$1 我的Linux需求
Linux博大精深。我只在此討論一些我對線上Linux機器維護人員的基本需求,比如裝機,加硬盤,配網絡。只討論CentOS 6,或者類似的RHEL,當然Ubuntu也可以此類推,但是一些新特性不予討論,因為我不懂,比如CentOS 7的xfs不予討論,並不是說xfs不好,而是以目前我的Linux水平需要更新很多xfs的知識,駕馭需要時間。CentOS 7將ifconfig,netstat等原來常用的命令也干掉了,用ip,lsof替換是更加好的工具,但是大部分的線上機器都應該還沒有更新到CentOS 7。下面我們以CentOS
6作為基礎,談我認為最基本的4點。
$1.1 最小化安裝
CentOS有一個minimal版本,相對於標准版去掉了很多Service,比如Network Manager,安裝最小版本以後的網絡配置是需要admin進行寫配置文件的。我個人認為這樣是比較好的,因為這樣才能知道Linux內核真正關心的是哪些配置文件,直達核心。一些必要的監控工具,完全可以通過yum
install來完成。作為線上機器,還是最小化安裝,做到能不開的服務就不開,能關掉的端口就關掉,這樣既能將寶貴的硬件資源留下來給應用程序,也能夠做到更加的安全。
$1.2 足夠安全
除了將能關的端口關掉,能不用的服務關掉以外,安全還需要做到特定的服務只能訪問特定的內容。哪怕是root賬戶,不能訪問的文件和文件夾還是不能訪問,更加不能操作。開啟SELinux以後,能夠做到在不修改SELinux的情況下,指定的服務只能訪問指定的資源。對於ssh要做到關閉賬戶密碼登錄,只能通過秘鑰登錄,這樣在保證秘鑰不被盜用的情況下是最安全的。
$1.3 資源按需調度
我們經常會遇到這樣一個問題,假設將磁盤sda掛載到/var目錄,但是由於log太多或者上傳的文件等等其他因素將硬盤吃光了,再創建一塊sdb磁盤就無法掛載到/var目錄了,其實Linux自帶的lvm已經解決了這個問題,並且CentOS默認就是用lvm來管理磁盤的。我們需要學會如何格式化一塊硬盤為lvm,然後掛載到對應目錄,在空間被吃光前能夠添加一塊硬盤就自動擴容。
$1.4 網絡監控
Linux本地要利用好net_filter,也就是iptables,來規劃服務哪些網絡流量,拋棄哪些網絡流量。以及在進行組網的時候需要用router來進行網關的創建,在遇到網絡問題的時候通過netstat來查看網絡訪問異常。網絡這塊內容很多很雜,各種參數,TCP/IP協議棧等等,但是往往問題還就是出在網絡這塊,所以要給與高度的關注。
$2 Linux的理念與基礎
小談幾點我對Linux的認識。
$2.1 Linux的文件系統
Linux將所有的事物都看成文件,這一點人盡皆知。我想說的是,除了傳統的ext文件系統,Linux在抽象不同的資源的時候其實有各種不同的文件系統,都是從需求和使用出發,比如proc文件系統就是針對進程的抽象,使得修改對應進程的值就可以直接改變進程的行為。再比如,對於遠程ssh登錄的pts設備,Linux有對應的devpts文件系統。看下面表哥的type一欄。
| file_system | dir | type | options | dump | pass | /dev/mapper/VolGroup-lv_root/ext4defaults11UUID=xxx/bootext4defaults12/dev/mapper/VolGroup-lv_swapswapswapdefaults00tmpfs/dev/shmtmpfsdefaults00devpts/dev/ptdevptsgid=5,mod=62000sysfs/syssysfsdefaults00proc/procprocdefaults00
$2.2 Linux的權限管理
Linux的
-rwxrwxrwx
權限管理也可謂人盡皆知,其實Linux自己也意識到了這樣的權限管理所帶來的一些局限性。首先rwx的權限管理是基於用戶和組的,並且只是大致的分為
owner|group|other
這三類,無法再作更加細粒度的劃分。有鑒於此,Linux目前默認是有ACL(Access Control List)管理的,所謂ACL就是能夠提供更加細粒度的用戶和組管理,比如可以明確哪個user可以有什麼樣的權限。如下示例
getfacl abc
# file: abc
# owner: someone
# group: someone
user::rw-
user:johny:r-x
group::r--
mask::r-x
other::r--
而SELinux提供了不基於用戶與組的權限管理,SELinux是基於應用程序的,什麼樣的應用程序可以使用什麼資源,對於這些資源這個應用程序能干嘛,這個就是SELinux的管理方式。
$2.3 Linux上的Service
Linux上的Service組織得非常清晰,
/etc/init.d/
裡面包含了所有的Service啟動腳本,對應的二進制文件在
/usr/bin 、 /usr/sbin 、 /usr/local/bin
等目錄下,一般而言配置文件在
/etc/app_name
下,還有一個chkconfig的工具來管理各個
runlevel
下需要啟動的Service。這樣的約定俗成使得管理員在配置和使用的時候非常方便。Linux標准的Service都會將log記錄到
/var/log/messages
中,使得系統管理員不需要翻閱各種log,直接在
/var/log/messages
中就可以找到絕大部分的log來判斷當前系統是否正常。更甚者,
syslogd
被
rsyslogd
替換以後,可以將/var/log/messages中的內容通過UDP發送到遠端用專業的log分析工具進行分析。我們需要學習Linux上Service的這些優秀的編程習慣和技巧。
$3 磁盤
根據$1中的需求,下面是我記錄的一些基本的磁盤操作。
df -lah
查看磁盤的使用情況
fdisk -l
查看插入到磁盤驅動器中的硬盤; sd(a,b,c)(1,2,3),其中a是第一塊磁盤,b是第二塊磁盤,1,2,3表示磁盤上的主分區,最多4個。用fdisk從磁盤創建分區並且格式化。
LVM(logical volume manager),主要就是滿足加硬盤就能直接寫數據的功能,而不會出現磁盤滿了,新的磁盤只能掛載其他目錄的情況。lvm有幾個概念,VG, PV。將磁盤lvm格式化,創建PV, 創建VG,將創建的PV加入VG,然後在VG中創建lvm,然後就可以動態增加大小了。注意,將磁盤格式化為lvm,但是lv的格式化需要用ext,然後才能mount上去。參考這篇文章CentOS
6 卷組掛載硬盤教程
mount -t type(ext4|nfs) /dev/sdxn /path/dir
來掛載。如果要重啟生效,必須將掛載信息寫入到
/etc/fstab
磁盤IO效率(IOPS)需要用
vmstat
,
top
等工具來查看。和性能相關的調優和監控留待後續文章詳述。
$4 網絡
網絡的坑很多,需要把網絡搞通沒個3,4年很難。下面從網絡的配置文件著手,簡單理一下網絡方面的內容。網絡最難的方面應該是如何搭建一個合理的高效的局域網或者城域網,這個需要有專業的網絡知識。
$4.1 配置文件
/etc/hosts
私有IP對應主機名
/etc/resolv.conf
nameserver DNS的IP
/etc/sysconfig/network
其中NETWORKING=要不要有網絡,HOSTNAME=主機名,NETWORKING_IPV6=支持ipv6否
/etc/sysconfig/network-scripts/ifcfg-xxx
其中DEVICE=網卡代號,BOOTPROTO=是否使用dhcp,HWADDR,IPADDR,NETMASK,ONBOOT,GATEWAY
$4.2 與網絡有關的一些命令
router -n
查看路由的命令,特別是要看帶G的,表示gateway,而帶U的表示up。
netstat -anp
查看所有啟動的
tcp
,
udp
,
unix stream
的應用程序,以及他們的狀態,具體可以參考TCP/IP,JavaSocket簡單分析一文。
$5 安全
$5.1 PAM
PAM只需要簡單了解就行,是一個可插拔的認證模塊。我的理解是:開發Linux的極客們搞出來的可復用的一個組件。舉個例子,現在有一個app,想要驗證當前的登錄用戶是否有權限操作某個目錄,那麼在PAM裡面有現成的模塊,app只需要
include
這個模塊,給出一個配置文件,就可以了。有一個非常好的關於PAM的視頻教程,請看這裡
PAM是應用程序用來進行身份驗證的。早期的身份驗證和應用程序本身耦合,後來把身份驗證單獨抽出來,通過PAM來進行管理
/etc/pam.d/xxx
是能用pam來進行管理的應用程序PAM設置,在安裝應用程序的時候安裝。
/etc/security/mmm
,
/lib/security/pam_mmm
是一套。
$5.2 SELinux
SELinux也有一個非常好的視頻教程,請看這裡
getenforce
來查看SELinux是否被啟用
/etc/sysconfig/selinux enforcing
啟用SELinux
SELinux對“運行程序”配置和檢查其是否有權限操作“對象”(文件系統),而普通的ACL(rwx)就是根據文件所屬owner及其組來判斷。SELinux是看可執行文件的type和目錄文件的type是否兼容,來決定可執行文件是否能操作資源
$5.3 防火牆
下面是學習時候的一些摘錄。特別一點,要開啟內核參數
net.ipv4.ip_forward=1
,在
/etc/sysctl.conf
文件中,用
sysctl -p
來保存。所謂ip_forward指的是內核提供的從一個iface到另外一個iface的IP包轉發,比如將IP包從192.168.1.10的eth0轉發到10.0.0.123的eth1上。防火牆配置是需要專業技能的。
tcp_wrapper需要libwrap.so的支持,可執行文件在
ldd bin_file
出來沒有
libwrap.so
的,都不能用tcp_wrapper
iptables是按照規則進行短路判斷的,即 滿足條件1->執行action1->結束
iptables-save來更加清晰的查看
先刪掉全部規則,然後添加,比較簡單。添加的時候,先添加策略,再添加細部規則。一般來講,我們需要關注的是filter這個表的INPUT與OUTPUT
iptables -A(I) INPUT(OUTPUT,FORWARD) -i(o) iface -p tcp(ump,imp,all) -s (!)source -d dest -j ACCEPT(REJECT,DROP), 還支持的參數 —dport —sport
$6 工具
一個好的Linux命令參考網站
$6.1 CPU
top
特別注意load
ps aux
和
ps -ef
特別注意進程狀態
vmstat 1
表示每秒采集一次
sar -u 1
查看所有cpu相關的運行時間
$6.2 Memory
free
vmstat 1
注意其中的swap ram block之間的關系
sar -r 1
內存使用率
sar -W 1
查看swap,查詢是否由於內存不足產生大量內存交換
$6.3 IO
lsof -i:port
查詢哪個進程占用了這個端口號
lsof -u username
用戶打開的文件
lsof -p pid
進程打開的文件
雜項
關於安裝好系統之後的運行腳本,這邊有一個參考
#!/bin/bash
#################################################
# author huachao
# date 2015-12-09
# email [email protected]
# web blog.huachao.me
#################################################
flagFile="/root/centos6-init.executed"
precheck(){
if [[ "$(whoami)" != "root" ]]; then
echo "please run this script as root ." >&2
exit 1
fi
if [ -f "$flagFile" ]; then
echo "this script had been executed, please do not execute again!!" >&2
exit 1
fi
echo -e "\033[31m WARNING! THIS SCRIPT WILL \033[0m\n"
echo -e "\033[31m *1 update the system; \033[0m\n"
echo -e "\033[31m *2 setup security permissions; \033[0m\n"
echo -e "\033[31m *3 stop irrelevant services; \033[0m\n"
echo -e "\033[31m *4 reconfig kernel parameters; \033[0m\n"
echo -e "\033[31m *5 setup timezone and sync time periodically; \033[0m\n"
echo -e "\033[31m *6 setup tcp_wrapper and netfilter firewall; \033[0m\n"
echo -e "\033[31m *7 setup vsftpd; \033[0m\n"
sleep 5
}
yum_update(){
yum -y update
#update system at 5:40pm daily
echo "40 3 * * * root yum -y update && yum clean packages" >> /etc/crontab
}
permission_config(){
#chattr +i /etc/shadow
#chattr +i /etc/passwd
}
selinux(){
sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/sysconfig/selinux
setenforce 1
}
stop_services(){
for server in `chkconfig --list |grep 3:on|awk '{print $1}'`
do
chkconfig --level 3 $server off
done
for server in crond network rsyslog sshd iptables
do
chkconfig --level 3 $server on
done
}
limits_config(){
cat >> /etc/security/limits.conf <<EOF
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
EOF
echo "ulimit -SH 65535" >> /etc/rc.local
}
sysctl_config(){
sed -i 's/net.ipv4.tcp_syncookies.*$/net.ipv4.tcp_syncookies = 1/g' /etc/sysctl.conf
sed -i 's/net.ipv4.ip_forward.*$/net.ipv4.ip_forward = 1/g' /etc/sysctl.conf
cat >> /etc/sysctl.conf <<EOF
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.ip_local_port_range = 1024 65535
EOF
sysctl -p
}
sshd_config(){
if [ ! -f "/root/.ssh/id_rsa.pub" ]; then
ssh-keygen -t rsa -P '' -f /root/.ssh/id_rsa
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys
fi
#sed -i '/^#Port/s/#Port 22/Port 65535/g' /etc/ssh/sshd_config
sed -i '/^#UseDNS/s/#UseDNS no/UseDNS yes/g' /etc/ssh/sshd_config
#sed -i 's/#PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
sed -i 's/#PermitEmptyPasswords yes/PermitEmptyPasswords no/g' /etc/ssh/sshd_config
sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config
/etc/init.d/sshd restart
}
time_config(){
#timezone
echo "TZ='Asia/Shanghai'; export TZ" >> /etc/profile
# Update time
if [! -f "/usr/sbin/ntpdate"]; then
yum -y install ntpdate
fi
/usr/sbin/ntpdate pool.ntp.org
echo "30 3 * * * root (/usr/sbin/ntpdate pool.ntp.org && /sbin/hwclock -w) &> /dev/null" >> /etc/crontab
/sbin/service crond restart
}
iptables(){
cat > /etc/sysconfig/iptables << EOF
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
EOF
/sbin/service iptables restart
source /etc/profile
}
other(){
# initdefault
sed -i 's/^id:.*$/id:3:initdefault:/' /etc/inittab
/sbin/init q
# PS1
#echo 'PS1="\[\e[32m\][\[\e[35m\]\u\[\e[m\]@\[\e[36m\]\h \[\e[31m\]\w\[\e[32m\]]\[\e[36m\]$\[\e[m\]"' >> /etc/profile
# Wrong password five times locked 180s
sed -i '4a auth required pam_tally2.so deny=5 unlock_time=180' /etc/pam.d/system-auth
}
vsftpd_setup(){
yum -y install vsftpd
mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
touch /etc/vsftpd/chroot_list
setsebool -P ftp_home_dir=1
cat >> /etc/vsftpd/vsftpd.conf <<EOF
# normal user settings
local_enable=YES
write_enable=YES
local_umask=022
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
local_max_rate=10000000
# anonymous settings
anonymous_enable=YES
no_anon_password=YES
anon_max_rate=1000000
data_connection_timeout=60
idle_session_timeout=600
# ssl settings
#ssl_enable=YES
#allow_anon_ssl=NO
#force_local_data_ssl=YES
#force_local_logins_ssl=YES
#ssl_tlsv1=YES
#ssl_sslv2=NO
#ssl_sslv3=NO
#rsa_cert_file=/etc/vsftpd/vsftpd.pem
# server settings
max_clients=50
max_per_ip=5
use_localtime=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
tcp_wrappers=YES
#banner_file=/etc/vsftpd/welcome.txt
dual_log_enable=YES
pasv_min_port=65400
pasv_max_port=65410
EOF
chkconfig --level 3 vsftpd on
service vsftpd restart
}
main(){
precheck
printf "\033[32m================%40s================\033[0m\n" "updating the system "
yum_update
printf "\033[32m================%40s================\033[0m\n" "re-config permission "
permission_config
printf "\033[32m================%40s================\033[0m\n" "enabling selinux "
selinux
printf "\033[32m================%40s================\033[0m\n" "stopping irrelevant services "
stop_services
printf "\033[32m================%40s================\033[0m\n" "/etc/security/limits.config "
limits_config
printf "\033[32m================%40s================\033[0m\n" "/etc/sysctl.conf "
sysctl_config
printf "\033[32m================%40s================\033[0m\n" "sshd re-configuring "
sshd_config
printf "\033[32m================%40s================\033[0m\n" "configuring time "
time_config
printf "\033[32m================%40s================\033[0m\n" "configuring firewall "
# iptables
printf "\033[32m================%40s================\033[0m\n" "someother stuff "
other
printf "\033[32m================%40s================\033[0m\n" "done! rebooting "
touch "$flagFile"
sleep 5
reboot
}
main
