Linux操作系统安装部署安全规范
为了规范安装Linux系统，减少平台部署中出现的问题，并且方便管理与维护；体现公司运维规范、专业化，特制定Linux安装部署规范文档
一、安装前的准备工作
1、操作系统的选择
操作系统统一选用Centos 5.X 系统 64位版本
2、操作系统的安装信息收集
1) 服务器的内存大小
2）分区的特殊需求
3）Ip地址的规划
4）防火墙的配置要求
5）如未有特殊要求将按照以下规范安装系统
二、安装系统过程详细要求
操作系统安装过程
点击“新建”按钮文件系统类型选择 LVM
创建LVM物理卷，使用全部可用空间
点击红色框内的 LVM(L) 出现下面这个窗口
点击添加“创建LVM逻辑卷”挂载到根分区，针对硬盘较小的服务器（一百多G或更小容量),根分区分配20G 空间服务器空间在200G以上者，根分区分配50G空间
再继续点击“添加添加swap交换分区分区容量与内存大小相同
再点击添加挂载点设置为/data 使用全部剩余空间
点击确定然后下一步
直接下一步
密码默认设置为sd@2012
选择“现在定制”安装
基本系统里面选择基本、管理工具、系统工具三项应用程序里面选择编辑器一项
开发里面选择“开发工具“、“开发库”两项
语言支持里面默认选择”中文支持“
其他选项里面都不要勾选任何软件包，点击下一步
安装系统完成后重启系统
三、系统安装完成后设置
1.系统setup 设置
进入系统后执行setup命令，有时候setup会自动执行
选择防火墙配置
全部选择Disabled 然后选择OK 退出选择系统服务配置(System services)
把 acpid apmd autofs cups bluetooth cpuspeed firstboot gpm ip6tables ipm iscsi iscsid netfs nfslock restorecond setroubleshoot smartd xfs yumupdatesd 前面的* 去掉 (按空格键去掉) 禁止这些服务开机启动
2. 设置系统参数
1）sysctl内核参数
编辑 /etc/sysctl.conf
在原有内容的基础上添加以下内容
# Add
net.ipv4.ip_forward = 1
net.ipv4.tcp_max_syn_backlog = 262144
dev_max_backlog = 262144
net.core.somaxconn = 262144
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 1024 65535
fs.file-max=102400
net.ipv4.tcp_keepalive_time = 30
2）设置文件描述符
执行echo "ulimit -SHn 102400 ">>/etc/profile
3、系统文件安全设置
1）vim /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now 找到此处改成
#ca::ctrlaltdel:/sbin/shutdown -t3 –r now 前面加上注释防止ctrl+alt+del 重启服务器
2）系统帐户配置
账号管理vim /etc/passwd 文件以下账号可以锁定或者删除
gopher sync games smmsp xfs shudwon rpc rpcuser uucp postgres news nscd operator halt
方法 1: usermod –L 用户锁定用户
2: userdel 用户删除用户
删除不需要的用户组
vim /etc/group
删除与刚才删除的用户名相同的组
删除组
groupdel 用户组名
修改passwd、shadow、group文件权限
cd /etc
chown root:root passwd shadow group
chmod 600 passwd
chmod 600 group
chmod 400 shadow
4、IP地址规划
服务器一般情况下有两个、四个或以上网卡要求：
如无特殊需求，服务器一概配置一个公网IP
Eth0:配置为公网IP
Eth1:配置为内网IP
如遇服务器只有内网IP:：eth1:配置为内网如果内网有多个、依次排列 eth2、eth3等
5、添加定时校对时间任务：
执行：crontab -e 添加下面一行
0 1 * * * /usr/sbin/ntpdate
执行 chkconfig crond on 确保crond服务为开机启动
6、升级系统
执行 yum update -y 命令升级系统需要长时间等待
7、设置iptables防火墙
先清除防火墙规则
/sbin/iptables -F
/sbin/iptables -X
执行iptables-save >/etc/sysconfig/iptables 保存防火墙规则编辑 /etc/sysconfig/iptables 文件修改为一下内容
----------------------------------------------------
*filter
:INPUT ACCEPT [47:4040]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [37:3724]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT (如eth1为内网)
-A INPUT -s 222.141.219.36 -j ACCEPT
-A INPUT -s 125.46.68.0/26 -j ACCEPT
-A INPUT -s 125.46.36.128/25 -j ACCEPT
-A INPUT -s 182.118.3.128/25 -j ACCEPT
-A INPUT -s 61.158.255.0/24 -j ACCEPT
-A INPUT -s 202.111.128.0/24 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j DROP
COMMIT
------------------------------------------------------- 开启iptables服务 chkconfig iptables on
service iptables restart
8、执行完以上所有步骤后重启系统
四、本文档所涉及配置，针对所有新装linux系统。