1

gpgcheck=1

gpgkey=file:

///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

/etc/yum.repos.d/rhel6.repo

OK

服务包

建议的服务包

增加常见依赖软件包

#yuminstallbinutils*compat-libstdc*elfutils-libelfelfutils-libelf-develgcc*gcc-c++*glibcglibc-commonglibc-devel*glibc-headerskshlibaio*libaio-devel*libgcc*libstdc*libstdc++-devel*makesysstatunixODBClibXp

#yuminstallsystem-config*screeniotopexpectpexpectOpenIPMI*ipmitooliptrafrpm*kernel-develkernel-doctuned

碰到装不上去吧install替换为update

yumupdatebinutils*compat-libstdc*elfutils-libelfelfutils-libelf-develgcc*gcc-c++*glibcglibc-commonglibc-devel*glibc-headerskshlibaio*libaio-devel*libgcc*libstdc*libstdc++-devel*makesysstatunixODBClibXp

IOS手工传上去，在1台机器弄完后可以用nfs方式共享

本地YUM源配置，这个要先做

OK

基本服务

配置关闭SElinux

关闭SElinux，编辑SElinux配置文件/etc/selinux/config；

将SELINUX=enforcing改为SELINUX=disabled，修改完毕后保存退出；

系统重启后，才能关闭SElinux；

OK

配置关闭Firewall

关闭Firewall，以root身份登入执行命令；

#serviceiptablesstop

关闭iptables服务

#chkconfigiptablesoff

开机不启动iptables服务

OK

关闭不需要的服务

检查命令：

chkconfig--list|grep-i-E'shell|login|exec|talk|ntalk|imap|pop-2|pop-3|finger|auth|Anancron|Cups|Gpm|Isdn|Kudzu|Pcmcia|Rhnsd|sendmail|snmpd'

如果哪个服务xxx开启了，可以用以下命令关闭（无需重启）

service服务名xxxstop

chkconfig服务名xxxoff

注意关闭前确认该服务与应用无关

关闭不必要的远程操作服务

主要是rlogin、rsh、rexec，接入域的主机务必关闭（HA和rac系统除外）

检查命令：

chkconfig--list|grep-i-E'rlogin|rsh|rexec'

如果哪个服务xxx开启了，可以用以下命令关闭（无需重启）

service服务名xxxstop

chkconfig服务名xxxoff

注意关闭前确认该服务与应用无关

配置关闭IPv6

方法一（有网卡绑定的不能采用）：

1、创建或编辑/etc/modprobe.d/ipv6.conf加入下面的行

optionsipv6disable=1

installipv6/bin/true

blacklistipv6

2、禁用ip6tables服务

chkconfigip6tablesoff

3、重启系统禁用IPv6

reboot

方法二（适合有网卡绑定的）：

1、创建或编辑/etc/modprobe.d/ipv6.conf加入下面的行

optionsipv6disable=1

blacklistipv6

2、禁用ip6tables服务

chkconfigip6tablesoff

3、重启系统禁用IPv6

reboot

OK

安装FTP服务

无特别需求不建议安装ftp服务

1、安装vsftpd软件包

yuminstallvsftpd

yuminstallftp

2、禁用ftp的anonymous登录

修改/etc/vsftpd/vsftpd.conf文件中下面的配置

anonymous_enable=NO

3、手工启动vsftpd服务

servicevsftpdstart

注意：

vsftpd默认禁止root用户访问，需要创建普通用户使用。

4、设置随系统自动启动服务

chkconfig--level345vsftpdon

OK

网络设置

网卡IP及绑定设置

配置修改网络配置文件，进入配置文件目录

/etc/sysconfig/network-scripts/

添加bond0设备配置文件ifcfg-bond0。

绑定网卡bond0配置文件内容：

DEVICE=bond0

ONBOOT=yes

BOOTPROTO=static

IPADDR=192.168.1.1

NETMASK=255.255.255.0

GATEWAY=192.168.1.254

USERCTL=no

#BONDING_OPTS="mode=1miimon=100primary=eth0"#该方式依据链路状态进行切换，不能对交换机层面故障

BONDING_OPTS="mode=1arp_interval=1000arp_ip_target=192.168.1.254（网关地址）"#推荐采用该模式，用arp两层探测方式来检测链路状态，一般配置对网关进行arp探测。

#说明：

miimon是用来进行链路监测的。

比如:

miimon=100，那么系统每100ms监测一次链路连接状态，如果有一条线路不通就转入另一条线路；mode的值表示工作模式，他共有0，1,2,3四种模式，常用的为0,1两种。

mode=0表示loadbalancing（round-robin）为负载均衡方式，两块网卡都工作。

mode=1表示fault-tolerance（active-backup）提供冗余功能，工作方式是主备的工作方式,也就是说默认情况下只有一块网卡工作,另一块做备份。

bonding只能提供链路监测，即从主机到交换机的链路是否接通。

如果只是交换机对外的链路down掉了，而交换机本身并没有故障，那么bonding会认为链路没有问题而继续使用

修改第一块物理网卡ifcfg-eth0配置文件内容：

DEVICE=eth0

MASTER=bond0

SLAVE=yes

ONBOOT=yes

BOOTPROTO=none

USERCTL=no

修改第二块物理网卡ifcfg-eth1配置文件内容：

DEVICE=eth1

MASTER=bond0

SLAVE=yes

ONBOOT=yes

BOOTPROTO=none

USERCTL=no

bonding模块设置

/etc/modprobe.d/bonding.conf文件中添加如下内容：

aliasbond0bonding

重启启动network服务，使配置生效

#servicenetworkrestart

查看网卡绑定工作情况：

cat/proc/net/bonding/bond0

OK

ifcfg-bond0

参数优化

内核参数调整

注意，以下只是推荐参数，具体如何配置请和该主机应用人员商议确认！

使用vi编辑/etc/sysctl.conf，添加以下内容：

#内存部分

vm.swappiness=10

#降低内存交换到磁盘的倾向

vm.min_free_kbytes=409600

#最小保留空闲内存400M

vm.vfs_cache_pressure=200

#增加加虚拟内存回收directory和i-node缓冲的倾向

vm.dirty_ratio=5

#系统Cache配置为内存的5%

#网络部分（注意等号左右必须有空格才有效）

net.core.rmem_default=262144

net.core.rmem_max=4194304

#Receivesocketbuffersize

net.core.wmem_default=262144

net.core.wmem_max=4194304

#Sendsocketbuffersize

net.ipv4.tcp_rmem=40962621444194304

net.ipv4.tcp_wmem=40962621444194304

#TCPsocketbuffersize

net.ipv4.ip_local_port_range=4000065000

#Networkportrange65000

使配置生效

#sysctl–p

OK

用户资源限制

1.删除/etc/security/limits.d目录下所有文件

2.修改两个文件/etc/pam.d/sshd和/etc/pam.d/login，增加

sessionrequired/lib64/security/pam_limits.so

sessionrequiredpam_limits.so

3.重启sshd服务，servicesshdrestart

4.修改/etc/security/limits.conf文件，增加以下内容并保存：

*softnofile32768

*hardnofile65536

*softnprocunlimited

*hardnprocunlimited

时区和时间设置

时区设置

系统时区的确认

1.首先以系统变量TZ值为准

2.如果TZ变量未配置，以/etc/localtime为准

查看当前时区：

date-R

如果最后显示+0800代表+8时区，至少和北京时区一致，可以不做操作，如果不一致可以采取下面两种方式：

1./etc/profile文件末尾添加一行

exportTZ=Asia/Shanghai

2.修改/etc/localtime文件（注意非文本文件不得直接vi）

ln-sf/usr/share/zoneinfo/Asia/Shanghai/etc/localtime

修改机器时间

date-s12/20/2003

date-s12:

30:

00

clock-w写入BIOS

hwclock-r显示bios时间

时钟同步

时钟同步设置

方法一：

（适用于对时间不敏感系统）

在crontab中配置定时的ntp始终同步

crontab-e

配置“00***ntpdate10.10.100.59;clock-w”

方法二：

（适用于时间敏感系统，如rac库，cluster系统等）

NTP服务器10.10.100.59

编辑/etc/ntp.conf

将文件中的如下行

server0.rhel.pool.ntp.org

server1.rhel.pool.ntp.org

server2.rhel.pool.ntp.org

合并更改为下面的唯一行

server10.10.100.59//IPofNTPserver

修改以下文件，添加SYNC_HWCLOCK设置，将ntp同步至硬件时钟

#vi/etc/sysconfig/ntpd

SYNC_HWCLOCK=yes

开启NTP服务

ntpdate10.10.100.59

servicentpdstart

开启ntpd服务到自动启动

chkconfigntpdon

检查同步情况

ntpq-p

ntpstat（刚配置完同步需要一段时间）

系统安全增强配置

密码策略增强

备份配置文件

#cp/etc/pam.d/password-auth-ac/root/password-auth-ac.defaut

#cp/etc/pam.d/system-auth-ac/root/system-auth-ac.defaut

使用vi编辑/etc/pam.d/password-auth-ac配置文件，修改内容为如下：

#%PAM-1.0

#Thisfileisauto-generated.

#Userchangeswillbedestroyedthenexttimeauthconfigisrun.

authrequiredpam_env.so

authrequiredpam_faillock.sopreauthsilentauditdeny=10unlock_time=600

authsufficientpam_unix.sonulloktry_first_pass

auth[default=die]pam_faillock.soauthfailauditdeny=10

authsufficientpam_faillock.soauthsuccauditdeny=10

authrequisitepam_succeed_if.souid>=500quiet

authrequiredpam_deny.so

accountrequiredpam_faillock.so

accountrequiredpam_unix.so

accountsufficientpam_localuser.so

accountsufficientpam_succeed_if.souid<500quiet

accountrequiredpam_permit.so

passwordrequisitepam_cracklib.sotry_first_passretry=3minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1difok=3

passwordrequisitepam_passwdqc.souse_first_passenforce=everyone

passwordsufficientpam_unix.somd5remember=6shadownulloktry_first_passuse_authtok

passwordrequiredpam_deny.so

sessionoptionalpam_keyinit.sorevoke

sessionrequiredpam_limits.so

session[success=1default=ignore]pam_succeed_if.soserviceincrondquietuse_uid

sessionrequiredpam_unix.so

使用vi编辑/etc/pam.d/system-auth-ac配置文件，修改内容为如下：

#%PAM-1.0

#Thisfileisauto-generated.

#Userchangeswillbedestroyedthenexttimeauthconfigisrun.

authrequiredpam_env.so

authsufficientpam_fprintd.so

authrequiredpam_faillock.sopreauthsilentauditdeny=10unlock_time=600

authsufficientpam_unix.sonulloktry_first_pass

auth[default=die]pam_faillock.soauthfailauditdeny=10

authsufficientpam_faillock.soauthsuccauditdeny=10

authrequisitepam_succeed_if.souid>=500quiet

authrequiredpam_deny.so

accountrequiredpam_faillock.so

accountrequiredpam_unix.so

accountsufficientpam_loca