云主机实施方案v12.docx

1、云主机实施方案v12云主机实施方案安装与配置报告工作概要1.1适用范围本文档主要给移动提供Redhat Enterprise Linux 6.9介质后安装操作系统使用。第2章操作说明2.1安装操作步骤2.1.1安装前准备安装操作系统前，应搜集在安装操作系统中各项设置的基本要求，再进行安装。2.1.2操作系统版本a) 安装前应获取物理机器的 CPU 架构，是32位的还是64位的，以便选择对应操作系统。b) 操作系统的版本应根据各应用的兼容列表选择操作系统的版本。如果没有特殊要求，则统一安装 Redhat Enterprise Linux 6.9 版本。2.1.3操作系统安装信息收集a) 服务器的

2、内存大小b) 分区的特殊需求c) IP 地址的规划，是否使用 IPV6d) 主机名的规划e) 软件包的特殊需求f) 防火墙和 SELinux 的特殊要求2.1.4Linux 操作系统的安装默认情况即在应用、客户没有特殊要求时，请按照以下要求进行安装。 在安装过程中没有进行特别阐述的，则按照操作系统默认值进行设置。2.1.4.1操作选择插入光盘后，重启服务器，进入安装界面选择第一个：安装或升级一个系统2.1.4.2光盘检测选择光盘检测，如已确定安装光盘没问题则选skip 跳过检测。2.1.4.3安装欢迎界面进入安装界面选择next2.1.4.4选择安装语言及输入法选择在安装过程中的语言，这里选中

3、文，选择next进入输入法选择，选择默认输入法美国英语式。2.1.4.5存储设备选择安装时选择存储设备为基本存储设备，选择后弹出警告选择是，忽略所有数据。2.1.4.6主机名称命名操作系统主机名不能包含大写字母（linux系统下变量一般定义为大写字母，这样做可以避免系统错误识别变量）或特殊字符。2.1.4.7时区选择操作系统选择对应时间，默认选择Asia/Shanghai 亚洲/上海2.1.4.8设置登录根密码操作系统密码一般使用8位以上的随机密码，密码中包含大小写字母以及特殊字符。2.1.4.9磁盘分区选择安装方式的时候选择替换现有linux系统并勾选查看并修改分区布局，在存储设备选择中选择

4、对应的安装路径如：AVAGO 在lvm劵组中可以自定义各个分区容量大小。完成选择将修改写入磁盘。选择安装方式：存储设备选择：自定义分区：选择将修改写入磁盘2.1.4.10选择boot安装路径安装在用来启动系统的存储上，如sda2.1.4.11选择安装系统类型勾选安装桌面，点下一步2.1.5Redhat协议同意以及初始化重启后进入系统，出现欢迎界面，选择next2.1.5.1许可证协议勾选是，我同意该许可证协议，点前进2.1.5.2选择是否注册在注册页面选择不，以后再注册，点前进，在弹出页面中仍然选择以后再注册2.1.5.3选择是否创建新用户这里是用来创建普通用户，根据实际需要时创建，如果不创建

5、点下一步在弹出的警告中点击是2.1.5.4时间更改在页面中根据需要，更改当前时间2.1.5.5Kdump设置可以根据需要是否启用Kdump，在弹出需要重启的窗口选择是，等待重启完成2.1.6系统配置安装完系统后进行防火墙，SELinux，网络等配置2.1.6.1防火墙配置可以根据需要关闭防火墙和NetworkManager临时关闭防火墙永久关闭防火墙和NetworkManager2.1.6.2关闭SElinux在命令行中vim /etc/selinux/config 将SELINUX=后面改为disabled2.1.6.3bond网络配置永久关闭NetworkManager服务：会影响netw

6、ork服务service NetworkManager stop;chkconfig NetworkManager stopbond用来做网络冗余，一般用mode1即主备模式，将两个网卡绑定到一起，可以提高冗余，任一网卡down掉都不会影响网络2.1.6.3.1bond物理网卡之一配置如：要将网卡2，4绑定到bond0虚拟网卡上更改/etc/sysconfig/network-scripts/ifcfg-eth2配置文件，内容如下：DEVICE代表eth2网卡，MASTER代表被bond0控制，ONBOOT代表开机自启，SLAVE代表开机自动绑定。eth4的配置和这个类似只是将DEVICE=e

7、th42.1.6.3.2bond虚拟网卡配置在/etc/sysconfig/network-scripts/下新建bond0的配置文件，修改为内容如下：DEVICE代表bond0虚拟网卡，IPADDR代表ip地址，NETMASK代表子网掩码，GATEWAY代表网关地址，ONBOOT代表开机自启。2.1.6.3.3更改bond模型在/etc/modprobe.d/中修改bond模型的配置文件dist.conf，在文件末尾添加如图的bond类型alias bond0 bonding代表bond0的类型是bondingoptions bonding miimon=100 mode=1 max_bon

8、ds=2代表以上2个bondIng每100ms检查链路状态，类型为主备模式。更改完成后用modprobe bonding加载bond配置2.1.6.3.4重启网络完成配置在命令行中执行service network restart来重启网络服务2.1.7配置本地yum源在实际生产环境中，由于无法连接外网，导致yum无法正常连接外网服务器，所以需要在本地搭建yum源，方便安装需要的软件。2.1.7.1配置前准备将系统光盘文件rhel-server-6.9-x86_64-dvd.iso拷贝到/media/rehel6.9/目录下，如目录不存在则创建该目录，以下命令用来创建rhel6.9和local

9、ISO目录mkdir /media/rhel6.9mkdir /mnt/localISO拷贝文件完成后用以下命令将该iso文件挂载到/mnt/localISO目录mount -o loop /media/rhel6.9/ /mnt/localISO2.1.7.2更改yum配置文件用以下命令进入yum配置文件目录cd /etc/yum.repos.d将原有yum配置文件备份转移防止干扰新配置文件mkdir bak;mv *.repo bak在该目录下创建新的配置文件local.repo并修改为下图其中name代表yum源名称 gpgcheck代表不进行校验，enabled代表可以进行安装，bas

10、eurl代表安装源的目录为/mnt/localISO/2.1.7.3验证yum源配置结果在命令行中输入以下命令来清除yum缓存，并重新读入yum列表，当列表中出现localYUM安装源时代表yum配置成功yum clean all;yum list2.1.7.4永久挂载镜像添加开机挂载配置/etc/fstab如下最后一行代表/media/rhel6.9/rhel-server-6.9-x86_64-dve.iso在开机的时候以iso9600类型通过回环挂载到/mnt/localISO目录下可以通过mount -a来判断配置是否正确，如果正确则不会有输出2.1.8ntp服务配置桌面版系统默认安装

11、了ntp，如果没有安装，可以在yum源配置好的前提下执行yum install -y ntp来安装相应服务，ntp服务分为客户端(ntp)和服务端(ntpd)，服务端ntp用来给客户端提供时间同步服务2.1.8.1更改ntpd的配置文件通过更改 /etc/ntp.conf文件将各个server替换如下 代表已本机时间作为时间服务器，为10.0.0.0/24网段的提供时间同步服务2.1.8.2更改主板时间与系统时间同步通过更改配置文件 /etc/sysconfig/ntpd来设置主板时间与系统时间同步SYNC_HWCLOCK代表系统与主板时间同步2.1.8.3更改ntp的配置文件通过修改配置文件

12、 vim /etc/ntp/stpe-tickers来设置ntpd的服务器地址如server 10.0.0.12 preferrestrict 10.0.0.12代表从10.0.0.12获取时间2.1.8.4强制同步时间以及永久开启ntp服务通过以下命令来强制与10.0.0.12同步时间，防止时间差过大导致ntp服务失败ntpdate 10.0.0.12通过以下命令永久开启ntp服务service ntpd start;chkconfig ntpd on通过以下命令查看ntp状态，若有从10.0.0.12reach的包则代表成功ntpstate;ntpq -p2.1.9华为多路径(UltraP

13、ath)安装由于存储存在多路径导致系统识别了重复硬盘，导致磁盘数目为实际的整数倍，需要通过多路径软件将重复的磁盘合并2.1.9.1安装前准备先从官方获取当前系统支持的安装包，如当前安装的是OceanStor_UltraPath_21.1.0_RHEL.zip，将该文件拷贝到/tmp目录下,并通过命令 unzip OceanStor_UltraPath_21.1.0_RHEL.zip解压当前安装包2.1.9.2对可执行文件提权并执行进入解压后的RHEL目录，命令行执行chmod +x install.sh来提升文件install.sh的可执行权利， 通过以下命令来执行安装,注意/前面有个符号点

14、. 。./install.sh根据提示选择安装中的配置Do you want to continue the installlation输入Y后回车进行仍然安装Please choose the boot type of your system选择对应的启动方式，如选择本地启动选择输入1后回车Whether to restart the system now根据需要来选择是否重启来完成安装，输入Y回车后就会重启，但是只有重启后多路径软件才可以更好的生效，所以建议输入Y2.2安全加固根据等级保护三级标准，对主机进行安全加固。主要涉及口令策略、用户认证、配置审核以及日志存储空间分配（等保要求保存6

15、个月以上）策略等。2.2.1口令策略2.2.1.1密码使用周期编辑/etc/login.defs，增加或修改如下参数：PASS_MAX_DAYS 90 #密码有效期为90天PASS_MIN_DAYS 1 #两次密码修改间隔为1天PASS_MIN_LEN= 9 #最小密码长度9PASS_WARN_AGE 7 #密码有效期最后7天开始提醒你修改密码参考命令 vim /etc/login.defs2.2.1.2密码复杂度编辑/etc/pam.d/system-auth，增加或修改如下参数：password requisite pam_cracklib.so try_first_pass retry=

16、3 type= minlen=9 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1注释：minlen=9 #密码字符长度不少于9位(默认为9)lcredit=-1 #至少包含1个小写字母ucredit=-1 #至少包含1个大写字母dcredit=-1 #至少包含1个数字ocredit=-1 #至少包含1个特殊字符retry=3 #配置密码时，提示3次用户密码错误输入参考命令：vi /etc/pam.d/system-auth2.2.1.3用户认证1.登陆失败处理：编辑/etc/pam.d/system-auth，增加或修改如下参数：auth require

17、d pam_tally2.so file=/var/log/tallylog deny=6 even_deny_root unlock_time=1800account required pam_tally2.so 注释：deny=6 表示失败6次后开始锁定even_deny_root表示对root账户同样适用unlock_time=1800 表示锁定时间30分钟，单位是s2、 超时退出编辑：/etc/profile，增加或修改如下参数：TMOUT=600参考命令：echo TMOUT=600 /etc/profile source /etc/profile3、 ssh登录设置编辑/etc/s

18、sh/sshd_conf，增加或修改如下参数：PermitRootLogin no #禁止root用户ssh登陆ClientAliveInterval 18999999999999】、80 #超时时间3分钟参考命令:vi /etc/ssh/sshd_conf4、 可信主机编辑/etc/hosts.equiv 删除其中不必要的主机编辑/$HOME/.rhosts 删除其中不必要的主机注意：在多机互备的环境中，需要保留其他主机的IP可信任。2.2.1.4审计策略1、 日志配置编辑/etc/rsyslog.conf，增加如下参数：*.warning /var/log/syslog重启rsyslog服

19、务service rsyslog restart参考命令：vi /etc/rsyslog.conf2、 日志转储编辑/etc/logrotate.conf，修改如下参数： rotate 26 #每周转储一次，转储26个周180天以上的日志记录 去掉compress的注释 注意：分配足够的日志存储空间，确保日志留存6个月以上。参考命令：vi /etc/logrotate.conf3、 配置审计规则编辑/etc/audit/audit.rules，文件末增加如下行：-w /etc/pam.d/system-auth -p wa -k su_file-w /etc/pam.d/su -p wa -k

20、 su_file-w /etc/sudoers -p wa -k sudoers_file-w /etc/shadow -p wa -k su_file-w /etc/passwd -p wa -k su_file-a exit,always -S open -F uid=501-a exit,always -S open -F uid=502-w /etc/profile -p wa -k profile_file重启audit服务service auditd restart2.2.1.5加固建议建议安装支持linux的企业版防病毒软件，如果系统在虚拟化环境运行则安装支持虚拟化的防病毒软件。

21、配置日志服务器对日志进行统一收集和定期分析，确保日志留存6个月以上，并部署堡垒机统一管理服务器访问，对用户操作进行审计和配置双因素登陆。2.3备注 1、磁盘分区时注意要选自定义分区，先划分/boot引导分区，然后划分/swap分区，最后划根分区 2、确定时间时，不勾选UCT时间第3章常见问题处理3.1启动(一)、mbr损坏或丢失. 进入RESCUE模式，grub-install(二)、启动时所需的配置文件不正确(要对文件的内容与格式熟悉）/boot/grub/grub.conf /etc/inittab /etc/fstab (三)、启动系统时，所用的文件或目录丢失如：mount ,bash,

22、inittab,init ,/initrd ,/proc1.mount，bash被替换或删除。 进入RESCUE模式，网络重新安装mount,bash包2./sbin/init 丢失或替换。此文件在SysVinit*包内，此包还包括如下文件：/sbinhalt,poweroff,init,runlevel,reboot,shutdown等init丢失时，(a)、直接启动时会进入bash2.05#只读shell(b)、用单用户进入如下提示：s :s no such file or directorykernel panic : Attempted to kill init修复如mount的修复3

23、.initscripts*包启动的相关文件:/etc/inittab,/etc/rc.d,/etc/rc.d/rc,rc.sysinit,/etc/sysconfig/* ,/etc/sysclt.conf, /sbin/ifup,/sbin/ifdown/sbin/service# inittab丢失： INIT：no inittab file found.Enter runlevel:#/etc/rc.d ,/etc/rc.d/rc 丢失：用reboot,shutdown,init 6 命令重启时有如下明显提示：INIT : can not execute /etc/rc.d/rcINIT

24、: no more processes left in this runlevel按电源重启系统，可以到达login界面：Kernel 2.4.21-15.EL on an i686( none ) login : 可以登录，但会提示：modprobe : modprobe : Cant locate module Char-major-10-224login(PAM-unix)22 Session ipened for user root by (uid=0)-bash: Command not found 此时没有网络，不能修复，主要提示在重启的时候，进入rescue模式，修复后可正常使用

25、，/etc/rc.d丢失，重新安装initscripts*包，登录时仍会有提示，但常使用。#/etc/rc/rc.sysinit 为系统启动时所用的第一个脚本，若丢失系统启动时： INIT : cant execute /etc/rc.d/tc.sysinit not found 及其它提示#/sbin/ifup,/sbin/ifdown 如果丢失，网络将无法启动。#/sbin/service 若丢失或被替换，任何服务无法启动。4. /initrd 目录丢失,启动时有如下提示:pivotroot: pivotroot (/sysroot,/sysroot/initrd) failed: 2um

26、ount /initrd/proc failed : 2Freeing unused kernel memory : 164k freedKernel panic : no init found,Try passing init = option to kernel进入rescue模式,建立/initrd 目录即可3.2本地系统(一)、用户登录问题1、root用户不可登录：a.密码失效 b.是否过期 c. 被锁 d./etc/securitty 定义了root可安全登录的终端 e.没用root用户,uid=0 用户不存在2、user不可登录同上a. b . c. d .存在/etc/nolog

27、in空文件e.passwd文件中没有shell或被替换f. /etc/bash_profileg. .bash_profile 中有exit,logout3、root user都不可登录， /bin/bash被替换或删除4、检查pam, /etc/security/access.conf , /etc/pam.d/system-auth,用authconfig清除设置更多的信息需要看/var/log/secure/var/log/message3.3 密钥#生成密匙gpg gen -key显示密匙，公匙，私匙gpg -list-keysgpg -list-public-keysgpg list

28、-secret-keys以ascii形式dump出公匙,私匙。gpg -export -a userID public.keygpg -export-secret-key -a userIDsecret.key导入key.filegpg -import key.file# 加密生成signaure和公匙加密的文件。gpg -se -r userID file#加密生成没有signaure的加密文件。gpg -e -r userID file#加密生成signaure和symmetric形式的加密文件。gpg -sc -r userID file#加密生成没有signaure的symmetric

29、加密文件。gpg -c -r userID file#加密生成sig式的detachable文件。gpg -b -r userID file#解密文件gpg -decrypt file#复核sig文件。gpg -verify sig.file#删除密匙,私匙，私匙和公匙。gpg -delete-key userIDgpg -delete-secret-key userIDgpg -delete-secret-and-public-key userID3.3文件系统错误、使用fsck进行修复，郁闷的是无论出现什么提示只能选y，要不系统依然有问题。、可能文件系统的superblock有问题，把备份的恢复即可。fsck.ext3 -b (8192*n)+1