生产环境Linux部署

1. 启动网卡

ifup eth0

2. SSH链接 ifconfig 查看IP后SSH终端连接

3. 更新基本软件包

yum install ntpdate wget lsof -y

备份原系统更新源

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

进入yum.repos.d目录

cd /etc/yum.repos.d
# 下载网易镜像源：
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
# 或者
# 下载搜狐镜像源：
wget http://mirrors.sohu.com/help/CentOS-Base-sohu.repo

更新系统以及内核

yum clean all
yum makecache
yum upgrade

4. 系统时间更新和设定定时任务

echo '*/30 *  *  *  *  /usr/sbin/ntpdate cn.pool.ntp.org && hwclock -w && hwclock --systohc >/dev/null 2>&1' >> /var/spool/cron/root

5. 修改ip地址、网关、主机名、DNS #eth0 网卡设置

mv /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0.bak
vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #网卡设备名称
HWADDR=00:0C:29:D0:C7:B5 #以太网设备的对应的物理地址
TYPE=Ethernet #网络类型为以太网模式
UUID=080a457b-6a53-4a3a-9155-a23c1146c2c6 #通用唯一识别码
ONBOOT=yes #是否启动引导的时候激活YES
NM_CONTROLLED=no #设备eth0是否可以由Network Manager图形管理工具托管
BOOTPROTO=dhcp #静态IP地址获取状态 如：DHCP表示自动获取IP地址
IPADDR=192.168.1.10 #IP
IPV6INIT=no
IPV6_AUTOCONF=no
NETMASK=255.255.255.0 #网卡对应的网络掩码
GATEWAY=192.168.1.1 #网关地址

网关配置

vi /etc/sysconfig/network
#表示系统是否使用网络，一般设置为yes。如果设为no，则不能使用网络，而且很多系统服务程序将无法启动
NETWORKING=yes
#设置本机的主机名，这里设置的主机名要和/etc/hosts中设置的主机名对应
HOSTNAME=c65mini.localdomain
#设置本机连接的网关的IP地址。例如，网关为10.0.0.1或者192.168.1.1
GATEWAY=192.168.1.1

DNS

vi /etc/resolv.conf
; generated by /sbin/dhclient-script
nameserver 8.8.8.8
nameserver 4.4.4.4

HOSTS

vi /etc/hosts
127.0.0.1 lvtao.localdomain
#使用DNS域名服务器来解析名字
order bind hosts
#一台主机是否存在多个IP
multi on
#如果用逆向解析找出与指定的地址匹配的主机名，对返回的地址进行解析以确认它确实与您查询的地址相配。为了防止“骗取”IP地址
nospoof on

重启网卡

service network restart

6. 修改SSH端口号和屏蔽root账号远程登陆

#备份SSH配置 
cp /etc/ssh/sshd_config sshd_config_bak 
#修改SSH安全配置 
vi /etc/ssh/sshd_config
#SSH链接默认端口
port 52113
#禁止root账号登陆
PermitRootLogin no
#禁止空密码
PermitEmptyPasswords no
#不使用DNS
UseDNS no

重启服务确认端口生效

/etc/init.d/sshd reload 
lsof -i tcp:52113

7. 锁定关键文件系统

chattr +i /etc/passwd
chattr +i /etc/inittab
chattr +i /etc/group
chattr +i /etc/shadow
chattr +i /etc/gshadow

8. 精简开机自启动服务

#关闭全部服务
for sun in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $sun off;done
#开启需要的服务
for sun in crond rsyslog sshd network;do chkconfig --level 3 $sun on;done
#或者需要使用防火墙的话可以开启iptables和ip6tables
for sun in crond rsyslog sshd network iptables ip6tables;do chkconfig --level 3 $sun on;done

> chkconfig --list|grep 3:on
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
ip6tables       0:off   1:off   2:on    3:on    4:on    5:on    6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off

9. 调整文件描述符大小

设置配置，重启生效

echo '* soft nofile 65535 
* hard nofile 65535 
* soft nproc 65535 
* hard nproc 65535 
* soft nofile 65535
* hard nofile 65535' >> /etc/security/limits.conf 

临时生效

ulimit -SHn 65535
ulimit -s 65535

10. 设置系统字符集，使用英文

sed -i 's#LANG="zh_CN.*"#LANG="en_US.UTF-8"#' /etc/sysconfig/i18n

11. 内核参数优化 vi /etc/sysctl.conf

mv /etc/sysctl.conf /etc/sysctl.conf.default
echo 'net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768

net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2

net.ipv4.tcp_tw_recycle = 1
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800

#net.ipv4.tcp_fin_timeout = 30
#net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 1024 65535

net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120' > /etc/sysctl.conf

### 生效
sysctl -p

12. 删除不必要的系统用户和群组

#删除不必要的用户
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp
#删除不必要的群组
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers

13. 设置一些全局变量

#设置自动退出终端，防止非法关闭ssh客户端造成登录进程过多，可以设置大一些，单位为秒
echo "TMOUT=3600">> /etc/profile
#历史命令记录数量设置为10条
sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile
#立即生效
source /etc/profile

生产环境Linux部署

July 12, 2017

1. 启动网卡

2. SSH链接 ifconfig 查看IP后SSH终端连接

3. 更新基本软件包

4. 系统时间更新和设定定时任务

5. 修改ip地址、网关、主机名、DNS #eth0 网卡设置

6. 修改SSH端口号和屏蔽root账号远程登陆

7. 锁定关键文件系统

8. 精简开机自启动服务

9. 调整文件描述符大小

10. 设置系统字符集，使用英文

11. 内核参数优化 vi /etc/sysctl.conf

12. 删除不必要的系统用户和群组

13. 设置一些全局变量

Nginx 自动禁止爬虫IP采集

GoogleTagManager 国内代理以及Chrome Extension接入GA4

Redis原子性事务Lua应用