本文檔重點在配置Bind和設置防火牆,其他儘量從簡,相應章節的安裝過程可以參考相應的操作文檔。
1、 爲了節約系統資源,採用文本安裝的方式,輸入 Linux text 按 回車 鍵,這樣系統安裝完畢後,會默認工作在 init 3 的級別下,同時不會使用RedHat 的圖形界面安裝,可以節約安裝時間及效率。裏面又個地方涉及到需要輸入 installation number ,經過驗證,可以輸入:550dd56b51499bd5
2、下面簡單說下分區
分區要求:通常情況安裝系統是/boot; /; swap 三個分區。
序號 | 掛載點 | 容量 | 說明 |
1 | /boot | 200M | 作爲單獨的/boot系統引導區,即使主要的root分區出了問題,計算機依然能夠啓動。同時將容量調整爲200M,以備後用 |
2 | swap | 8G | 交互分區,大小一般設定爲機器物理內存的1-2倍。 |
3 | / | 15G | 是根目錄“/”的所在地,啓動系統所須的文件和系統配置文件 |
5 | /home | 20G | 用戶的home目錄所在地,用戶登錄分區,同時可以對用戶或者用戶分組實行硬盤限額功能,這樣當進行升級或者安裝新版本的linux操作系統時,就不會覆蓋原有的用戶登錄數據了。這個分區的大小取決於有多少用戶,根用戶可以很好地控制普通用戶使用計算機,如對用戶或者用戶組實行硬盤限量使用,限制普通用戶訪問哪些文件等。 |
6 | /var | 10G | 主要存放系統日誌,設立單獨分區,即使系統日誌文件出現問題,也不影響系統主分區。也就不會使計算機崩潰。如WEB服務器,可分20GB或根據實際情況加大 |
7 | /tmp | 4G | 存放臨時文件。對於多用戶系統或網絡服務器是有必要的。即使程序運行時生成大量的臨時文件,或用戶對系統進行了錯誤操作,文件系統的其它部分仍是安全的。因爲文件系統的這一部分仍然還承受着讀寫操作,所以它通常會比其它的部分更快地發生問題。 |
8 | /u01 | 剩餘空間 | 存放數據庫文件,或同類的大量的數據文件 |
注:上表中的容量只是參考值,或者說是最小值,具體部署時要根據業務數據要求來調整容量。
3、將下面默認都進行安裝的組件都取消。原因:下面的組件經過確認都是不常用的組件。其實下面的組件取消後,幾乎已經沒有會被安裝的組件了。
4、計算機會自動開始安裝系統。 至此裸系統安裝完畢
二、設置網絡
1、 使用setup命令,圖形化設置
設置完畢後,保存退出即可,如果需要設置DNS服務器地址,可以在下圖所示的“Edit
DNS configuration”處設置。
2、 使用命令行,手工錄入
命令行模式,要比圖形界面方便快捷,如下圖所示。輸入“vi /etc/sysconfig/network-
scripts/ifcfg-eth0” 即可對網卡1進行配置
示例說明:
DEVICE 設備名稱,禁止修改
BROADCAST 廣播地址
IPADDR IP地址
NETMASK 子網掩碼
NETWORK 網絡地址
GATEWAY 網關地址
ONBOOT 是否隨系統啓動
TYPE 網卡類型
設置完成後,需要手工對網卡進行重新啓動。
DNS地址設置路徑爲 /etc/resolv.conf ,這裏所說的DNS與我們要架設的DNS服務器的配置不一樣。這裏只是告訴系統DNS服務器的IP地址是多少而已。
至此,裸系統安裝完畢,網絡也能夠連通了。配置yum需要外網的,如果在公司內部架設,不僅需要外網,還需要能夠不受行爲管理設備的控制。
三、設置yum
1、 刪除Linux系統自帶的yum
2、 下載指定的yum安裝包,從下圖可以看出,yum-*yum-fastestmirror-*yum-metadata-parser*-這三個安
裝包都是從http://centos.ustc.edu.cn/centos/5/os/x86_64/CentOS/ 下載得來的,還有就是需要注意,本次下載都是64位的安裝包。32位的安裝包在這裏http://centos.ustc.edu.cn/centos/5/os/i386/CentOS/
3、 或者從其他機器複製安裝包,如果知道哪臺linux機器裏有上面所說的安裝包,linux之間互拷更快。示例只
演示其中的一條拷貝命令,舉一反三,真的很好用,強烈推薦。
示例說明:
Scp linux間互相拷貝的命令
-r 可以傳輸整個文件夾,沒有這個參數,只能拷貝單個文件
源文件在前,需指定絕對路徑,系統會補全,後邊同樣是絕對路徑,系統不能補全,只要指定需要複製到的文件夾即可
[email protected]: root是目標主機有管理權限的賬戶,172.16.10.99是目標主機IP地址,ip地址前面的@符號和地址後邊的冒號必須有,命令格式如此,無解釋。
命令執行過程中,可能會讓你選擇yes或者no,個人理解應該是yes ,[email protected]'s password: 需要輸入的是目標主機的root賬戶的密碼。
另外需要注意的是,當同一個IP地址用在不同的linux主機上時,SCP會出現如下錯誤提示
解決方法很簡單,進入 /root/.ssh/ 目錄下,rm - rf(刪除)掉 known_hosts 即可。
4、 安裝yum安裝包
如上圖所示,我們首先需要到安裝包所在位置才能使用rpm進行安裝,這個道理Windows也是一樣的。
之所以用rpm –ivh yum-* 是因爲我這裏所要安裝的三個包有依賴關係,使用yun-* 系統自己就可以搞定了。
5、 確認安裝信息
6、 下載源配置文件CentOS-Base.repo
需要到上圖所示的路徑下載源配置文件,並且該配置文件需要放在 /etc/yum.repos.d/目錄下,千萬不要搞錯了哦。
7、 激活yum (看命令“i386”應該是32位的,但是激活後也可以用)
64位系統激活:rpm –import http://ftp.sjtu.edu.cn/centos/5/os/x86_64/RPM-GPG-KEY-CentOS-5
32位系統激活:rpm –import http://ftp.sjtu.edu.cn/centos/5/os/i386/RPM-GPG-KEY-CentOS-5
8、 更新yum
更新的過程是個漫長的過程,根據網速可能需要10到15分鐘可能還會更長時間,不過好在系統會給你個動態的窗口顯示出來,讓你知道,系統還沒死,在活着。
9、 清空yum緩存
四、安裝Bind
A、Yum安裝
Yum安裝Bind是個很簡單的過程,yum的功能很強大,可以自動的安裝所需要的所有依賴包,泡茶喝水等待yum自己完成就行了。
如果安裝過程中有Locating /var/named/chroot/ /etc/named.conf failed:【失敗】 字樣,需要將/usr/share
/doc/bind-9.3.3/sample/etc/named.conf範本文件複製爲 /etc/named.comf 即可。
Yum安裝完之後,我們實際的工作路徑爲 /var/named/chroot/var/named ,另外yum安裝的時候,一定如
圖中所示指定需要安裝的bind版本,否則yum會因爲默認選擇了bind97版本而報錯。
完成上面的操作之後,我們還需要安裝另外一個包caching-nameserver
在這裏,我們學習一個新的參數 rpm –ql bind ,可以知道包文件都被安裝到那些地方去了。方便配置。
B、rpm安裝(推薦使用此方法)
鑑於bind安裝包之間的依賴關係,下面的安裝要安裝截圖的順序安裝貌相可以避免這個問題。
安裝完畢後,使用 rpm –qa | grep bind 以及 rpm –qa | grep caching ,驗證包是否都已經安裝完畢
五、配置bind
A、主配置文件
Bind初始安裝完畢,/var/named/chroot/etc 目錄下,是沒有主配置文檔named.conf的,需要從模板裏複製一份過來
示例說明:
-p 在複製的時候,將原文件的權限同樣賦予新文件
因爲bind.conf文件涉及的內容較多,我們只修改下圖截圖部分的內容,其他參數暫不修改。
示例說明:(所有的{}前後各需要一個空格)
listen-on port 53 { 10.10.0.1; }; 監聽端口和IP地址,不設則是監聽所有IP;
listen-on-v6 port 53 { ::1; };監聽端口和IP地址,不設則是監聽所有IP;
directory “/var/named”;默認即可,不需要修改;
dump-file默認即可,不需要修改;
statistics-file 默認即可,不需要修改;
memstatistics-file 默認即可,不需要修改;
query-source port 53;客戶端在進行DNS查詢時必須使用53做爲源端口;
query-source-v6 port 53;客戶端在進行DNS查詢時必須使用53做爲源端口;
allow-query { localhost ; };或allow-recursion{} 建議使用any;
match-clients { localhost; };客戶端的源IP,建議使用any;
match-destinations { localhost; };解析出的目標IP,可以any;
recursion yes|no;是否允許爲客戶機進行遞歸查詢;
include “/etc/named.rfc1912.zones”;定義將指定的區域配置文件包含進當前文件;
allow-query-cache { any; }; 一定要添加服務器纔會接受客戶機解析公網域名。
可使用地址匹配符來表達允許的主機。
Any匹配所有IP地址
None不匹配任何IP地址
Localhost匹配本地主機
Localnets匹配本地網絡。
若地址列表較多,通常可在options段之前,用acl定義一個訪問控制列表,然後再在allow-query{}
中引用該訪問控制列表,其用法示例如下:
acl mylan {127.0.0.1;192.168.168.0/24;};
options{
allow-query{mylan;};
};
channel default_debug {
file “data/named.run”;
severity dynamic; };
B、因爲我們是要配置以172.16.10.4爲主DNS服務器,本機172.16.10.98爲輔助DNS服務器,所以還需在主配置文件 /var/named/chroot/etc/named.rfc1912.zones 進行修改
C、DNS激活(此步可以跳過,萬不得已的時候纔會需要)
明明是免費開源的東西,不着調的居然還要key,還好這些東西都可以從配置文檔裏找到,只是有些麻煩而
已。如下,重啓named服務的時候,會有如下報錯,提示沒有哪個文件,其實就是需要複製一下KEY
複製第二行,secret 部分的東西,然後再編輯named.conf,粘貼到截圖所顯示位置即可成功重啓named
D、同步過程
主輔DNS的同步好像也沒什麼花樣,重新啓動named服務就可以。Bind的守護進程叫 named
E、驗證同步結果
示例說明:
查看 /etc/resolv.conf 文件所記錄的本機的DNS記錄信息,如果不是指向自己,需要手工修改本機的
resolv.conf文件的dns地址,需要指向自己哦。
示例說明:
通過ping 公司內網服務器www.xmjl.com 以及內網 主機a0319.golddraogn.com以及外網的www.sina.com.cn,來驗證是否已經獲取到這些記錄信息。
六、關閉selinux
示例說明:
Selinux的配置文檔在 /etc/selinux 目錄下面,禁用此功能需要將config文檔裏的SELINUX=enforcing 修改爲 SELINUX = disabled ,如下圖所示:
需要注意的是,該配置需要在重新啓動linux系統後才能完全生效。
七、設置防火牆
這裏說明一下,本段配置只選擇了設置於bind服務器上的功能選項,更多細節,參考RedHat Linux 5.5 x86_64
系統iptables設置。
A、清空iptables策略
示例說明:
-F 清空策略
B、添加策略
示例說明:
-A 順序添加策略
INPUT 添加到INPUT策略組
-s 原目標網段或地址
-p 連接協議
--dport 端口
-j 應用策略
ACCEPT 允許通過
示例說明:
將iptabels保存到配置文件。否則重啓後會失效。
八、SSHD等安全設置
這裏說明一下,本段配置只選擇了設置於bind服務器上的功能選項,更多細節,參考RedHat Linux 5.5 x86_64
系統iptables設置。
1、 備份sshd_config配置文件
示例說明:
Pwd 查看當前所處路徑
-p 帶源文件權限複製
需要注意的是,在 /etc/ssh 目錄下還有另外一個類似於 sshd_config 的文件 ssh_config,在編輯的時候一定要注意,不要搞錯了!
2、 配置sshd_config
示例說明:
Port sshd開放端口
Protocol sshd所使用的協議版本,一般都用版本2
Listenaddress 這裏只能單個或多行添加ip地址,不能添加網段
示例說明:
Logingracetime 登陸時不輸入密碼的等待時間
Permitrootlogin no表示禁止root賬戶直接通過sshd登陸,yes表示可以
Maxauthtries 忘了啥意思了,反正這裏配置了
本文轉載自胖鯊魚網絡 http://www.pangshayu.com/html/8364.html