CentOS系統安裝后的初始環境設置
在CentOS系統安裝好之后,安全性以及對硬件的適應性方面,可能并不完全符合我們的實際情況。在這里,對新的CentOS系統進行初始環境設置將以如下方面為原則:
1,為了安全,盡***可能將訪問限制限制到可能的***程度;
2,為了節省內存及 CPU 使用率(以及安全方面的考慮),盡***可能將不需要的服務關閉;
3,為了減少誤操作可能帶來的損失,平時通過 wheel 組用戶登錄進行系統管理;
4,為了讓系統變的更加輕便、快速,將內核中不需要的模塊卸載;
CentOS系統 4.4 的安裝后初始環境設定
安裝完畢重新啟動系統后,出現如下的狀態:
CentOS release 4.4 (Final)
Kernel 2.6.9-42.EL on an i686
sample login: ← 根據安裝時網絡設置的情況的不同,本站以“sample”,其位置顯示的是你設置好的主機名。
[1] 系統的登錄與退出
sample login: root ← 用root用戶來登錄系統,輸入用戶名root
Password: ← 在這里輸入安裝時設置的root密碼,輸入時密碼不會被顯示
[root@sample ~]# ← root用戶登錄成功,提示符為“#”。若一般用戶登錄成功后,提示符為“$”
[root@sample ~]# exit ← 退出系統
sample login: ← 退出系統成功
[2] 一般用戶的建立與刪除
[root@sample ~]# useradd centospub ← 建立用戶名為 centospub 的一般用戶
[root@sample ~]# passwd centospub ← 為用戶 centospub 設置密碼
Changing password for user centospub.
New UNIX password: ← 輸入密碼(密碼不會被顯示)
Retype new UNIX password: ← 再次輸入密碼確認兩次密碼一致
passwd: all authentication tokens updated successfully. ← 密碼設置成功
[root@sample ~]# userdel -r centospub ← 刪除用戶名為 centospub 的一般用戶
[3] 通過一般用戶登錄為root用戶
因為root用戶對系統具有全權的操作權限,為了避免一些失誤的操作,建議在一般情況下,以一般用戶登錄系統,必要的時候需要root操作權限時,再通過“su -”命令來登錄為root用戶進行操作。
[centospub@sample ~]$ ← 提示符為“$”,說明當前狀態為一般用戶CentOS系統pub登錄在系統中
[centospub@sample ~]$ su - ← 輸入登錄為root用戶的命令
Password: ← 輸入root密碼(密碼不會被顯示),回車
[root@sample ~]# ← 成功登錄為root用戶,提示符變為“#”
[root@sample ~]# exit ← 回到一般用戶的登錄狀態
[centospub@sample ~]$ ← 提示符變為“$”,回到了一般用戶CentOS系統pub登錄系統的狀態
[4] 建立管理員組內一般用戶
在 一般情況下,一般用戶通過執行“su -”命令、輸入正確的root密碼,可以登錄為root用戶來對系統進行管理員級別的配置。但是,為了更進一步加強系統的安全性,有必要建立一個管理員的 組,只允許這個組的用戶來執行“su -”命令登錄為root用戶,而讓其他組的用戶即使執行“su -”、輸入了正確的root密碼,也無法登錄為root用戶。在UNIX下,這個組的名稱通常為“wheel”。
[root@sample ~]# usermod -G wheel centospub ← 將一般用戶 centospub 加在管理員組wheel組中
[root@sample ~]# vi /etc/pam.d/su ← 打開這個配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid ← 找到此行,去掉行首的“#”
auth required /lib/security/$ISA/pam_wheel.so use_uid ← 變為此狀態(大約在第6行的位置)
[root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs ← 添加語句到行末
以上操作完成后,可以再建立一個新用戶,然后用這個新建的用戶測試會發現,沒有加入到wheel組的用戶,執行“su -”命令,即使輸入了正確的root密碼,也無法登錄為root用戶。
[5] 建立PPPoE連接(非xDSL接入方式的用戶可跳過此步驟)
- [root@sample ~]# adsl-setup ← 建立ADSL連接
- Welcome to the ADSL client setup. First, I will run some checks on
- your system to make sure the PPPoE client is installed properly...
- LOGIN NAME
- Enter your Login Name (default root): ← 填入ADSL連接的用戶名
- INTERFACE
- Enter the Ethernet interface connected to the ADSL modem
- For Solaris, this is likely to be something like /dev/hme0.
- For Linux, it will be ethX, where 'X' is a number.
- (default eth0): ← 指定網絡接入設備,一塊網卡的情況下,一般為默認eth0
- Do you want the link to come up on demand, or stay up continuously?
- If you want it to come up on demand, enter the idle time in seconds
- after which the link should be dropped. If you want the link to
- stay up permanently, enter 'no' (two letters, lower-case.)
- NOTE: Demand-activated links do not interact well with dynamic IP
- addresses. You may have some problems with demand-activated links.
- Enter the demand value (default no): ← 直接按回車,接受默認設置
- DNS
- Please enter the IP address of your ISP's primary DNS server.
- If your ISP claims that 'the server will provide dynamic DNS addresses',
- enter 'server' (all lower-case) here.
- If you just press enter, I will assume you know what you are
- doing and not modify your DNS setup.
- Enter the DNS information here: ← 如果知道DNS服務器的信息在此填入。不知道的情況按回車跳過
- PASSWORD
- Please enter your Password: ← 輸入ADSL的連接密碼
- Please re-enter your Password: ← 再次確認輸入ADSL的連接密碼
- USERCTRL
- Please enter 'yes' (two letters, lower-case.) if you want to allow
- normal user to start or stop DSL connection (default yes): no ← 填入no,不允許一般用戶控制PPPoE的連接
- FIREWALLING
- Please choose the firewall rules to use. Note that these rules are
- very basic. You are strongly encouraged to use a more sophisticated
- firewall setup; however, these will provide basic security. If you
- are running any servers on your machine, you must choose 'NONE' and
- set up firewalling yourself. Otherwise, the firewall rules will deny
- access to all standard servers like Web, e-mail, ftp, etc. If you
- are using SSH, the rules will block outgoing SSH connections which
- allocate a privileged source port.
- The firewall choices are:
- 0 - NONE: This script will not set any firewall rules. You are responsible
- for ensuring the security of your machine. You are STRONGLY
- recommended to use some kind of firewall rules.
- 1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation
- 2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway
- for a LAN
- Choose a type of firewall (0-2): 0 ← 輸入0,不在這里使用防火墻
- Start this connection at boot time
- Do you want to start this connection at boot time?
- Please enter no or yes (default no): yes ← 填入yes,在系統啟動時自動連接ADSL
- ** Summary of what you entered **
- Ethernet Interface: eth0
- User name: caun870293@ca.dti.ne.jp
- Activate-on-demand: No
- DNS: Do not adjust
- Firewalling: NONE
- User Control: no
- Accept these settings and adjust configuration files (y/n)? y ← 配置信息確認無誤后,鍵入y同意設置
- Adjusting /etc/sysconfig/network-scripts/ifcfg-ppp0
- Adjusting /etc/ppp/chap-secrets and /etc/ppp/pap-secrets
- (But first backing it up to /etc/ppp/chap-secrets.bak)
- (But first backing it up to /etc/ppp/pap-secrets.bak)
- ?
- Congratulations, it should be all set up!
- Type '/sbin/ifup ppp0' to bring up your xDSL link and '/sbin/ifdown ppp0'
- to bring it down.
- Type '/sbin/adsl-status /etc/sysconfig/network-scripts/ifcfg-ppp0'
- to see the link status.
然后,啟動ADSL連接。
[root@sample ~]# adsl-start ← 啟動ADSL連接
[root@sample ~]# ← 稍等片刻后若啟動成功后出現提示符(無任何提示即意味著連接成功)
這時,通過“ifconfig”命令可以看到各網絡接口的信息(IP地址等等)。
[6] root郵件的轉送
在系統出現錯誤或有重要通知發送郵件給root的時候,讓系統自動轉送到我們通常使用的郵箱中,這樣方便查閱相關報告和日志。
[root@sample ~]# vi /etc/aliases ← 編輯aliases,添加如下行到文尾
root: yourname@yourserver.com ← 加入自己的郵箱地址
[root@sample ~]# newaliases ← 重建aliasesdb
/etc/aliases: 79 aliases, longest 19 bytes, 825 bytes total
[root@sample ~]# echo test | mail root ← 發送測試郵件給root
如果成功的話,會在剛剛填入的 yourname@yourserver.com 的郵箱中收到測試的郵件。
[7] locate命令用數據庫更新及自動更新設定
locate命令是Linux下告訴搜索文件用的工具,它的原理和Windows下的“Google桌面搜索”有點類似,是通過事先建立數據庫的方式,來達到高速查找目標文件的目的。
[root@sample ~]# vi /etc/updatedb.conf ← 編輯locate數據庫更新配置文件
DAILY_UPDATE=no ← 找到這一行,將“no”改為“yes”
DAILY_UPDATE=yes ← 變為此狀態后,保存、退出
[root@sample ~]# updatedb ← 運行locate數據庫更新命令,稍等片刻…更新成功后出現提示符
[8] 定義yum的非官方庫
在服務器構建的過程中,我們將要用到的一些工具不存在于CentOS系統中yum的官方庫中,所以需要定義yum的非官方庫文件,讓一些必需的工具通過yum也能夠安裝。
- [root@sample ~]# vi /etc/yum.repos.d/dag.repo ← 建立dag.repo,定義非官方庫
- [dag]
- name=Dag RPM Repository for Red Hat Enterprise Linux
- baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
- gpgcheck=1
- enabled=1
- [root@sample ~]# rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt ← 導入非官方庫的GPG
[9] 停止打印服務
如果不準備提供打印服務,停止默認被設置為自動啟動的打印服務。
- [root@sample ~]# /etc/rc.d/init.d/cups stop ← 停止打印服務
- Stopping cups: [ OK ] ← 停止服務成功,出現“OK”
- [root@sample ~]# chkconfig cups off ← 禁止打印服務自動啟動
- [root@sample ~]# chkconfig --list cups ← 確認打印服務自啟動設置狀態
- cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off ← 0-6都為off的狀態就OK(當前打印服務自啟動被禁止中)
[10] 停止ipv6
在CentOS系統默認的狀態下,ipv6是被啟用的狀態。因為我們不使用ipv6,所以,停止ipv6,以***限度保證安全和快速。
首先再次確認一下ipv6功能是不是被啟動的狀態。
[root@sample ~]# ifconfig -a ← 列出全部網絡接口信息
- eth0 Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3
- inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0
- inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link
- UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
- RX packets:84 errors:0 dropped:0 overruns:0 frame:0
- TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
- collisions:0 txqueuelen:1000
- RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB)
- Interrupt:185 Base address:0x1400
- lo Link encap:Local Loopback
- inet addr:127.0.0.1 Mask:255.0.0.0
- inet6 addr: ::1/128 Scope:Host
- UP LOOPBACK RUNNING MTU:16436 Metric:1
- RX packets:12 errors:0 dropped:0 overruns:0 frame:0
- TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
- collisions:0 txqueuelen:0
- RX bytes:952 (952.0 b) TX bytes:952 (952.0 b)
- sit0 Link encap:IPv6-in-IPv4 ← 確認ipv6是被啟動的狀態
- NOARP MTU:1480 Metric:1
- RX packets:0 errors:0 dropped:0 overruns:0 frame:0
- TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
- collisions:0 txqueuelen:0
- RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
CentOS系統安裝后然后修改相應配置文件,停止ipv6。
[root@sample ~]# vi /etc/modprobe.conf ← 修改相應配置文件,添加如下行到文尾:
alias net-pf-10 off
alias ipv6 off
[root@sample ~]# shutdown -r now ← 重新啟動系統,使設置生效
***確認ipv6的功能已經被關閉。
- [root@sample ~]# ifconfig -a ← 列出全部網絡接口信息
- eth0 Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3
- inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0
- inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link
- UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
- RX packets:84 errors:0 dropped:0 overruns:0 frame:0
- TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
- collisions:0 txqueuelen:1000
- RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB)
- Interrupt:185 Base address:0x1400 lo Link encap:Local Loopback
- inet addr:127.0.0.1 Mask:255.0.0.0
- inet6 addr: ::1/128 Scope:Host
- UP LOOPBACK RUNNING MTU:16436 Metric:1
- RX packets:12 errors:0 dropped:0 overruns:0 frame:0
- TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
- collisions:0 txqueuelen:0
- RX bytes:952 (952.0 b) TX bytes:952 (952.0 b)
(確認ipv6的相關信息沒有被列出,說明ipv6功能已被關閉。)
【編輯推薦】
