rhel (RedHat Enterprise Linux Server 6) 系统安装配置规范
目 录
6.1. 通常情况下,新安装操作系统应遵循以下规范进行文件系统划分: 3
文档目的
为确保公司 Linux 系统的正常运行,规范和统一服务器设备的系统安装、基本配置、 磁盘划分、基础软件安装、系统安全等操作,以方便 IT 运行和对服务器的日常管理,更好地为公司业务系统提供服务。
操作系统版本规范
通常情况下,新安装操作系统应遵循以下规范所列出的版本:
- Red Hat Enterprise Linux 6 安装 32 位版本
- Red Hat Enterprise Linux 6 安装 64 位版本
(如无特别要求安装 Red Hat Enterprise Linux 6.9 64bit 英文系统选择中文语言包)
主机命名规范
主机命名根据公司现有要求进行。一般会对硬件服务器进行命名,对系统主机名的命名与服务器名称一致,多根据具体运行的应用进行命名。
安装准备项
安装信息准备
hostname | 根据现有命名规范获取主机名 |
ip address | 从网络管理员处获取IP地址 |
port | 确认应用程序需要开放的端口(如不使用系统防火墙则无需系统层面的配置) |
os disk | 确认系统盘使用的硬盘 |
app disk | 确认应用使用的硬盘(使用存储,使用本地独立于系统盘的另一个RAID组,使用系统所在RAID组的一个单独文件系统) |
raid | 确认RAID组划分方式(系统盘多使用RAID1) |
other | 如对系统有其他特殊需要请提前提出 |
操作系统版本补丁及升级
( 因无法通过网络更新,安装前需找系统管理员确认是否有补丁更新介质)
软件与微码
- 服务器微码:新装系统主机微码更新为最新版本;
- 光纤卡微码:新装系统光纤卡微码更新为最新版本;
- RHEL版本:RHEL各版本的生命周期包括7年常规生命周期和3年延长生命周期,RHEL5版本将在2014年3月结束常规生命周期,RHEL6版本于2010年11月发布,常规生命周期至2017年11月截至;
- 建议新装系统采用RHEL6。
redhat RHEL版本生命周期可登录redhat主页查阅:
https://access.redhat.com/support/policy/updates/errata/
服务器RAID阵列配置
由于服务器操作系统一般安装在本地硬盘,因此在安装前需要进行RAID配置,多使用RADI1或RAID5,具体配置方法请参考服务器硬件手册。
文件系统划分规范
通常情况下,新安装操作系统应遵循以下规范进行文件系统划分:
swap:
小于4GB | 最小2GB |
4GB-16GB | 最小4GB |
16GB-64GB | 最小8GB |
64GB-256GB | 最小16GB |
256GB-512GB | 最小32GB |
此处的SWAP设置只考虑操作系统运行需要,并未考虑应用程序的具体需要,如果安装的应用有要求需要进行相应的调整。
安装时除了/boot(和/boot/efi)外,剩余空间全部以LVM形式进行使用
/boot(/boot/efi) | 500MB(500MB) |
/ | 10GB |
/tmp | 10GB |
/home | 5GB |
/opt | 10GB |
/usr | 10GB |
/var | 10GB |
swap | 根据内存大小设置 |
以上文件系统空间大小为系统安装时建议的初始大小,以后的大小请根据具体的使用情况进行调整。
注:
- 禁止将应用所需文件安装在操作系统的/home、/usr、/var等目录下,应用对目录和空间大小有特殊要求的请在系统需要中注明。
- 应用文件安装和日志输出应建立独立目录,数据文件独立存放(存储优先)
- 用户临时使用文件应使用tmp空间(用后即时删除)
下面的为两个示例:
web服务器划分
/app
/applog
/appfile(条件允许外部存储优先)
/app 此目录用来存放应用程序所需的中间件,请将中间件安装在/app目录下的子目录中,如/app/weblogic或/app/was
/app/log 此目录用来存放应用程序所需的日志文件,优先放在外部存储上,请将应用日志定义到此目录
/appfile 此目录用来存放应用程序所需的文件,优先放在外部存储上,应用需求可以申请调整大小
DB服务器划分
/oracle 安装oracle软件
/ora_data 存放oracle数据文件(优先存储存放)
Linux系统安装
将RedHat系统安装光盘“放入光驱中,设置服务器从光驱启动。
选择第一项进行新系统安装
选择Skip跳过安装界质的检查(检查一般会需要进行比较长的时间)
点击Next
选择安装过程的语言,默认即可
选择键盘布局,默认即可
选择系统所安装在的磁盘类型,一般为本地磁盘选择每一项,第二项当使用SNA BOOT等方式时使用
根据主机名规范填写主机名称
时区选择亚洲上海,取消左下方UTC前的勾选
设置root密码
选择自定义分区
点击create,选择standard partition,创建/boot分区(/boot/efi)
选择free的空间,点击create,选择lvm physical volume,点击create,选择使用所有空间,创建pv
创建vg,命名建议为vg_root,添加文件系统和swap空间,根据文件系统划分规范中的大小进行文件系统创建,lv的名称建议为 lv_root/lv_swap形式。
点击next进行磁盘格式划,选择write changes to disk即进行格式划磁盘
选择bootloader安装位置,一般此处默认即可
安装安装的软件包组,一般无特殊需要先把Desktop即可,并选择下方的Customize now,然后点击next
在lanages中选择chinese support,点击next进行安装
安装完成后点击reboot重启服务器
重启后会自动进行系统配置界面,点击forward
选择同意license后,点击forward
选择不注册后点击forward,然后点击register later
点击forward
创建用户处可直接略过
设置时间,此处的网络时间同步可不选,待系统安装完成后根据需要进行配置
选择enable kdump,kdump memory大小保持默认,点击finish
点击yes
系统重启完成后,安装完成。
系统基本配置
关闭不必要的服务
# chkconfig NetworkManager off
# chkconfig acpid off
# chkconfig bluetooth off
# chkconfig cups off
# chkconfig ip6tables off
# chkconfig iptables off
# chkconfig postfix off
# chkconfig rhnsd off
# chkconfig rhsmcertd off
其中iptables确认系统上的防火墙不需要后进行关闭。
关闭selinux
cp -p /etc/selinux/config /etc/selinux/config.bak
sed -i 's/^.*SELINUX=.*$/SELINUX=disabled/' /etc/selinux/config
防止误使用Ctrl+Alt+Del重启系统
#cp /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.override
/etc/control-alt-delete.override内容按如下修改
#vim /etc/control-alt-delete.override
start on control-alt-delete
exec /usr/bin/logger -p authpriv.notice -t init "control-alt-delete is ignored!"
禁止root用户远程ssh
#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
将PermitRootLogin yes前的#号取消,保存后重启sshd服务
#vim /etc/ssh/sshd_config
PermitRootLogin yes
修改完成后请对sshd服务进行重启全配置生效,重启前请确认有其他用户可用于登录系统,重启服务后root用户将无法远程ssh方式登录。
service sshd restart
设置系统对用户资源限制
#cp /etc/security/limits.conf /etc/security/limits.conf.bak
在/etc/security/limits.conf文件中最后添加如下行
#vim /etc/security/limits.conf
* soft nproc 16384
* hard nproc 16384
* soft nofile 65536
* hard nofile 65536
保存退出后重新登录生效,以上限制值建议根据应用的具体要求设置,上面的值可以做为初始设置。
终端会话超时设置
#sed -i '/^HISTSIZE=/a\TMOUT=600' /etc/profile
系统用户策略
- 系统中只有root用户的UID为0;
- 系统中所有用户的UID必须唯一;
- 应用用户的umask建议设置为027;
- 禁止系统用户的系统登录权限但不能删除用户,常见的系统用户包括bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp,nobody,nscd,ais,vcsa,ntp,pcap,dbus,avahi,apache,rpc,mailnull,smmsp,cimsrvr,piranha,sshd,oprofile,luci,rpcuser,nfsnobody,xfs,ricci,haldaemon,avahi-autoipd,gdm等用户;
- 系统登录用户的密码遵循如下规则(修改/etc/pam.d/system-auth配置文件):
- minlen =8描述:密码长度不少于8位;
- dcredit=-1 描述:密码中至少使用1个数字;
- ucredit=-1描述:密码中至少使用1个大写字符;
- ocredit=-1描述:密码中至少使用1个特殊字符;
例如:password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1
- 定期(建议以10个星期为周期)修改密码,修改/etc/login.defs配置文件PASS_MAX_DAYS=70,强制用户70天后修改密码;
- 修改/etc/profile,指定登录超时为2分钟,TMOUT=120
- 修改/etc/profile,加入PS1=`whoami`@`hostname`:'$PWD>'
- 修改/etc/profile,加入export HISTTIMEFORMAT="%F %T "
系统内核参数调整
系统核心参数设置应首先根据部署的数据库、中间件、应用软件对操作系统的参数设置要求做调整,如果没有明确指出参数的具体要求按以下建议修改核心参数配置文件/etc/sysctl.conf。
- 调整kernel.shmall参数,该文件表示在任何给定时刻,系统上可以使用的共享内存的总量(bytes),采用默认值或根据应用调整,默认值为2097152;
- 调整kernel.shmmax参数,该文件表示内核所允许的最大共享内存段的大小(bytes),取物理内存大小的一半,单位为字节;
- 调整kernel.shmmni参数,该文件表示用于整个系统的共享内存段的最大数目(个),采用默认值或根据应用调整,默认值为4096;
- 调整kernel.sem参数,每个信号对象集的最大信号对象数;系统范围内最大信号对象数;每个信号对象支持的最大操作数;系统范围内最大信号对象集数。采用默认值或根据应用调整;
- 调整kernel.msgmni参数,该文件指定消息队列标识的最大数目,即系统范围内最大多少个消息队列。采用默认值或根据应用调整,默认值为16;
- 调整kernel.msgmax参数,该文件指定了从一个进程发送到另一个进程的消息的最大长度(bytes),采用默认值或根据应用调整,默认值为8192;
- 调整kernel.msgmnb参数,该文件指定一个消息队列的最大长度(bytes),调整为65535,默认值为16384;
- 调整fs.file-max参数,该文件指定了可以分配的文件句柄的最大数目。调整为65535或根据应用调整,默认值为4096。
操作系统常用命令举例
- 逻辑卷相关
创建物理卷pvcreate<diskname>
删除物理卷pvremove<pvname>
创建卷组vgcreate-s <pesize,default is 4MB><vgname><pvname>
激活卷组vgchange-ay<vgname>
去激活卷组vgchange-an <vgname>
删除卷组vgremove<vgname>
扩展卷组vgextend<vgname><pvname>
缩减卷组vgreduce<vgname><pvname>
创卷逻辑卷lvcreate -l <penumber> -n <lvname><vgname>
删除逻辑卷lvremove<lvname>
创建ext4文件系统 mkfs.ext4 <lvname> ; mkdir<mountpoint> ; mount <lvname><mountpoint>
- 用户相关
创建组groupadd-g <GID><groupname>
删除组groupdel<groupname>
创建用户useradd -u <UID> -g <groupname> -G<groupsname> -M -d <home path> -s <shell type><username>
删除用户userdel<username>
- 网络相关
- 单网卡设置IP
编辑/etc/sysconfig/network-scripts/目录下对应的网卡配置文件,输入以下内容:
DEVICE=eth0
TYPE=Ethernet
UUID=xx-xx-xx-xx-xx
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
HWADDR=xx:xx:xx:xx:xx:xx
IPADDR=10.254.254.201 //根据实际网络环境设置
NETMASK=255.255.255.0 //根据实际网络环境设置
GATEWAY=10.254.254.1 //根据实际网络环境设置
IPV6INIT=no
USERCTL=no
保存后执行service network restart 使配置生效。
- 双网卡绑定设置IP
在/etc/sysconfig/network-scripts/下创建ifcfg-bond0配置文件,包含以下内容:
DEVICE=bond0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
IPADDR=10.254.254.201 //根据实际网络环境设置
NETMASK=255.255.255.0 //根据实际网络环境设置
GATEWAY=10.254.254.1 //根据实际网络环境设置
IPV6INIT=no
USERCTL=no
BONDING_OPTS=”mode=1 miimon=100”
编辑bond0的组成网卡配置文件ifcfg-eth0、ifcfg-eth1,包含以下内容:
DEVICE=eth0
HWADDR=xx:xx:xx:xx:xx:xx
TYPE=Ethernet
UUID=
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
SLAVE=yes
MASTER=bond0
USERCTL=no
- 设置hostname及默认路由
编辑/etc/sysconfig/network配置文件,修改以下内容:
NETWORKING=yes
HOSTNAME=localhost //根据实际网络环境设置
编辑/etc/sysconfig/network-scripts/下网卡对应的route配置文件(如route-eth0),修改以下内容:
GATEWAY0=10.254.254.254 //根据实际网络环境设置
NETMASK0=255.255.255.0 //根据实际网络环境设置
ADDRESS0=195.203.5.0 //根据实际网络环境设置
- 集群相关
测试fence通讯
- fence_ipmilan -a <fenceIP> -l <ipmuser>-p <ipmuserpass>-o <on|off|reboot> -vvv
启动集群
- service cman start
- service rgmanager start
停止集群
- service rgmanager stop
- service cman stop
查看集群
- clustat
管理资源组状态
# clusvcadm -d clmapp //disable资源组 clmapp
# clusvcadm -e clmapp //enable资源组 clmapp
# clusvcadm -r clmapp clmmap01 //将资源组clmapp切换到clmmap01节点
设置yum源
- root@clmmap01:/etc/yum.repos.d>cat base.repo
- [Server]
- name=Server
- baseurl=file:///media/rhel69/Server
- enabled=1
- gpgcheck=0
- [HighAvailability]
- name=Server
- baseurl=file:/// media/rhel69/HighAvailability
- enabled=1
- gpgcheck=0
- [LoadBalancer]
- name=Server
- baseurl=file:/// media/rhel69/LoadBalancer
- enabled=1
- gpgcheck=0
- [ScalableFileSystem]
- name=Server
- baseurl=file:/// media/rhel69/ScalableFileSystem
- enabled=1
- gpgcheck=0
- [ResilientStorage]
- name=Server
- baseurl=file:/// media/rhel69/ResilientStorage
- enabled=1
- gpgcheck=0
- root@clmmap01:/etc/yum.repos.d>
