1、1RedHat Server7.1 安装与配置从 RHEL7 开始,使用 systemctl 工具来管理服务程序,包括了 service 和 chkconfigrootrhel7 # systemctl list-unit-files|grep enabled启动一个服务:systemctl start firewalld.service关闭一个服务:systemctl stop firewalld.service重启一个服务:systemctl restart firewalld.service显示一个服务的状态:systemctl status firewalld.service在开机时启
2、用一个服务:systemctl enable firewalld.service在开机时禁用一个服务:systemctl disable firewalld.service查看服务是否开机启动:systemctl is-enabled firewalld.service;echo $?查看已启动的服务列表:systemctl list-unit-files|grep enabled一、安装通过 iso 文件进行安装,最小安装时, ifconfig 等命令是不可使用的。可以通过 “ip link show”、 “ip address”等命令查看 IP 地址。(一)网卡的配置RedHat7 对网卡
3、的命名有了很大不同,可以参考如下命名规则:2本人在虚拟机上安装 RedHat Server7.1 后,网卡被命名为 enp0s3,网卡的配置文件为/etc/sysconfig/network-scripts/ifcfg-enp0s3。因此 IP 地址、子网掩码、网关、 dns 等均可在这个文件中进行配置。下图展示了一个配置文件:3当前是 static(静态 IP 地址) ,如果要使用 dhcp,则修改:BOOTPROTO=dhcpONBOOT=yes #开启自动启用网络连接,如果设置为 no,则启动系统后网卡不能链接IPADDR=172.28.14.220 #设置 IP 地址PREFIX=27
4、 #设置子网掩码GATEWAY=172.28.14.193 #设置网关DNS1=222.172.220.68 #设置主 DNSDNS2=xxx.xxx.xxx.xxx #设置备 DNS完成后 service network restart #重启网络(二)ssh 启动#/bin/systemctl start sshd.service(三)添加用户#groupadd webmanager 添加管理网站的组添加用户名为:webmanager,属组:webmanage,密码:nts20080808,主目录:/home/website/#useradd webmanger -g webmanage
5、p nts20080808 -d /home/website/修改用户登录名:#usermod -l webmanager webmanger 将用户名 webmanger 修改为 webmanager修改用户 webmanger 登录密码:#passwd webmanger(四)设置 iso 文件为本地安装源1.上传 iso 文件将 radHat Server7 的 iso 文件 rhel-server-7.1-x86_64-dvd.iso 上传到服务器的/home/website/download/iso 目录下。42.挂载 iso 文件将 iso 文件挂载为/media/cdrom#mk
6、dir /media/cdrom# cd /media/cdrom#ls 可以看到镜像中的文件已经存在了,说明挂载成功备注:umount /media/cdrom #卸载系统镜像3.设置开机自动挂载系统镜像文件vi /etc/fstab #添加代码(/home/website)。实现开机自动挂载 :wq! #保存退出 备注:iso9660 使用 df -T 查看设备4.配置本地 yum 源#cd /etc/yum.repos.d#touch rhel-media.repo 建立 yum 配置文件#vi rhel-media.repo添加以下内容:rhel-media name=Red Hat
7、Enterprise Linux 7.1 #自定义名称 baseurl=file:/media/cdrom #本地光盘挂载路径 enabled=1 #启用 yum 源,0 为不启用,1 为启用 gpgcheck=1 #检查 GPG-KEY,0 为不检查,1 为检查 gpgkey=file:/media/cdrom/RPM-GPG-KEY-redhat-release #GPG-KEY 路径如下图所示:5#:wq 保存退出5.使用 yum 安装软件#yum clean all 清除 yum 缓存#yum makecache 缓存本地 yum 源中的软件包信息#yum install 软件包名称
8、(如:yum install httpd)(五)设置本地字符集#vi /etc/environment添加:LC_ALL=”zh_CN.GBK”LANG=”zh_CN.GBK”wq 保存退出#source /etc/environment二、SSH 升级及配置(一)升级 openssh系统自带的 openssh 是 6.6 版的,现在准备升级到最新的 6.8 版。先到 openssh 下载最新版。本次安装需要 zlib、openssl 库。因此需要先将这些软件的最新版上传到服务器。1.zlib 安装先到 http:/www.gzip.org/zlib/下载最新的 zlib-1.2.8.tar.
9、gz 安装包,并上传到服务器,并解压。#tar zxvf zlib-1.2.8.tar.gz#./configure - -prefix=/usr/local/zlib1.2.8#make#make install以上命令是将 zlib 安装到/usr/local/zlib1.2.8 目录。2.升级 openssl 到 1.0.2a 版本先到 http:/www.openssl.org/下载最新的 openssl-1.0.2a.tar.gz,上传到安装服务器并解压。#tar zxvf openssl-1.0.2a.tar.gz6#cd openssl-1.0.2a#./config prefi
10、x=/usr/local/openssl1.0.2a -shared一定记得加上-shared 选项, 否则 openssh 编译的时候会找不到新安装的 openssl的 library, 会报错: openssl 的 header 和 library 版本不匹配#make#make test#make installmake test(这一步很重要哦!是进行 SSL 加密协议的完整测试,如果出现错误就要一定先找出哪里的原因,否则一味继续,可能最终导致 SSH 不能使用,后果很严重的!)vi /etc/profile,添加PATH=/usr/local/openssl1.0.2a/bin:$P
11、ATHexport PATH添加完成后保存,source /etc/profile#openssl version a可以看到,openssl 已经是最新版了。3. 安装升级 openssh6.8安装新版之前先检测一下系统原来的版本,然后将其删除。#rpm qa | grep openssh#rpm e openssh -nodeps#rpm e openssh-clients nodeps#rpm e open-server nodeps删除完成后,到官方网站下载最新的 openssh-6.8p1.tar.gz,上传到服务器并解压缩。先将 zlib、openssl1.0.2 的库文件路径添加
12、到库搜索路径中。#echo “/usr/local/zlib1.2.8/lib” /etc/ld.so.conf.d/dyninst-x86_64.conf7#echo “/usr/local/openssl1.0.2a/lib” /etc/ld.so.conf.d/dyninst-x86_64.conf#sudo ldconfig 这步很重新,一定不要忘记执行安装 openssh6.8p1:#tar zxvf openssh-6.8p1.tar.gz#cd openssh-6.8p1执行配置命令后,显示:#make mysql GRANT ALL PRIVILEGES ON *.* TO r
13、oot“%“ IDENTIFIED BY “123456“;mysql update user set Password = password(123456) where User=root;mysql flush privileges;mysql exit;10.检测下上一步 MySQL 用户 root 密码是否生效:rootyimiju etc# mysql -u root pnts20080808执行:再次登录,输入正常密码后终于成功了。rootyimiju # mysql -u root -pEnter password: 这里提示时输入你设置的 mysql root 帐号密码#登录成
14、功有如下提示:Welcome to the MySQL monitor. Commands end with ; or g.Your MySQL connection id is 422Server version: 5.6.12-log Source distributionCopyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.14Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other
15、names may be trademarks of their respectiveowners.Type help; or h for help. Type c to clear the current input statement.mysql 11.(可选)运行安全设置脚本,强烈建议生产服务器使用:rootyimiju # /usr/local/mysql/bin/mysql_secure_installationNOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQLSERVERS IN PRODUCTIO
16、N USE! PLEASE READ EACH STEP CAREFULLY!In order to log into MySQL to secure it, well need the currentpassword for the root user. If youve just installed MySQL, andyou havent set the root password yet, the password will be blank,so you should just press enter here.Enter current password for root (ent
17、er for none): OK, successfully used password, moving on.Setting the root password ensures that nobody can log into the MySQLroot user without the proper authorisation.You already have a root password set, so you can safely answer n.Change the root password? Y/n n -这里输入 n. skipping.By default, a MySQ
18、L installation has an anonymous user, allowing anyoneto log into MySQL without having to have a user account created forthem. This is intended only for testing, and to make the installationgo a bit smoother. You should remove them before moving into aproduction environment.Remove anonymous users? Y/
19、n Y -这里输入 Y. Success!Normally, root should only be allowed to connect from localhost. This15ensures that someone cannot guess at the root password from the network.Disallow root login remotely? Y/n n -这里输入 n. skipping.By default, MySQL comes with a database named test that anyone canaccess. This is
20、also intended only for testing, and should be removedbefore moving into a production environment.Remove test database and access to it? Y/n Y -这里输入 Y- Dropping test database.ERROR 1008 (HY000) at line 1: Cant drop database test; database doesnt exist. Failed! Not critical, keep moving.- Removing pri
21、vileges on test database. Success!Reloading the privilege tables will ensure that all changes made so farwill take effect immediately.Reload privilege tables now? Y/n Y -这里输入 Y. Success!All done! If youve completed all of the above steps, your MySQLinstallation should now be secure.Thanks for using
22、MySQL!Cleaning up.12.重启服务器,检测 mysql 是否能开机自动启动rootyimiju # reboot五、安装配置 Nginx(一)安装 Nginx到 http:/nginx.org 下载最新的 1.9.0 版。#tar zxvf nginx注意:以上配置中的with-pcre 、-with-openssl、-with-zlib 后的文件夹是源码文件夹,不是安装文件夹,如果改成安装文件夹,make 时会出现错误。16#make#make install(二)配置 Nginx#vi /usr/local/nginx-1.9.0/conf/nginx.confworker
23、_processes 8 #设置跟 cpu 核数一样就行worker_rlimit_nofile 309600;events worker_connections 309600;use epoll;server listen 80;#server_name localhost;server_name 172.28.14.220; 这里根据情况填写,如 charset utf-8;#access_log logs/host.access.log main;location / #配置 web 站点在服务器上的文件位置root /home/website/;index index.html ind
24、ex.htm index.jsp shouye.jsp index.action;#动态文件交由 resin 或 tomcat 处理location .(jsp|jspx|action|do)?$ proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_pass http:/127.0.0.1:8080; #resin 服务的位置,如果是 tomcat 也行#静态文件缓存时间locat
25、ion .*.(htm|html|gif|jpg|jpeg|png|bmp|swf|ioc|rar|zip|txt|flv|mid|doc|docx|ppt|xls|xlsx|mp3|wma)$ expires 30d;location .*.(js|css)?$expires 1h;#error_page 404 /404.html;# redirect server error pages to the static page /50x.html#17error_page 500 502 503 504 /50x.html;location = /50x.html root html;#
26、proxy the PHP scripts to Apache listening on 127.0.0.1:80#location .php$ # proxy_pass http:/127.0.0.1;#六、rhel7 的防火墙配置1.添加 tcp 端口#firewall-cmd -zone=public -add-port=8080/tcp以上这种添加的方法只是暂时的,重新启动系统后无效。添加参数 permanent 后,可以变成永久生效。#firewall-cmd -zone=public -permanent -add-port=8080/tcp-增加 zone public 开放 h
27、ttp servicerootlocalhost zones# firewall-cmd -zone=public -add-service=httpsuccessrootlocalhost zones# firewall-cmd -permanent -zone=internal -add-service=httpsuccessrootlocalhost zones# firewall-cmd -reloadsuccessrootlocalhost zones# firewall-cmd -zone=internal -add-port=443/tcpsuccessrootlocalhost
28、 zones# firewall-cmd -zone=internal -list-servicesdhcpv6-client http ipp-client mdns samba-client ssh防火墙中的一切都与一个或者多个区域相关联。配置之后,RHEL 7 服务器正常会在公共区域,但是你也许会想将它放置在另一个网络配置防火墙访问。这时使用 firewall-cmd get-default-zone 命令,该命令显示你的服务器在18哪一个网络。如果你想查看配置特定网络的详细信息,你可以使用列表 2 中的 firewall-cmd zone=zonename list-all 命令。列表
29、 2.rootrhelserver # firewall-cmd get-default-zonepublicrootrhelserver # firewall-cmd get-zonesblock dmz drop external home internal public trusted workrootrhelserver # firewall-cmd zone=public list-allpublic (default, active)interfaces: ens33sources:services: dhcpv6-client sander sshports:masquerade
30、: noforward-ports:icmp-blocks:rich rules:改变当前区域并不难:使用 firewall-cmd set-default-zone=home 命令,该命令可用于从公共网络到家庭网络制定一个默认网络。服务和其他构件在区域中有一些基本的构件块,其中服务是最重要的。防火墙使用管理员创建在/usr/lib/firewalld/services(系统默认服务) 和/etc/firewalld/services 文件下的 XML 文件,配置的自身服务集。XML 文件时通过列表 3 中的例子创建的。列表 3.rootrhelserver services# cat ftp
31、.xmlFTPFTP is a protocol used for remote file transfer. If you plan to make your FTP 19server publicly available, enable this option. You need thevsftpd package installed for this option to be useful.每一个服务定义都需要一个简短的名字、描述和端口网络用于指定需要使用的协议、端口和模块名。列表 4.以下是创建防火墙服务的例子rootrhelserver services# cat sander.xm
32、lSanderSander is a random service to show how service configuration works.一旦你有了正确的服务文件,使用以下代码复制它。firewall-cmd list-services 命令显示从你服务器上的所有可以找到的服务列表。如果要增加服务则输入 firewall-cmd add-service yourservice 将服务放到默认网络上,或者是使用zone=zonename 选择特定网络。下面描述了它如何工作:1.使用 firewall-cmd zone=public list-all 命令,显示当前公共区域配置。root
33、rhelserver # firewall-cmd zone=public list-allpublic (default, active)interfaces: ens33sources:services: dhcpv6-client sshports:masquerade: noforward-ports:20icmp-blocks:rich rules:2.命令 firewall-cmd zone=public add-service=ftp,在 Linux 防火墙的公共区域上添加FTP 服务。3.重复步骤 1 检查 FTP 服务是否成功添加,你将看到服务列表。4.重启服务器,执行步骤
34、1.你将看到 FTP 服务消失了,在防火墙中,没有永久的事物,除非你使用了 permanent 选项。5.将 FTP 服务添加到公共网络上,并设为永久设置,该步骤使用 firewall-cmd permanent zone=public add-service=ftp 命令。重启之后该设置生效。6.输入 firewall-cmd reload 提交所有规则同时重载防火墙。使用 permanent 设置永久防火墙选项是非常重要的。打破规则配置防火墙配置服务是推荐的方式,它可以轻而易举地提供防火墙的全局概览。但是如果你想在/etc/firewalld/service 文件下自己定义服务,在不使用该
35、文件的情况下也可添加端口。使用 firewall-cmd permanent zone=dmz add-port=22/tcp 命令为特定网络指定特定端口,然后使用 firewall-cmd zone=dmz list-all 确认端口已成功添加。这种方式是非兼容方式,使用服务使对不同的主机分配相似的规则变得简单。如果没有服务,文件就很难被分配,配置文件中的规则分配也变得困难。对于更多的控制,你不能够使用直接规则。原因如下:1.输入 firewall-cmd direct add-rule ipv4 filter INPUT 0 -p tcp dport 80 -j ACCEPT2.现在输入
36、firewall-cdm list-all 显示你的默认网络的配置,端口 80 没有添加任何东西。rootrhelserver # firewall-cmd list-allpublic (default, active)Interfaces: ens33sources:services: dhcpv6-client ftp sshports:21masquerade: noforward-ports:icmp-blocks:rich rules:输入完以上命令后,HTTP 端口并没有发生改变,这是因为直接规则写给了 IP 信息包过滤器接口,而不是防火墙。3.输入 firewall-cmd d
37、irect get-all-rules,或者使用 firewall-cmd direct get-all-rules 显示直接规则。相比于直接规则,使用 iptables(列表 5)命令可以写到防火墙里。列表 5.Linux 防火墙规则实例firewall-cmdpermanentzone=publicadd-rich-rule=”rule family=”ipv4 source address=”192.168.4.0/24 service name=”tftp” log prefix=”tftp” level=”info” limit value=”1/m” accept”防火墙规则类似于
38、 IP 信息包过滤防火墙,提供了大量灵活性。使用列表 5 中的一条命令就可以完成和提交许多任务。它指定了 IP 家族、源地址、服务名等。但是需要注意规则是怎样处理登陆的:定义一个特定的登陆前缀、登陆等级信息,以及每分钟传递信息的极限值。Linux 管理员可以申请监测端口的过滤器,所以规则对于 IP 地址上的过滤器非常有用。(列表 6)列表 6.规则申请 Linux 防火墙 IP 地址端口的过滤器firewall-cmd permanent zone=public add-rich-rule=”rule family=”ipv4 source address=”192.168.0.4/24 se
39、rvice name=”http” accept”分析区域firewall-cmd 命令是众多配置防火墙的方法之一。二者择一的,你可以直接编写网络配置文件。但是如果语法有误,将不会得到任何反馈。但这是一个简洁简单的配置文件,容易修改和在多个服务器上分配。列表 7.你可以通过编写配置文件配置防火墙22PublicFor use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.列表 7 中包含了添加到先前例子中的所有代码,可以直接写入区域配置文件,其中不包含直接规则,因为直接规则有自己的配置文件。rootrhelserver firewalld# cat direct.xml-p tcp dport 80 -j ACCEPT
