|
|
本文档重点在配置Bind和设置防火墙,其他尽量从简,相应章节的安装过程可以参考相应的操作文档。
一、从简架设裸Linux服务器
1、 为了节约系统资源,采用文本安装的方式,输入 Linux text 按 回车 键,这样系统安装完毕后,会默认工作在 init 3 的级别下,同时不会使用RedHat 的图形界面安装,可以节约安装时间及效率。里面又个地方涉及到需要输入 installation number ,经过验证,可以输入:550dd56b51499bd5
2、下面简单说下分区
分区要求:通常情况安装系统是/boot; /; swap 三个分区。
序号
| 挂载点
| 容量
| 说明
| 1
| /boot
| 200M
| 作为单独的/boot系统引导区,即使主要的root分区出了问题,计算机依然能够启动。同时将容量调整为200M,以备后用
| 2
| swap
| 8G
| 交互分区,大小一般设定为机器物理内存的1-2倍。
| 3
| /
| 15G
| 是根目录“/”的所在地,启动系统所须的文件和系统配置文件
| 5
| /home
| 20G
| 用户的home目录所在地,用户登录分区,同时可以对用户或者用户分组实行硬盘限额功能,这样当进行升级或者安装新版本的linux操作系统时,就不会覆盖原有的用户登录数据了。这个分区的大小取决于有多少用户,根用户可以很好地控制普通用户使用计算机,如对用户或者用户组实行硬盘限量使用,限制普通用户访问哪些文件等。
| 6
| /var
| 10G
| 主要存放系统日志,设立单独分区,即使系统日志文件出现问题,也不影响系统主分区。也就不会使计算机崩溃。如WEB服务器,可分20GB或根据实际情况加大
| 7
| /tmp
| 4G
| 存放临时文件。对于多用户系统或网络服务器是有必要的。即使程序运行时生成大量的临时文件,或用户对系统进行了错误操作,文件系统的其它部分仍是安全的。因为文件系统的这一部分仍然还承受着读写操作,所以它通常会比其它的部分更快地发生问题。
| 8
| /u01
| 剩余空间
| 存放数据库文件,或同类的大量的数据文件
|
注:上表中的容量只是参考值,或者说是最小值,具体部署时要根据业务数据要求来调整容量。
3、将下面默认都进行安装的组件都取消。原因:下面的组件经过确认都是不常用的组件。其实下面的组件取消后,几乎已经没有会被安装的组件了。
4、计算机会自动开始安装系统。 至此裸系统安装完毕
二、设置网络
1、 使用setup命令,图形化设置
设置完毕后,保存退出即可,如果需要设置DNS服务器地址,可以在下图所示的“Edit
DNS configuration”处设置。
2、 使用命令行,手工录入
命令行模式,要比图形界面方便快捷,如下图所示。输入“vi /etc/sysconfig/network-
scripts/ifcfg-eth0” 即可对网卡1进行配置
示例说明:
DEVICE 设备名称,禁止修改
BROADCAST 广播地址
IPADDR IP地址
NETMASK 子网掩码
NETWORK 网络地址
GATEWAY 网关地址
ONBOOT 是否随系统启动
TYPE 网卡类型
设置完成后,需要手工对网卡进行重新启动。
DNS地址设置路径为 /etc/resolv.conf ,这里所说的DNS与我们要架设的DNS服务器的配置不一样。这里只是告诉系统DNS服务器的IP地址是多少而已。
至此,裸系统安装完毕,网络也能够连通了。配置yum需要外网的,如果在公司内部架设,不仅需要外网,还需要能够不受行为管理设备的控制。
三、设置yum
1、 删除Linux系统自带的yum
2、 下载指定的yum安装包,从下图可以看出,yum-*yum-fastestmirror-*yum-metadata-parser*-这三个安
装包都是从http://centos.ustc.edu.cn/centos/5/os/x86_64/CentOS/ 下载得来的,还有就是需要注意,本次下载都是64位的安装包。32位的安装包在这里http://centos.ustc.edu.cn/centos/5/os/i386/CentOS/
3、 或者从其他机器复制安装包,如果知道哪台linux机器里有上面所说的安装包,linux之间互拷更快。示例只
演示其中的一条拷贝命令,举一反三,真的很好用,强烈推荐。
示例说明:
Scp linux间互相拷贝的命令
-r 可以传输整个文件夹,没有这个参数,只能拷贝单个文件
源文件在前,需指定绝对路径,系统会补全,后边同样是绝对路径,系统不能补全,只要指定需要复制到的文件夹即可
root@172.16.10.99: root是目标主机有管理权限的账户,172.16.10.99是目标主机IP地址,ip地址前面的@符号和地址后边的冒号必须有,命令格式如此,无解释。
命令执行过程中,可能会让你选择yes或者no,个人理解应该是yes ,root@172.16.10.99's password: 需要输入的是目标主机的root账户的密码。
另外需要注意的是,当同一个IP地址用在不同的linux主机上时,SCP会出现如下错误提示
解决方法很简单,进入 /root/.ssh/ 目录下,rm - rf(删除)掉 known_hosts 即可。
4、 安装yum安装包
如上图所示,我们首先需要到安装包所在位置才能使用rpm进行安装,这个道理Windows也是一样的。
之所以用rpm –ivh yum-* 是因为我这里所要安装的三个包有依赖关系,使用yun-* 系统自己就可以搞定了。
5、 确认安装信息
6、 下载源配置文件CentOS-Base.repo
需要到上图所示的路径下载源配置文件,并且该配置文件需要放在 /etc/yum.repos.d/目录下,千万不要搞错了哦。
7、 激活yum (看命令“i386”应该是32位的,但是激活后也可以用)
64位系统激活:rpm –import http://ftp.sjtu.edu.cn/centos/5/os/x86_64/RPM-GPG-KEY-CentOS-5
32位系统激活:rpm –import http://ftp.sjtu.edu.cn/centos/5/os/i386/RPM-GPG-KEY-CentOS-5
8、 更新yum
更新的过程是个漫长的过程,根据网速可能需要10到15分钟可能还会更长时间,不过好在系统会给你个动态的窗口显示出来,让你知道,系统还没死,在活着。
9、 清空yum缓存
四、安装Bind
A、Yum安装
Yum安装Bind是个很简单的过程,yum的功能很强大,可以自动的安装所需要的所有依赖包,泡茶喝水等待yum自己完成就行了。
如果安装过程中有Locating /var/named/chroot/ /etc/named.conf failed:【失败】 字样,需要将/usr/share
/doc/bind-9.3.3/sample/etc/named.conf范本文件复制为 /etc/named.comf 即可。
Yum安装完之后,我们实际的工作路径为 /var/named/chroot/var/named ,另外yum安装的时候,一定如
图中所示指定需要安装的bind版本,否则yum会因为默认选择了bind97版本而报错。
完成上面的操作之后,我们还需要安装另外一个包caching-nameserver
在这里,我们学习一个新的参数 rpm –ql bind ,可以知道包文件都被安装到那些地方去了。方便配置。
B、rpm安装(推荐使用此方法)
鉴于bind安装包之间的依赖关系,下面的安装要安装截图的顺序安装貌相可以避免这个问题。
安装完毕后,使用 rpm –qa | grep bind 以及 rpm –qa | grep caching ,验证包是否都已经安装完毕
五、配置bind
A、主配置文件
Bind初始安装完毕,/var/named/chroot/etc 目录下,是没有主配置文档named.conf的,需要从模板里复制一份过来
示例说明:
-p 在复制的时候,将原文件的权限同样赋予新文件
因为bind.conf文件涉及的内容较多,我们只修改下图截图部分的内容,其他参数暂不修改。
示例说明:(所有的{}前后各需要一个空格)
listen-on port 53 { 10.10.0.1; }; 监听端口和IP地址,不设则是监听所有IP;
listen-on-v6 port 53 { ::1; };监听端口和IP地址,不设则是监听所有IP;
directory “/var/named”;默认即可,不需要修改;
dump-file默认即可,不需要修改;
statistics-file 默认即可,不需要修改;
memstatistics-file 默认即可,不需要修改;
query-source port 53;客户端在进行DNS查询时必须使用53做为源端口;
query-source-v6 port 53;客户端在进行DNS查询时必须使用53做为源端口;
allow-query { localhost ; };或allow-recursion{} 建议使用any;
match-clients { localhost; };客户端的源IP,建议使用any;
match-destinations { localhost; };解析出的目标IP,可以any;
recursion yes|no;是否允许为客户机进行递归查询;
include “/etc/named.rfc1912.zones”;定义将指定的区域配置文件包含进当前文件;
allow-query-cache { any; }; 一定要添加服务器才会接受客户机解析公网域名。
可使用地址匹配符来表达允许的主机。
Any匹配所有IP地址
None不匹配任何IP地址
Localhost匹配本地主机
Localnets匹配本地网络。
若地址列表较多,通常可在options段之前,用acl定义一个访问控制列表,然后再在allow-query{}
中引用该访问控制列表,其用法示例如下:
acl mylan {127.0.0.1;192.168.168.0/24;};
options{
allow-query{mylan;};
};
channel default_debug {
file “data/named.run”;
severity dynamic; };
B、因为我们是要配置以172.16.10.4为主DNS服务器,本机172.16.10.98为辅助DNS服务器,所以还需在主配置文件 /var/named/chroot/etc/named.rfc1912.zones 进行修改
C、DNS激活(此步可以跳过,万不得已的时候才会需要)
明明是免费开源的东西,不着调的居然还要key,还好这些东西都可以从配置文档里找到,只是有些麻烦而
已。如下,重启named服务的时候,会有如下报错,提示没有哪个文件,其实就是需要复制一下KEY
复制第二行,secret 部分的东西,然后再编辑named.conf,粘贴到截图所显示位置即可成功重启named
D、同步过程
主辅DNS的同步好像也没什么花样,重新启动named服务就可以。Bind的守护进程叫 named
E、验证同步结果
示例说明:
查看 /etc/resolv.conf 文件所记录的本机的DNS记录信息,如果不是指向自己,需要手工修改本机的
resolv.conf文件的dns地址,需要指向自己哦。
示例说明:
通过ping 公司内网服务器www.xmjl.com 以及内网 主机a0319.golddraogn.com以及外网的www.sina.com.cn,来验证是否已经获取到这些记录信息。
六、关闭selinux
示例说明:
Selinux的配置文档在 /etc/selinux 目录下面,禁用此功能需要将config文档里的SELINUX=enforcing 修改为 SELINUX = disabled ,如下图所示:
需要注意的是,该配置需要在重新启动linux系统后才能完全生效。
七、设置防火墙
这里说明一下,本段配置只选择了设置于bind服务器上的功能选项,更多细节,参考RedHat Linux 5.5 x86_64
系统iptables设置。
A、清空iptables策略
示例说明:
-F 清空策略
B、添加策略
示例说明:
-A 顺序添加策略
INPUT 添加到INPUT策略组
-s 原目标网段或地址
-p 连接协议
--dport 端口
-j 应用策略
ACCEPT 允许通过
示例说明:
将iptabels保存到配置文件。否则重启后会失效。
八、SSHD等安全设置
这里说明一下,本段配置只选择了设置于bind服务器上的功能选项,更多细节,参考RedHat Linux 5.5 x86_64
系统iptables设置。
1、 备份sshd_config配置文件
示例说明:
Pwd 查看当前所处路径
-p 带源文件权限复制
需要注意的是,在 /etc/ssh 目录下还有另外一个类似于 sshd_config 的文件 ssh_config,在编辑的时候一定要注意,不要搞错了!
2、 配置sshd_config
示例说明:
Port sshd开放端口
Protocol sshd所使用的协议版本,一般都用版本2
Listenaddress 这里只能单个或多行添加ip地址,不能添加网段
示例说明:
Logingracetime 登陆时不输入密码的等待时间
Permitrootlogin no表示禁止root账户直接通过sshd登陆,yes表示可以
Maxauthtries 忘了啥意思了,反正这里配置了
本文转载自胖鲨鱼网络 http://www.pangshayu.com/html/8364.html |
|
|
|
|
|
|
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-5-11 10:42:28
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡