系統安裝後的初始環境設置

　　 < 系統安裝後的初始環境設置 > （最近更新日：2006/12/24）

前　　言

　　在 CentOS 安裝好以後，安全性以及對硬件的適應性方面，可能並不徹底符合咱們的實際狀況。在這裏，對新的 CentOS 系統進行初始環境設置將以以下方面爲原則：

　　1，爲了安全，盡最大可能將訪問限制限制到可能的最大程度；
　　2，爲了節省內存及 CPU 使用率（以及安全方面的考慮），盡最大可能將不須要的服務關閉；
　　3，爲了減小誤操做可能帶來的損失，平時經過 wheel 組用戶登陸進行系統管理；
　　4，爲了讓系統變的更加輕便、快速，將內核中不須要的模塊卸載；
　　…………

CentOS 4.4 的安裝後初始環境設定

　　 安裝完畢從新啓動系統後，出現以下的狀態：

CentOS release 4.4 (Final) Kernel 2.6.9-42.EL on an i686 sample login: 　 ← 根據安裝時網絡設置的狀況的不一樣，本站以「sample」，其位置顯示的是你設置好的主機名。

[1] 系統的登陸與退出

sample login: root　← 用root用戶來登陸系統，輸入用戶名root Password:　← 在這裏輸入安裝時設置的root密碼，輸入時密碼不會被顯示 [root@sample ~]#　← root用戶登陸成功，提示符爲「#」。若通常用戶登陸成功後，提示符爲「$」 [root@sample ~]# exit　← 退出系統 sample login:　← 退出系統成功

[2] 通常用戶的創建與刪除

[root@sample ~]# useradd centospub　← 創建用戶名爲 centospub 的通常用戶 [root@sample ~]# passwd centospub　← 爲用戶 centospub 設置密碼 Changing password for user centospub. New UNIX password:　　← 輸入密碼（密碼不會被顯示） Retype new UNIX password:　　← 再次輸入密碼確認兩次密碼一致 passwd: all authentication tokens updated successfully.　← 密碼設置成功 [root@sample ~]# userdel -r centospub　← 刪除用戶名爲 centospub 的通常用戶

[3] 經過通常用戶登陸爲root用戶

　　由於root用戶對系統具備全權的操做權限，爲了不一些失誤的操做，建議在通常狀況下，以通常用戶登陸系統，必要的時候須要root操做權限時，再經過「su -」命令來登陸爲root用戶進行操做。

[centospub@sample ~]$ 　← 提示符爲「$」，說明當前狀態爲通常用戶centospub登陸在系統中 [centospub@sample ~]$ su - 　← 輸入登陸爲root用戶的命令 Password: 　 ← 輸入root密碼（密碼不會被顯示），回車 [root@sample ~]#　← 成功登陸爲root用戶，提示符變爲「#」 [root@sample ~]# exit　← 回到通常用戶的登陸狀態 [centospub@sample ~]$　← 提示符變爲「$」，回到了通常用戶centospub登陸系統的狀態

[4] 創建管理員組內通常用戶

　　 在 通常狀況下，通常用戶經過執行「su -」命令、輸入正確的root密碼，能夠登陸爲root用戶來對系統進行管理員級別的配置。可是，爲了更進一步增強系統的安全性，有必要創建一個管理員的 組，只容許這個組的用戶來執行「su -」命令登陸爲root用戶，而讓其餘組的用戶即便執行「su -」、輸入了正確的root密碼，也沒法登陸爲root用戶。在UNIX下，這個組的名稱一般爲「wheel」。

[root@sample ~]# usermod -G wheel centospub 　← 將通常用戶 centospub 加在管理員組wheel組中 [root@sample ~]# vi /etc/pam.d/su 　← 打開這個配置文件 #auth required /lib/security/$ISA/pam_wheel.so use_uid 　 ← 找到此行，去掉行首的「#」 　↓ auth required /lib/security/$ISA/pam_wheel.so use_uid　 ← 變爲此狀態（大約在第6行的位置） [root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs　← 添加語句到行末

　　以上操做完成後，能夠再創建一個新用戶，而後用這個新建的用戶測試會發現，沒有加入到wheel組的用戶，執行「su -」命令，即便輸入了正確的root密碼，也沒法登陸爲root用戶。

[5] 創建PPPoE鏈接（非xDSL接入方式的用戶可跳過此步驟）

[root@sample ~]# adsl-setup　 ← 創建ADSL鏈接 Welcome to the ADSL client setup. First, I will run some checks on your system to make sure the PPPoE client is installed properly... LOGIN NAME Enter your Login Name (default root):　← 填入ADSL鏈接的用戶名 INTERFACE Enter the Ethernet interface connected to the ADSL modem For Solaris, this is likely to be something like /dev/hme0. For Linux, it will be ethX, where 'X' is a number. (default eth0):　　← 指定網絡接入設備，一塊網卡的狀況下，通常爲默認eth0 Do you want the link to come up on demand, or stay up continuously? If you want it to come up on demand, enter the idle time in seconds after which the link should be dropped. If you want the link to stay up permanently, enter 'no' (two letters, lower-case.) NOTE: Demand-activated links do not interact well with dynamic IP addresses. You may have some problems with demand-activated links. Enter the demand value (default no):　　← 直接按回車，接受默認設置 DNS Please enter the IP address of your ISP's primary DNS server. If your ISP claims that 'the server will provide dynamic DNS addresses', enter 'server' (all lower-case) here. If you just press enter, I will assume you know what you are doing and not modify your DNS setup. Enter the DNS information here:　　← 若是知道DNS服務器的信息在此填入。不知道的狀況按回車跳過 PASSWORD Please enter your Password:　← 輸入ADSL的鏈接密碼 Please re-enter your Password:　← 再次確認輸入ADSL的鏈接密碼 USERCTRL Please enter 'yes' (two letters, lower-case.) if you want to allow normal user to start or stop DSL connection (default yes): no　← 填入no，不容許通常用戶控制PPPoE的鏈接 FIREWALLING Please choose the firewall rules to use. Note that these rules are very basic. You are strongly encouraged to use a more sophisticated firewall setup; however, these will provide basic security. If you are running any servers on your machine, you must choose 'NONE' and set up firewalling yourself. Otherwise, the firewall rules will deny access to all standard servers like Web, e-mail, ftp, etc. If you are using SSH, the rules will block outgoing SSH connections which allocate a privileged source port. The firewall choices are: 0 - NONE: This script will not set any firewall rules. You are responsible for ensuring the security of your machine. You are STRONGLY recommended to use some kind of firewall rules. 1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation 2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway for a LAN Choose a type of firewall (0-2): 0　← 輸入0，不在這裏使用防火牆 Start this connection at boot time Do you want to start this connection at boot time? Please enter no or yes (default no): yes　← 填入yes，在系統啓動時自動鏈接ADSL ** Summary of what you entered ** Ethernet Interface: eth0 User name: caun870293@ca.dti.ne.jp Activate-on-demand: No DNS: Do not adjust Firewalling: NONE User Control: no Accept these settings and adjust configuration files (y/n)? y　← 配置信息確認無誤後，鍵入y贊成設置 Adjusting /etc/sysconfig/network-scripts/ifcfg-ppp0 Adjusting /etc/ppp/chap-secrets and /etc/ppp/pap-secrets (But first backing it up to /etc/ppp/chap-secrets.bak) (But first backing it up to /etc/ppp/pap-secrets.bak) ? Congratulations, it should be all set up! Type '/sbin/ifup ppp0' to bring up your xDSL link and '/sbin/ifdown ppp0' to bring it down. Type '/sbin/adsl-status /etc/sysconfig/network-scripts/ifcfg-ppp0' to see the link status.

　　而後，啓動ADSL鏈接。

[root@sample ~]# adsl-start 　← 啓動ADSL鏈接 [root@sample ~]# 　　← 稍等片刻後若啓動成功後出現提示符（無任何提示即意味着鏈接成功）

這時，經過「ifconfig」命令能夠看到各網絡接口的信息（IP地址等等）。

[6] root郵件的轉送

　　在系統出現錯誤或有重要通知發送郵件給root的時候，讓系統自動轉送到咱們一般使用的郵箱中，這樣方便查閱相關報告和日誌。

[root@sample ~]# vi /etc/aliases 　 ← 編輯aliases，添加以下行到文尾 root: yourname@yourserver.com　← 加入本身的郵箱地址 [root@sample ~]# newaliases　← 重建aliasesdb /etc/aliases: 79 aliases, longest 19 bytes, 825 bytes total [root@sample ~]# echo test | mail root　← 發送測試郵件給root

　　若是成功的話，會在剛剛填入的 yourname@yourserver.com 的郵箱中收到測試的郵件。

[7] locate命令用數據庫更新及自動更新設定

　　locate命令是Linux下告訴搜索文件用的工具，它的原理和Windows下的「Google桌面搜索」有點相似，是經過事先創建數據庫的方式，來達到高速查找目標文件的目的。

[root@sample ~]# vi /etc/updatedb.conf　 ← 編輯locate數據庫更新配置文件 DAILY_UPDATE=no　 ← 找到這一行，將「no」改成「yes」 　↓ DAILY_UPDATE=yes　 ← 變爲此狀態後，保存、退出 [root@sample ~]# updatedb　 ← 運行locate數據庫更新命令，稍等片刻…更新成功後出現提示符

[8] 定義yum的非官方庫

　　在服務器構建的過程當中，咱們將要用到的一些工具不存在於CentOS中yum的官方庫中，因此須要定義yum的非官方庫文件，讓一些必需的工具經過yum也可以安裝。

[root@sample ~]# vi /etc/yum.repos.d/dag.repo　 ← 創建dag.repo，定義非官方庫 [dag] name=Dag RPM Repository for Red Hat Enterprise Linux baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag gpgcheck=1 enabled=1 [root@sample ~]# rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt　 ← 導入非官方庫的GPG

[9] 中止打印服務

　　若是不許備提供打印服務，中止默認被設置爲自動啓動的打印服務。

[root@sample ~]# /etc/rc.d/init.d/cups stop　 ← 中止打印服務 Stopping cups: 　　　　　　 　　　　[ OK ]　 　　← 中止服務成功，出現「OK」 [root@sample ~]# chkconfig cups off　 ← 禁止打印服務自動啓動 [root@sample ~]# chkconfig --list cups　 ← 確認打印服務自啓動設置狀態 cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off　 ← 0-6都爲off的狀態就OK（當前打印服務自啓動被禁止中）

[10] 中止ipv6

　　在CentOS默認的狀態下，ipv6是被啓用的狀態。由於咱們不使用ipv6，因此，中止ipv6，以最大限度保證安全和快速。

　　首先再次確認一下ipv6功能是否是被啓動的狀態。

[root@sample ~]# ifconfig -a　← 列出所有網絡接口信息 eth0 Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3 inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:84 errors:0 dropped:0 overruns:0 frame:0 TX packets:93 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB) Interrupt:185 Base address:0x1400 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:12 errors:0 dropped:0 overruns:0 frame:0 TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:952 (952.0 b) TX bytes:952 (952.0 b) sit0 Link encap:IPv6-in-IPv4　← 確認ipv6是被啓動的狀態 NOARP MTU:1480 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

　　而後修改相應配置文件，中止ipv6。

[root@sample ~]# vi /etc/modprobe.conf　← 修改相應配置文件，添加以下行到文尾： alias net-pf-10 off alias ipv6 off [root@sample ~]# shutdown -r now 　← 從新啓動系統，使設置生效

　　最後確認ipv6的功能已經被關閉。

[root@sample ~]# ifconfig -a　 ← 列出所有網絡接口信息

eth0 Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3
inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:84 errors:0 dropped:0 overruns:0 frame:0
TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB)
Interrupt:185 Base address:0x1400 lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:952 (952.0 b) TX bytes:952 (952.0 b)

（確認ipv6的相關信息沒有被列出，說明ipv6功能已被關閉。）