CentOS7部署初始化(Minimal)

CentOS7部署初始化(Minimal)

1.基本介绍

本文章将会讲解CentOS7的安装部署、初始化配置和系统参数调优。本次采用的阿里云的最小化镜像进行部署：网卡重命名为Eth0

第一步，当我们挂载centos的镜像后，启动机器会出现选择的界面。此时，按下Tab键进入添加系统配置，从而将Centos7网卡名修改为Centos6的 ifcfg-eth0 。具体操作： Tab键进入输入如下内容 [追加net.ifnames=0 biosdevname=0]，回车下一步操作

# 默认情况下系统配置： vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20x86_64 rd.live.check quiet # 添加系统配置后： vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20x86_64 rd.live.check quiet net.ifnames=0 biosdevname=0

2.2 磁盘标准化分区

第二步，Centos7默认使用LVM进行分区，分区模式需要修改为Standard Partition（标准分区），以便后期硬盘的维护。

注：LVM分区需要系统镜像内存在LVM分区工具才能够执行，否则是没有办法分区的；标准分区则不需要额外的操作。

3.系统配置的调整

针对系统管理、安全和性能方面的调整方便我们的使用；包括网络配置、系统安全设置和性能优化。

3.1 网卡配置文件修改

目录/etc/sysconfig/network-scripts 下存放着centos的网络配置文件，经过前面的配置修改我们网卡绑定的是 ifcfg-eth0 配置文件。完整路径：/etc/sysconfig/network-scripts/ifcfg-eth0

TYPE=Ethernet BOOTPROTO=static #静态IP地址 DEFROUTE=yes #启动默认路由 IPADDR=172.16.59.91 #IP地址 NETMASK=255.255.255.0 #子网掩码 GATEWAY=172.16.59.254 #网关地址 DNS1=172.16.59.254 #首选DNS地址 DNS2=114.114.114.114 #备用DNS地址 NAME=eth0 DEVICE=eth0 ONBOOT=yes #开机自动启动

3.2 SSH远程连接设置

默认SSH端口为 22 ，在Centos的selinux定义在默认策略中，修改为: 61618。

设置selinux放行SSH端口SELinux是一个安全系统，保护你的Linux系统防止因访问权限问题而造成的损失。如果你的Vultr VPS装有SELinux，那你在修改SSH端口或者安装其他服务监听一个端口时，如果没有在SELinux里添加这个端口，那么这个端口可能就无法连接，会出现端口超时的问题。如果你遇到了这个问题，那么可以跟着下面的教程来添加放行端口。

# 1.如果你不想配置selinux，也可以选择直接关闭（重启后生效） sed -i -e 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config # 2.SELinux中放行的SSH端口（推荐） yum -y install policycoreutils-python semanage port -a -t ssh_port_t -p tcp 61618

设置firewall放行SSH端口CentOS 7之前内置的防火墙为iptables，升级到7后，内置的防火墙则变成了firewalld。firewall-cmd命令参数–permanent 参数表示永久生效，没有此参数重启后失效；修改后需要重载防火墙服务。

firewall-cmd --zone=public --add-port=61618/tcp --permanent firewall-cmd --reload

配置SSH连接监听端口在Centos7中，sshd的配置文件路径： /etc/ssh/sshd_config ，修改后重启sshd服务。

sed -i -e 's/#Port 22/Port 61618/g' -e 's/#ListenAddress 0.0.0.0/ListenAddress 0.0.0.0/g' /etc/ssh/sshd_config systemctl restart sshd

配置SSH安全连接设置针对linux上的用户，如果用户连续3次登录失败，就锁定该用户，几分钟后该用户再自动解锁。Linux有一个pam_tally2.so的PAM模块，来限定用户的登录失败次数，如果次数达到设置的阈值，则锁定用户。

注：在 #%PAM-1.0 的下面(即第二行)，添加的内容一定要写在前面，否则虽然用户被锁定，但是只要用户输入正确的密码还是可以登录的！

sed -i '/#%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10' /etc/pam.d/sshd sed -i '/#%PAM-1.0/a\auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10' /etc/pam.d/login

3.3 系统和内核优化配置

ulinit打开最大文件限制

echo "ulimit -SHn 102400" >> /etc/rc.local cat >> /etc/security/limits.conf << EOF * soft nofile 65535 * hard nofile 65535 * soft nproc 65535 * hard nproc 65535 EOF

系统优化参数配置执行sysctl -p 是参数生效，永久生效。

tee >> /etc/sysctl.d/99-sysctl.conf <数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目 net.core-dev_max_backlog = 262144 #限制仅仅是为了防止简单的DoS 攻击 net.ipv4.tcp_max_orphans = 3276800 #未收到客户端确认信息的连接请求的最大值 net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_timestamps = 0 #内核放弃建立连接之前发送SYNACK 包的数量 net.ipv4.tcp_synack_retries = 1 #内核放弃建立连接之前发送SYN 包的数量 net.ipv4.tcp_syn_retries = 1 #启用timewait 快速回收 net.ipv4.tcp_tw_recycle = 1 #开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时 net.ipv4.tcp_keepalive_time = 1800 net.ipv4.tcp_keepalive_probes = 3 net.ipv4.tcp_keepalive_intvl = 15 #允许系统打开的端口范围 net.ipv4.ip_local_port_range = 1024 65000 #修改防火墙表大小，默认：65536 防火墙关闭时，不需要配置此参数。 net-filter.nf_conntrack_max=655350 net-filter.nf_conntrack_tcp_timeout_established=1200 # 确保无人能修改路由表 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 EOF

3.4 其他服务设置的优化

postfix服务关闭 postfix的产生是为了替代传统的sendmail.相较于sendmail,postfix在速度，性能和稳定性上都更胜一筹。现在目前非常多的主流邮件服务其实都在采用postfix. 当我们需要一个轻量级的的邮件服务器是postfix不失为一种选择。

systemctl stop postfix && systemctl disable postfix

linux常用工具安装

yum install -y bash-completion vim wget ntpdate yum-utils net-tools

配置NTP时间同步服务

# 1.配置复制系统时区文件（shanghai）到系统本地时区目录 cp -f /usr/share/zoneinfo/Asia/Shanghai /etc/localtime # 2.配置NTP定时任务同步时间，需要先安装ntpdate yum -y install ntpdate crontab -e */1 * * * * /usr/sbin/ntpdate time1.aliyun.com > /dev/null 2>&1

3.5 VMware Tools 的安装（可选）

yum -y install perl gcc make kernel-headers kernel-devel

第二步，从挂载镜像中安装提取安装包，并解压运行。

# 1.创建挂载目录并挂载镜像 mkdir -p /mnt/cdrom mount /dev/cdrom /mnt/cdrom # 2.查看挂载目录内容 ls -l /mnt/cdrom # 3.拷贝VMwareTools安装文件到本地并解压 cp /mnt/cdrom/VMwareTools-10.3.5-10430147.tar.gz /opt cd /opt && tar -zxf VMwareTools-10.3.5-10430147.tar.gz # 4.静默安装VMwareTools cd /opt/vmware-tools-distrib && ./vmware-install.pl -d # 5.重启设备 sudo reboot

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。