阿里云linux运维（一）

阅读全文

Author : 

系统安装分区

磁盘选择

raid0     与raid1搭配作为系统盘
raid1     常用作系统盘
raid5     数据盘
raid10    数据盘 各方面性能高，价格昂贵

[/code]12345

分区原则

分离原则：系统分区，用户数据分区分离
系统默认分区方式是实际只有一个boot分区，其他分区是以逻辑卷的形式辅助
系统分区，数据分区分离时在一方收到损坏时，不至于破坏另一个分区，保留用户数据。

[/code]1234
lvm 逻辑卷磁盘分区管理工具， 动态调整分区工具（服务器级无必要）。逻辑卷管理是介于磁盘与文件系统中间的一个系统，磁盘分区损坏时较难恢复,读写性能低

多分区管理：
四个基本分区: /(系统相关)  /boot（系统相关）  /var(log日志相关)  /usr(第三方安装软件相关)
一个数据分区 /data (管用用户数据相关，名字自定义)

[/code]1234

swap

（对应windows的缓存或者扩展分区）
目的用途是拿磁盘作为内存缓存区使用，在大内存时，没有太大的必要（32G以上），但还是要设置（4G）,设置的好处是在内存短时间内猛增时避免机器的宕机
swap使用时有一个阈值（可自定义）,默认策略是在内存使用在40%以上时启用
阿里云官方解释是不需要swap，也没有设置swap ,(其中不乏商业性)，但在实际的环境中,还是建议设置swap,避免在内存较高时宕机

[/code]12345

服务器网络配置

服务器ip地址配置

networkManager 服务会以自己的模式运行服务配置，在有的时候并不适用，因此建议关掉networkmanager服务，手动去配置服务器ip

[/code]12

配置文件 sudo vi /etc/network/interfaces

dhcp方式配置

auto eth0
iface eth0 inet dhcp

[/code]123

静态ip方式配置

auto eth0
iface eth0 inet static
address 192.168.2.1
gateway 192.168.2.254
netmask 255.255.255.0
#network 192.168.2.0
#broadcast 192.168.2.255

[/code]12345678

虚拟IP地址

auto eth0:1
iface eth0:1 inet static
address x.x.x.x
netmask x.x.x.x
network x.x.x.x
broadcast x.x.x.x
gateway x.x.x.x

[/code]12345678

重启网卡服务

sudo /etc/init.d/networking restart
service network restart

[/code]123

网关主机名配置

配置文件 vi /etc/hostname

主机名和网关地址
网关地址页可以在配置ip的文件中配置 ，对应的， interfaces的优先级要高于hostname 的

[/code]123

DNS配置

配置文件 vi /etc/resolv.conf

nameserver 192.168.2.2

[/code]12

Hosts文件配置

配置文件 vi /etc/hosts

阿里云linux运维（二）

网络安全配置

selinux配置

一个鸡肋功能，需要关闭
可以通过配置文件和命令行的形式关闭

[/code]123

iptables配置

系统登录安全与ssh配置

授权用户登录与sudo设定

不建议使用root用户登录

[/code]12

添加普通用户

$ sudo adduser [user]

[/code]12

sudoers配置

配置文件：/etc/sudoers   （必须是440的权限）

Host_Alias    主机列表配置
HOST_FLAG = hostname1, hostname2, hostname3

Cmnd_Alias    允许执行的命令的列表，命令前加上!表示不能执行此命令
COMMAND_FLAG = command1, command2, command3 ，!command4

User_Alias    就是具有sudo权限的用户的列表
USER_FLAG = user1, user2, user3

Runas_Alias   就是用户以什么身份执行
RUNAS_FLAG = operator1, operator2, operator3

配置权限的格式如下：
USER_FLAG HOST_FLAG=(RUNAS_FLAG) COMMAND_FLAG

[/code]1234567891011121314151617

配置详解

root    ALL=(ALL:ALL) ALL
<userlist> <hostlist>=<operatorlist> <taglist><commandlist>
用户list
主机list
用户或用户组list
是否需要输入密码
命令list

（NOPASSWD  表示该用户切换到root用户时 不需要输入密码）
yjsh ALL=(ALL:ALL) NOPASSWD:ALL
切换root用户   sudo su -   (- 表示在切换到root用户时使用root用户的环境变量)

[/code]123456789101112
sudo 提升权限 

su 切换用户 

- 表示在切换用户过程中加载用户的环境变量

示例： sudo su - (切换root用户提升权限)

切换root时提示 unable to resolve host
/etc/hosts
127.0.0.1 [hostname]

[/code]1234

ssh安全登录经验

运维必备守则

 

备份： 

cp /etc/ssh/sshd_config sshd_config_bak

配置选项

ssh默认链接端口 （建议更改为四位以上）

不适用dns反查，可提高ssh连接速度 (用主机名去检查连接地址)
UseDNS no

关闭GSSAPI验证，提高ssh连接速度
GSSAPIAuthentication no

禁止root账号登录 (提高安全性能，防止暴力破解)
PermitRootLogin no

[/code]1234567891011