集群学习的准备
重新安装linux系统
网卡设置
1.安装全新Centos7.6系统(VM环境),修改网卡为eth0及eth1命名模式,并添加两块网卡。
2.第一块网卡eth0配置为NAT模式[模拟公网环境],网段为10.0.0.0网段。
3.第二块网卡eth1配置为LAN区段模式[模拟局域环境],网段为172.16.1.0网段。
注意:此网段为内网网段,因此,无须配置默认网关和DNS
安装系统磁盘分区
/boot 设置1024mb 标准分区 xfs
swap 设置2048mb 标准分区 swap
/ 自动分配剩余空间 标准分区 xfs
1、添加一个普通用户oldboy
#新增用户oldboy
useradd oldboy
# 设置密码为123456
echo 123456|passwd --stdin oldboy
2、加到sudo管理,oldboy就相当于管理员
使用 visudo 编辑 sudoers 文件:
打开终端,并输入以下命令来安全地编辑 sudoers 文件:
visudo
找到正确的位置添加条目:
在 sudoers 文件中,找到类似以下格式的部分,这通常位于文件的末尾部分:
# User privilege specification
root ALL=(ALL:ALL) ALL
在 root 用户的条目之后,添加 oldboy 用户的条目。
添加 oldboy 用户的 sudo 权限:
添加以下行,给予 oldboy 用户所有权限:
oldboy ALL=(ALL:ALL) ALL
这里的 ALL 表示 oldboy 可以作为所有用户和组在所有主机上执行所有命令
3.禁止root远程登录,改用oldboy用户登录
PermitEmptyPasswords no:
这个指令用于控制是否允许使用空密码的账户通过 SSH 连接到服务器。设置为 no 意味着不允许没有密码的账户进行 SSH 登录。这是一个重要的安全设置,因为它可以防止攻击者使用没有密码的账户进行未经授权的访问。
UseDNS no:
UseDNS 配置项决定了 SSH 在验证用户身份之前是否查询 DNS。设置为 no 可以禁止 SSH 在验证过程中进行 DNS 查找。这通常用于防止在用户认证之前对 DNS 服务器的查询,这可能被用于某些类型的攻击,如 DNS 欺骗攻击。在某些情况下,如果内部网络配置不当或 DNS 服务器响应缓慢,禁用 DNS 查找也可以提高认证速度。
GSSAPIAuthentication no:
GSSAPIAuthentication 控制是否允许使用 GSSAPI 进行 SSH 认证。设置为 no 意味着禁用了 GSSAPI 认证。GSSAPI 是一种用于在两个进程间提供安全认证的机制,它可以支持 Kerberos 认证。在大多数 Linux 服务器上,这个选项默认是禁用的,因为 Kerberos 并不是普遍使用的认证方式。
PermitRootLogin no:
禁止 root 用户通过 SSH 登录。这是一种常见的安全措施,因为直接以 root 用户登录可能会带来安全风险。
编辑sshd_config 将上面的都修改为no
vi /etc/ssh/sshd_config
使配置生效,重启 SSH 服务:
sudo systemctl restart sshd
4、基础优化操作项:更新yum源信息
第一个:就近使用yum源地址,安装软件更快。
curl -s -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
第二个:安装RHEL/CentOS官方源不提供的软件包
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
打补丁并升级有已知漏洞的软件
yum update -y
5、安装常用软件
CentOS6和CentOS7都要安装的企业运维常用基础工具包
yum install tree nmap dos2unix lrzsz nc lsof wget tcpdump htop iftop iotop sysstat nethogs -y
CentOS7要安装的企业运维常用基础工具包
yum install psmisc net-tools bash-completion vim-enhanced ntpdate -y
6、安全优化
关闭SELinux安全模块
关闭SELinux安全模块的两个方法
方法1
sed -i 's#SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config
sed 是流编辑器,用于对文本进行处理。
-i 选项允许 sed 直接修改文件,而不是输出到标准输出。
s#SELINUX=.#SELINUX=disabled#g 是一个替换命令,它查找所有匹配 SELINUX=.(SELINUX= 后面跟着任意内容)的行,并将它们替换为 SELINUX=disabled。
/etc/selinux/config 是 SELinux 的配置文件。
方法2
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
这个命令与第一个命令类似,但它只替换匹配 SELINUX=enforcing 的行。如果配置文件中 SELINUX 已经是 enforcing,则使用这个命令更精确。
验证是否修改成功
grep SELINUX=disabled /etc/selinux/config
这个命令将从 /etc/selinux/config 文件中查找所有包含 SELINUX=disabled 的行,并显示它们,以验证 SELinux 已被正确禁用。
立即更改 SELinux 的运行状态
setenforce 0
这个命令用于立即更改 SELinux 的运行状态。
0 表示禁用 SELinux 的强制模式。
请注意,这个命令需要具有适当权限的用户来执行,通常是 root 用户。
确认 SELinux 的状态
getenforce
这个命令用于查看当前 SELinux 的运行状态。
它会返回 SELinux 当前的模式,可以是 Enforcing、Permissive 或 Disabled。
2.暂时关闭firewalld防火墙服务
#停止 firewalld 服务
systemctl stop firewalld
#禁用 firewalld 服务
systemctl disable firewalld
#验证是否停止并禁用
systemctl status firewalld|grep inactive
8、设置系统中文UTF8字符集
方法1
cp /etc/locale.conf /etc/locale.conf.ori
这个命令将现有的 /etc/locale.conf 文件复制到 /etc/locale.conf.ori。这样做可以备份原始的区域性配置文件,以防需要恢复到之前的设置。
echo 'LANG="zh_CN.UTF-8"' >/etc/locale.conf
echo 命令用于输出字符串。
‘LANG=“zh_CN.UTF-8”’ 是要设置的区域性环境变量,这里指定了使用中文(中国)和 UTF-8 字符集。
> 是重定向操作符,它将 echo 命令的输出重定向到 /etc/locale.conf 文件中,这将创建一个新文件或覆盖现有文件的内容。
source /etc/locale.conf
source 命令用于读取指定文件中的命令并在当前 shell 会话中执行它们。在这个例子中,它将执行 /etc/locale.conf 文件中的 LANG=“zh_CN.UTF-8” 设置,这意味着当前 shell 会话的区域性设置将立即更新为中文(中国)和 UTF-8 字符集,而不需要重新启动 shell。
方法2
localectl set-locale LANG="zh_CN.UTF-8"
localectl 是一个用于管理和查询系统和用户级别的区域性设置的命令行工具。
set-locale 是 localectl 的一个选项,用于设置系统的区域性。
LANG=“zh_CN.UTF-8” 指定了要设置的区域性,其中 zh_CN 表示中文(中国),UTF-8 表示使用 UTF-8 字符集。
执行这个命令后,系统将被配置为使用中文(中国)和 UTF-8 字符集作为默认的区域性设置。这将影响语言显示、日期和时间格式、数字格式等。
9、基础优化操作项:时间同步设置
设置每5分钟 更新同步时间
echo "*/5 * * * * /usr/sbin/ntpdate ntp3.aliyun.com >/dev/null 2>&1">>/var/spool/cron/root
echo 命令用于输出字符串。
“*/5 * * * * /usr/sbin/ntpdate ntp3.aliyun.com >/dev/null 2>&1” 是要输出的字符串,它实际上是一个 crontab 条目,含义如下:
*/5 * * * * 是 crontab 的时间表达式,表示每5分钟执行一次命令。
/usr/sbin/ntpdate ntp3.aliyun.com 是要执行的命令,这里使用的是 ntpdate 命令来与 ntp3.aliyun.com 时间服务器同步时间。
“>”/dev/null 将命令的标准输出重定向到 /dev/null,这是一个特殊的设备文件,它会丢弃写入其中的所有数据,相当于忽略标准输出。
2>&1 将命令的标准错误重定向到标准输出(在这里也是 /dev/null),这意味着错误信息也会被忽略。
“>>” 是一个重定向操作符,它将前一个命令的输出追加到指定的文件末尾,而不是覆盖文件内容。
/var/spool/cron/root 是 root 用户的 crontab 文件的路径。所有在 root 用户的 crontab 中定义的定时任务都会存储在这个文件中。
验证是否配置成功
crontab -l
列出当前用户的所有 crontab 条目。这里的 -l 选项代表“列表”(list),它会将当前用户 crontab 文件中的内容输出到终端。
10、基础优化操作项:提升命令行操作安全性(可选优化)
控制终端在300秒(即5分钟)后如果没有活动就会自动关闭
echo 'export TMOUT=300' >>/etc/profile
设置了 HISTSIZE 环境变量的值为 5,这个变量控制着用户终端会话中保存的命令历史记录的数量。
echo 'export HISTSIZE=5' >>/etc/profile
设置 HISTFILESIZE 环境变量的值为 5。这个变量决定了 shell 命令历史记录文件 ~/.bash_history(对于使用 Bash shell 的用户)可以保存的命令条目数量。
echo 'export HISTFILESIZE=5' >>/etc/profile
11、基础优化操作项
系统将允许每个用户打开最多65535个文件。这可以提高系统的性能,特别是在需要处理大量文件的应用场景中。
echo '* - nofile 65535' >>/etc/security/limits.conf
优化内核
cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
##NFS共享存储优化
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.wmem_max = 16777216
net.core.rmem_max = 16777216
EOF
命令 cat >>/etc/sysctl.conf<<EOF … EOF 是一个 shell 命令,用于向 /etc/sysctl.conf 文件追加一系列的内核参数设置。这些设置用于优化 Linux 系统的网络性能和行为。以下是对这些设置的简要解释:
net.ipv4.tcp_fin_timeout: 减少 TCP 连接释放时等待 FIN 包的时间。
net.ipv4.tcp_tw_reuse: 允许重用 TIME_WAIT 状态的连接。
net.ipv4.tcp_tw_recycle: 启用快速回收 TIME_WAIT 状态的连接(不推荐在新版内核中使用,因为 tcp_tw_reuse 更安全)。
net.ipv4.tcp_syncookies: 启用 SYN Cookies,用于防止 SYN Flood 攻击。
net.ipv4.tcp_keepalive_time: 设置 TCP 保活探测的时间间隔。
net.ipv4.ip_local_port_range: 设置本地端口的取值范围。
net.ipv4.tcp_max_syn_backlog: 设置 TCP 套接字的 SYN 接收队列的最大长度。
net.ipv4.tcp_max_tw_buckets: 设置系统中允许的 TIME_WAIT 套接字的最大数量。
net.ipv4.route.gc_timeout: 设置路由表清理的超时时间。
net.ipv4.tcp_syn_retries: 设置连接尝试次数。
net.ipv4.tcp_synack_retries: 设置 SYN-ACK 重试次数。
net.core.somaxconn: 设置监听队列中允许的套接字数量。
net.core.netdev_max_backlog: 设置网络设备驱动的套接字队列的最大长度。
net.ipv4.tcp_max_orphans: 设置不与任何连接关联的 TCP 或 UDP 套接字的最大数量。
net.nf_conntrack_max 和 net.netfilter.nf_conntrack_max: 设置连接跟踪系统可以跟踪的最大连接数。
net.netfilter.nf_conntrack_tcp_timeout_*: 设置连接跟踪系统中 TCP 连接不同状态的超时时间。
net.core.wmem_default, net.core.rmem_default, net.core.wmem_max, net.core.rmem_max: 设置网络套接字的默认和最大内存使用量。
立即生效
sysctl -p
命令 sysctl -p 用于将 /etc/sysctl.conf 文件中的内核参数设置加载到当前运行的内核中。这个命令在修改了 sysctl.conf 文件后非常有用,因为它允许您立即应用这些更改,而不需要重新启动系统。
13、扩展优化操作项-修改yum.conf文件配置信息
sed -i.bak 's#keepcache=0#keepcache=1#gp' /etc/yum.conf
-i.bak:告诉 sed 命令直接修改文件,并且在修改之前创建一个备份文件,备份文件的扩展名为 .bak。
‘s#keepcache=0#keepcache=1#gp’:这是 sed 的命令模式,用于执行替换操作。
s:表示替换(substitute)。
#:在 sed 中用作分隔符,您可以使用任何字符作为分隔符,但这里使用了 #。
keepcache=0:这是要被替换的文本模式。
keepcache=1:这是替换后的文本模式。
g:表示全局替换,即在每一行中替换所有匹配的模式,而不是只有第一次出现的匹配。
p:表示打印,即打印替换后的行。
/etc/yum.conf:指定了要修改的文件路径,这是 YUM(Yellowdog Updater Modified)的配置文件。
执行该命令后,/etc/yum.conf 文件中所有的 keepcache=0 都将被替换为 keepcache=1。keepcache 参数控制 YUM 是否在事务完成后保留下载的包。设置为 1 可以让 YUM 保留这些包,这可以加快后续的安装和更新过程,因为 YUM 可以直接使用已下载的包,而不是重新从网络下载。
14、锁定关键系统文件
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
用了 chattr(change file attributes)工具来修改文件的不可变属性(immutable attribute)。具体来说,+i 参数将这些系统文件标记为不可变。
以下是您指定的每个文件的作用:
/etc/passwd:存储有关用户账户的信息。
/etc/shadow:存储加密的用户密码。
/etc/group:存储用户组信息。
/etc/gshadow:存储加密的用户组密码。
/etc/inittab:定义了系统的运行级别和启动进程。
将这些文件标记为不可变意味着即使在系统崩溃的情况下,这些文件也不会被修改或删除。这提供了额外的安全性,以防止恶意软件或攻击者篡改这些关键的系统文件。
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
命令 lsattr 用于列出文件的属性。在 Linux 系统中,文件属性可以控制文件的某些行为,比如是否可以被修改、移动或删除等。
当您执行 lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 命令时,系统会显示这些关键系统文件的当前属性。这些属性通常包括:
-:没有特殊属性。
a:append only(只添加)模式,文件只能追加数据,不能删除或修改现有内容。
b:不可移动(immutable),文件不能被删除、重命名或修改。
c:compressed,文件被压缩。
d:no dump(不转储),文件在备份操作中不会被复制。
i:immutable(不可变),文件既不能被删除,也不能被写入或修改。
j:data journalling(数据日志),文件的目录项被写入日志。
s:secure deletion(安全删除),文件被删除时,数据会被立即擦除。
t:no tail-merging(不允许尾部合并)或top-posting(顶部发布)。
u:undelete(可恢复删除),文件被删除后,数据仍然保留,直到被覆盖。
15、精简开机自启动服务
systemctl list-unit-files |grep enable|egrep -v "sshd.service|crond.service|sysstat|rsyslog|^NetworkManager.service|irqbalance.service"|awk '{print "systemctl disable",$1}'|bash
systemctl list-unit-files |grep enable
您提供的两条命令用于管理系统中的服务单元(unit),这些服务单元是系统启动时配置的一部分。下面是每条命令的解释:
-
第一条命令:
systemctl list-unit-files | grep enable | egrep -v "sshd.service|crond.service|sysstat|rsyslog|^NetworkManager.service|irqbalance.service" | awk '{print "systemctl disable", $1}' | bash这个命令执行了以下操作:
systemctl list-unit-files:列出所有已安装的服务单元文件及其当前的启用状态。grep enable:过滤出所有被启用(enabled)的服务单元。egrep -v "sshd.service|crond.service|sysstat|rsyslog|^NetworkManager.service|irqbalance.service":使用egrep和-v选项排除掉列表中的sshd.service、crond.service、sysstat、rsyslog、NetworkManager.service和irqbalance.service这些服务,即不在这些服务上执行禁用操作。awk '{print "systemctl disable", $1}':对于每个剩余的启用的服务单元,使用awk生成systemctl disable命令,并将服务单元名称作为参数。| bash:将awk命令的输出作为bashshell 的输入,实际执行禁用操作。
警告:此命令会禁用除了指定服务之外的所有已启用服务,这可能会对系统稳定性和安全性产生重大影响。在执行此操作前,请确保您完全理解其后果。
-
第二条命令:
systemctl list-unit-files | grep enable这个命令相对简单,它列出所有当前被设置为启用的系统服务单元。它没有执行任何更改,只是显示当前的配置状态。
列出所有已启用的服务单元
systemctl list-unit-files |grep enable
停止 postfix 服务的命令。postfix 是 Linux 系统中常用的邮件传输代理(MTA),负责处理邮件的发送和接收
systemctl stop postfix
查看网络连接端口情况
netstat -lntup
命令 netstat -lntup 是一个用于显示网络连接、路由表、接口统计等网络信息的工具。下面是这个命令中每个参数的作用:
-l(listening): 显示监听中的服务器的套接字。
-n(numeric): 显示数字形式的地址和端口号,不进行域名解析。
-t(tcp): 仅显示 TCP 相关的选项。
-u(udp): 仅显示 UDP 相关的选项。
-p(program): 显示监听端口的进程信息,包括进程的程序名和进程号。
-4 或 -6(未在您的命令中指定): 可以选择只显示 IPv4 或 IPv6 的信息。
16、扩展优化操作项
优化系统提示符
echo "PS1='\[\e[32;1m\][\u@\h \W]\\$ \[\e[0m\]'" >>/etc/profile
source /etc/profile
定义ls命令的长格式显示,是输出信息格列完全对齐显示
echo "alias ll='ls -l --color=auto --time-style=long-iso'" >>/etc/profile
source /etc/profile
自动快速配置改主机名和IP地址(前提第一台主机的最后ip为128 如10.0.0.128)
定义一个net.sh文件 使用方法 net node01 129
#!/bin/sh
if [ $# -ne 2 ];then
echo "/bin/sh $0 hostname PartIP"
exit 1
fi
hostnamectl set-hostname $1 #第一个参数 设置主机名
sed -i "/IPADDR/s#128#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth0 #<==模板机IP最后8位默认是200。
sed -i "/IPADDR/s#128#$2#g" /etc/sysconfig/network-scripts/ifcfg-eth1
systemctl restart network
#check
hostname
ifconfig eth0
ifconfig eth1
exit
在运行脚本之前,您可能需要给予执行权限:
chmod +x net.sh
然后,您可以使用以下命令执行脚本:
sudo ./net.sh your_hostname your_ip_suffix
替换 your_hostname 和 your_ip_suffix 为实际的主机名和您想要设置的 IP 地址后缀。
17、基础优化:
1、规范目录
路径规划:
/server/scripts 服务器本地存放脚本程序的目录
/server/tools 服务器本地存放软件安装包的目录
/application/ 软件名 服务器本地软件安装的根目录,软件名不带版本号,例如:
/application/nginx,/application/mysql
/application/nginx/html Web服务器站点目录(bbs,blog,www,edu)
/application/nginx/logs Web服务器日志{bbs|blog|www}_access.log
/backup 服务器本地数据备份目录,也是备份服务器Rsync的备份目录
/data NFS共享存储共享文件目录
2.规划集群服务器配置
服务器说明 eth0外网IP(NAT) eth1内网IP(NAT) 主机名称规划
A1-负载服务器01 10.0.0.5/24 172.16.1.5/16 lb01
A2-负载服务器02 10.0.0.6/24 172.16.1.6/16 lb02
B1-web服务器1 10.0.0.7/24 172.16.1.7/16 web01
B2-web服务器2 10.0.0.8/24 172.16.1.8/16 web02
SB1-web服务器1 10.0.0.9/24 172.16.1.9/16 sweb01
SB2-web服务器2 10.0.0.10/24 172.16.1.10/16 sweb02
C1-NFS存储服务器 10.0.0.31/24 172.16.1.31/16 nfs01
C2-rsync备份服务器 10.0.0.41/24 172.16.1.41/16 backup
C3-mysql数据库服务器 10.0.0.51/24 172.16.1.51/16 db01
X-管理服务器 10.0.0.61/24 172.16.1.61/16 m01
3、配置所有主机域名解析
cat >/etc/hosts<<EOF
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web01
172.16.1.8 web02
172.16.1.9 sweb01
172.16.1.10 sweb02
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.51 db01 db01.etiantian.org
172.16.1.61 m01
EOF
扫一扫
2603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
