linux操作系统配置规范share.doc

RedHat Linux操作系统安装配置规范 文档属性 修订历史 编号 日期 修订描述 版本 作者 审核 1 目录 TOC \o "1-3" \h \z \u 1 文档说明 5 1.1 文档简介 5 1.2 适用对象 5 1.3 生效范围 5 2 系统配置 6 2.1 安装 6 2.2 主机命名规范 6 2.3 磁盘管理 6 2.4 时间同步 7 2.5 服务的配置 8 2.6 命令时间戳记录与命令行提示符 9 2.7 ulimit设置 10 2.8 文件系统挂载选择设置 11 2.9 审计策略配置 11 2.10 日志配置 12 2.11 kdump配置 13 2.12 系统内核参数配置 13 2.13 crontab配置 14 3 安全配置 15 3.1 物理安全设置 15 3.2 口令策略设置 15 3.3 用户安全设置 16 3.4 系统登录安全设置 17 3.5 历史记录安全设置 17 3.6 系统敏感文件权限设置 18 3.7 CRON授权管理 20 3.8 高风险文件安全设置 20 3.9 SSHD安全配置 20 3.10 网络安全设置 21 3.11 SELINUX设置 23 3.12 防火墙设置 23 系统配置 安装 主要描述安装过程中的各项参数设置，该要求同时适用于手工安装和kickstart自动安装。 引导系统提示：选择“Installation”，正常安装系统 语言选择: 选择 EngLish 键盘布局：选择U.S. English 设置系统主机名：请参考章节“主机命名规范”进行系统主机名的设置 时区选择:深圳和上海地区统一选择“Asia/Shanghai”,海外分行应根据业务需求选择“Asia/Shanghai”或者当地时区，系统时钟使用UTC时间 root账户密码：密码复杂性配置要求，请参考“口令策略设置” 分区划分：请参考“磁盘管理” 软件包选择： 操作系统安装的初始软件包选择建议如下 软件包名称 软件包说明 base(组) 操作系统基础包 compat-libraries(组) 操作系统兼容性库包，提供对老版本软件的支持 hardware-monitoring(组) 硬件监控工具，提升系统定位能力 large-systems(组) 大型系统工具集包，提供cgroup等管理工具 legacy-unix(组) Unix兼容性包 performance(组) 性能定位和监控工具，及时了解系统瓶颈 ftp ftp客户端，环境维护管理员使用 telnet telnet客户端，环境维护管理员使用 备注：软件包安装建议采用上述的最小安装方式，gcc/make等开发编译工具如非特殊需要，不应在生产系统中安装。若因生产需要，需要安装额外组件，请从规定的yum源服务器获取，不得通过其他途径安装。 主机命名规范 磁盘管理 磁盘配置要求： 在物理服务器上安装操作系统时，操作系统所在磁盘必须配置为RAID1的硬件磁盘阵列 物理机分区划分规范： 除/boot分区不能采用LVM外，其他所有分区都应采用LVM管理磁盘，另外应用程序如果使用LVM来管理,需要创建单独的VG,文件系统可按照下表来设置逻辑卷名称及相应空间(这里列出的为最低空间要求)： Mount Point LV命名 最低配置(GB) 备注 /boot 1G 必须是分区 / /dev/mapper/VolGroup-lv_root 50G swap /dev/mapper/VolGroup-lv_swap 16G 　 /tmp /dev/mapper/VolGroup-lv_tmp 10G /var /dev/mapper/VolGroup-lv_var 30G /var/crash /dev/mapper/VolGroup-lv_var_crash 50G 用于存放vmcore /home /dev/mapper/VolGroup-lv_home 10G /opt /dev/mapper/VolGroup-lv_opt 50G 注：上述分区方案只用了RAID10操作系统硬盘，对于数据磁盘，需要根据应用情况进行规划。 对于内存大于50G的机器，/dev/mapper/VolGroup-lv_var_crash需要在业务上线前手工触发kernel panic来检测大小是否使用。 虚拟机分区划分规范： 除/boot分区不能采用LVM外，其他所有分区都应采用LVM管理磁盘，文件系统可按照下表来设置逻辑卷名称及相应空间(