Centos 配置說明

 首先安裝CentOS，安裝時記住要安裝開發工具，由於要編譯內核；安裝時不要創建交換區，切記！！

安裝完成後，運行setup，在system service中將不須要用的程序所有中止，基本上只須要保留ssh，iptables，network，snmpd，syslog幾個，設置完後從新啓動服務器。

將kernel文件解壓到/usr/src中，而後運行 make menuconfig，配置內核編譯參數，基本上不用改什麼參數，注意要選擇多CPU，選擇netfilter中的參數，指定你須要編譯的模塊，而後執行 make編譯內核，make modules_install 安裝內核模塊，make install 安裝內核

編輯/etc/grub.conf

將服務器調整使用2.6.28.9內核啓動

QUOTE:

#boot=/dev/sda1

default=0        #改成0                                      

timeout=1

#splashp_w_picpath=(hd0,0)/boot/grub/splash.xpm.gz

hiddenmenu

title CentOS (2.6.28.9)

       root (hd0,2)

   kernel /boot/vmlinuz-2.6.28.9 ro root=LABEL=/

       initrd /boot/initrd-2.6.28.9.img

title CentOS-4 i386 (2.6.9-34.ELsmp)

       root (hd0,0)

       kernel /boot/vmlinuz-2.6.9-34.ELsmp ro root=LABEL=/

       initrd /boot/initrd-2.6.9-34.ELsmp.img

title CentOS-4 i386-up (2.6.9-34.EL)

       root (hd0,0)

       kernel /boot/vmlinuz-2.6.9-34.EL ro root=LABEL=/

       initrd /boot/initrd-2.6.9-34.EL.img

===========================================================================================================================

修root密碼：

passwd root

===========================================================================================================================

 

編輯/etc/modprobe.conf

確認PCI-E網卡的模塊正常,CentOS 4.6有時候將PCI-E的網卡當pci網卡認,PCI-E的網卡驅動是e1000e

編輯/etc/sysctl.conf，查找行「net.ipv4.ip_forward = 0」，而後將這行按下面的內容進行更改，

開啓Linux路由功能原文件中沒有的內容請本身添加

QUOTE:

# Controls IP packet forwarding

net.ipv4.ip_forward = 1

net.ipv4.netfilter.ip_conntrack_max = 1048576

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 300

 

====================================================================================================================================

CentOS配置snmp

切換到系統管理員賬戶

安裝snmp

查看SNMP是否安裝

rpm -qa | grep snmp

確認snmp代理已安裝

rpm -q net-snmp 

若是未安裝，安裝snmp

yum install net-snmp

設置開機自動運行snmp

/sbin/chkconfig snmpd on

 

配置snmp 

編輯/etc/snmp/snmpd.conf

更改團體名

查找以下行

# sec.name source community

com2sec notConfigUser default public 

將團體名public改成其它任意字段，例：

com2sec notConfigUser default monit

給予可讀權限

查找以下行

# group context sec.model sec.level prefix read write notif

access notConfigGroup 「」 any noauth exact systemview none none 

將read權限systemview改成all，例：

access notConfigGroup 「」 any noauth exact all none none 

查找以下行

## incl/excl subtree mask

#view all included .1 80 

去掉#view all前面的#，例：

view all included .1 80

啓動snmp

/etc/init.d/snmpd start 

若是已啓動則重啓snmp服務

/etc/init.d/snmpd restart

測試snmp

查看端口是否打開

netstat -ln | grep 161 

錯誤排除

防火牆禁止訪問

若是本地測試snmp有數據，遠程測試snmp無數據則因爲服務器防火牆禁止了外部訪問服務器udp 161端口，則：

修改 /etc/sysconfig/iptables （或者：/etc/sysconfig/iptables-config ） ，增長以下規則：

-A RH-Firewall-1-INPUT -p udp -m state –state NEW -m udp –dport 161 -j ACCEPT

 

重啓iptables 

/etc/init.d/iptables restart 

====================================================================================================================================

 

 

SSH配置：

 

一、防火牆增長新端口997:

A RH-Firewall-1-INPUT -p tcp -m tcp --dport 997 -j ACCEPT

A RH-Firewall-1-INPUT -p tcp -m tcp --dport 161 -j ACCEPT                   ============================》SNMP端口

重啓防火牆,使配置生效:

service iptables restart

二、備份ssh端口配置文件

cp /etc/ssh/ssh_config   /etc/ssh/ssh_configbak

cp /etc/ssh/sshd_config  /etc/ssh/sshd_configbak

修改ssh端口爲：2222

vi /etc/ssh/sshd_config

在端口#Port 22下面增長Port 2222

vi /etc/ssh/ssh_config

在端口#Port 22下面增長Port 2222

重啓：/etc/init.d/sshd restart

          service sshd restart

 

====================================================================================================================================

 

 

 

配置啓動腳本，加入IP地址,並加入nat.sh啓動腳本。

編輯/etc/rc.local以下：

QUOTE:

#!/bin/sh

touch /var/lock/subsys/local

sh /etc/rc.local/nat

iptables -F

ip addr add 192.168.1.10/24 dev eth0

ip addr add 192.168.1.11/24 dev eth0

ip addr add 192.168.1.12/24 dev eth0

 

====================================================================================================================================

nat.sh腳本：

 

echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo 268435456 >/proc/sys/kernel/shmall

echo 268435456 >/proc/sys/kernel/shmmax

echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range

echo "1000" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

modprobe ipip

modprobe ip_gre

ip tunnel add netHY mode ipip remote 192.168.2.1 local 192.168.1.10 ttl 255

ip link set netHY up

ip addr add 10.10.10.1/30 dev netHY

 

 

iptables -A INPUT -s 202.200.200.1 -p udp --dport 161 -j ACCEPT

iptables -A INPUT -s 202.200.200.2 -p udp --dport 161 -j ACCEPT

iptables -A INPUT -p udp --dport 161 -j DROP

 

 

 

iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -p udp -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -p tcp -m state --state INVALID -j DROP

iptables -A FORWARD -p udp -m state --state INVALID -j DROP

iptables -A FORWARD -p udp --dport 33434 -j DROP

iptables -A FORWARD -p icmp --icmp-type 11 -j DROP

 

 

iptables -t mangle -A POSTROUTING -p tcp --syn -j TCPMSS --set-mss 1420

iptables -t nat -A POSTROUTING  -o eth0 -j SNAT --to "192.168.1.10-192.168.1.12"

 

ip route add 192.168.50.0/24 nexthop via 10.10.10.2

 

echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo 268435456 >/proc/sys/kernel/shmall

echo 268435456 >/proc/sys/kernel/shmmax

echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range

echo "1000" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

 

 

 

 

====================================================================================================================================