本文檔重點在配置NTP和設置防火牆,其他儘量從簡,相應章節的安裝過程可以參考相應的操作文檔。
1、 爲了節約系統資源,採用文本安裝的方式,輸入 Linux text 按 回車 鍵,這樣系統安裝完畢後,會默認工作在 init 3 的級別下,同時不會使用RedHat 的圖形界面安裝,可以節約安裝時間及效率。裏面又個地方涉及到需要輸入 installation number ,經過驗證,可以輸入:550dd56b51499bd5
2、下面簡單說下分區
分區要求:通常情況安裝系統是/boot; /; swap 三個分區。
序號 | 掛載點 | 容量 | 說明 |
1 | /boot | 200M | 作爲單獨的/boot系統引導區,即使主要的root分區出了問題,計算機依然能夠啓動。同時將容量調整爲200M,以備後用 |
2 | swap | 8G | 交互分區,大小一般設定爲機器物理內存的1-2倍。 |
3 | / | 15G | 是根目錄“/”的所在地,啓動系統所須的文件和系統配置文件 |
5 | /home | 20G | 用戶的home目錄所在地,用戶登錄分區,同時可以對用戶或者用戶分組實行硬盤限額功能,這樣當進行升級或者安裝新版本的linux操作系統時,就不會覆蓋原有的用戶登錄數據了。這個分區的大小取決於有多少用戶,根用戶可以很好地控制普通用戶使用計算機,如對用戶或者用戶組實行硬盤限量使用,限制普通用戶訪問哪些文件等。 |
6 | /var | 10G | 主要存放系統日誌,設立單獨分區,即使系統日誌文件出現問題,也不影響系統主分區。也就不會使計算機崩潰。如WEB服務器,可分20GB或根據實際情況加大 |
7 | /tmp | 4G | 存放臨時文件。對於多用戶系統或網絡服務器是有必要的。即使程序運行時生成大量的臨時文件,或用戶對系統進行了錯誤操作,文件系統的其它部分仍是安全的。因爲文件系統的這一部分仍然還承受着讀寫操作,所以它通常會比其它的部分更快地發生問題。 |
8 | /opt | 剩餘空間 | 存放數據庫文件,或同類的大量的數據文件 |
注:上表中的容量只是參考值,或者說是最小值,具體部署時要根據業務數據要求來調整容量。
3、將下面默認都進行安裝的組件都取消。原因:下面的組件經過確認都是不常用的組件。其實下面的組件取消後,幾乎已經沒有會被安裝的組件了。
4、計算機會自動開始安裝系統。 至此裸系統安裝完畢
二、設置網絡
1、 使用setup命令,圖形化設置
設置完畢後,保存退出即可,如果需要設置DNS服務器地址,可以在下圖所示的“Edit
DNS configuration”處設置。
2、 使用命令行,手工錄入
命令行模式,要比圖形界面方便快捷,如下圖所示。輸入“vi /etc/sysconfig/network-
scripts/ifcfg-eth0” 即可對網卡1進行配置
示例說明:
DEVICE 設備名稱,禁止修改
BROADCAST 廣播地址
IPADDR IP地址
NETMASK 子網掩碼
NETWORK 網絡地址
GATEWAY 網關地址
ONBOOT 是否隨系統啓動
TYPE 網卡類型
設置完成後,需要手工對網卡進行重新啓動。
DNS地址設置路徑爲 /etc/resolv.conf ,這裏所說的DNS與我們要架設的DNS服務器的配置不一樣。這裏只是告訴系統DNS服務器的IP地址是多少而已。
至此,裸系統安裝完畢,網絡也能夠連通了。配置yum需要外網的,如果在公司內部架設,不僅需要外網,還需要能夠不受行爲管理設備的控制。
三、設置yum
1、 刪除Linux系統自帶的yum
2、 下載指定的yum安裝包,從下圖可以看出,yum-*yum-fastestmirror-*yum-metadata-parser*-這三個安裝包都是從http://mirrors.163.com/centos/5/os/x86_64/CentOS/下載得來的,還有就是需要注意,本次下載都是64位的安裝包。32位的安裝包在這裏http://mirrors.163.com/centos/5/os/i386/CentOS/
3、 或者從其他機器複製安裝包,如果知道哪臺linux機器裏有上面所說的安裝包,linux之間互拷更快。示例只演示其中的一條拷貝命令,舉一反三,真的很好用,強烈推薦。
示例說明:
Scp linux間互相拷貝的命令
-r 可以傳輸整個文件夾,沒有這個參數,只能拷貝單個文件
源文件在前,需指定絕對路徑,系統會補全,後邊同樣是絕對路徑,系統不能補全,只要指定需要複製到的文件夾即可
[email protected]: root是目標主機有管理權限的賬戶,172.16.10.99是目標主機IP地址,ip地址前面的@符號和地址後邊的冒號必須有,命令格式如此,無解釋。
命令執行過程中,可能會讓你選擇yes或者no,個人理解應該是yes ,[email protected]'s password: 需要輸入的是目標主機的root賬戶的密碼。
另外需要注意的是,當同一個IP地址用在不同的linux主機上時,SCP會出現如下錯誤提示
解決方法很簡單,進入 /root/.ssh/ 目錄下,rm - rf(刪除)掉 known_hosts 即可。
4、 安裝yum安裝包
如上圖所示,我們首先需要到安裝包所在位置才能使用rpm進行安裝,這個道理Windows也是一樣的。之所以用rpm –ivh yum-* 是因爲我這裏所要安裝的三個包有依賴關係,使用yun-* 系統自己就可以搞定了。
5、 確認安裝信息
6、 下載源配置文件CentOS-Base.repo
需要到上圖所示的路徑下載源配置文件,並且該配置文件需要放在 /etc/yum.repos.d/目錄下,千萬不要搞錯了哦。
7、 更新yum
更新的過程是個漫長的過程,根據網速可能需要10到15分鐘可能還會更長時間,不過好在系統會給你個動態的窗口顯示出來,讓你知道,系統還沒死,在活着。
8、 清空yum緩存
四、安裝NTP-4.2
在安裝ntp-4.2之前,需要通過yum安裝gcc,不然會出錯。附錄一,爲非yum安裝步驟
通過wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.6p3.tar.gz 下載ntp-4.2.6
解壓ntp-4.2.6p3.tar.gz
在/usr/目錄下創建ntp目錄,用於安裝ntp-4.2
切換到ntp-4.2.6p3
五、配置NTP
A、備份配置文件
cp -p 帶權限複製/etc/ntp.conf 爲/etc/ntp.conf.default
B、修改NTP配置文件
使用vi編輯器,編輯/etc/ntp.conf主配置文件,以下爲修改參數
1、修改“允許任何IP客戶機進行時間同步”
修改爲:
例外:
如果修改爲上圖所示,即只允許172.16.99.0/24網段進行同步
2、修改XXX
上面4個服務器爲公認的ntp時間同步服務器地址。
C、啓動並設置服務啓動
啓動ntp服務,ntpd爲ntp的守護進程
設置ntpd服務守護進程,在2、3、4、5模式下隨系統啓動
如果在手工同步過程中出現紅框中的提示,因爲ntpd服務已經在運行的緣故,停止即可,重新運行即可。
通過在服務器端的驗證,如上圖所示,NTP服務器自身的時間已經與公網NTP服務器同步,下面需要對計劃任務進行設置讓系統定時關閉ntpd服務待同步時間後再次運行。
D、添加計劃任務
添加計劃任務
E、客戶端驗證
a、Windows客戶端驗證
b、Linux客戶端驗證
使用ntpdate 172.16.28.230 更新本機時間
使用date查看本機時間已經與172.16.28.230同步
添加每30分鐘與時鐘服務器自動同步一次的計劃任務
將計劃任務設爲自動,並重新啓動計劃任務
c、思科交換機客戶端驗證
思科2960交換機驗證
在經過以上步驟操作後,思科2960交換機上的時間已經與172.16.28.230的時鐘服務器同步成功。
在經過以上步驟操作後,思科4503交換機上的時間已經於172.16.28.230的時鐘服務器同步成功。
六、關閉selinux
示例說明:
Selinux的配置文檔在 /etc/selinux 目錄下面,禁用此功能需要將config文檔裏的SELINUX=enforcing 修改爲 SELINUX = disabled ,如下圖所示:
需要注意的是,該配置需要在重新啓動linux系統後才能完全生效。
七、設置防火牆
服務器上的功能選項,更多細節,參考RedHat Linux 5.5 x86_64
系統iptables設置。
A、清空iptables策略
示例說明:
-F 清空策略
B、添加策略
示例說明:
-A 順序添加策略
INPUT 添加到INPUT策略組
-s 原目標網段或地址
-p 連接協議
--dport 端口
-j 應用策略
ACCEPT 允許通過
如上圖所示即可完成既能允許172.16.28.0段計算機通過56088端口對NTP服務器進行遠程操作,也能允許NTP服務器的123端口能夠與互聯網授時中心進行同步及網內客戶機與NTP服務器的時間同步。
示例說明:
Pwd 查看當前所處路徑
-p 帶源文件權限複製
需要注意的是,在 /etc/ssh 目錄下還有另外一個類似於 sshd_config 的文件 ssh_config,在編輯的時候一定要注意,不要搞錯了!
2、 配置sshd_config
示例說明:
Port sshd開放端口
Protocol sshd所使用的協議版本,一般都用版本2
Listenaddress 這裏只能單個或多行添加ip地址,不能添加網段
示例說明:
Logingracetime 登陸時不輸入密碼的等待時間
Permitrootlogin no表示禁止root賬戶直接通過sshd登陸,yes表示可以
Maxauthtries 忘了啥意思了,反正這裏配置了
九、手工同步NTP服務器時間
1、停止NTP服務(必須停止,不然同步會失敗)
2、與公網NTP服務器同步時間
3、重啓NTP服務
第一次重啓命令的關閉NTP服務,一般會失敗,因爲NTP服務已經在第1步的時候關閉了,第二次重新啓動NTP服務的時候,兩個狀態就都正常了。
4、驗證
顯示的時間是準確時間。
附錄一:非YUM方式安裝ntp
安裝NTP需要安裝GCC,否則會編譯出錯。
掛在系統光盤活ISO文件到/media 目錄下
切換到光盤掛在目錄下
通過以上步驟安裝,可以手動通過掛載光盤方式安裝GCC。