系統安裝后的初始環境設置

系統安裝后的初始環境設置

前　　言
　　在 CentOS 安裝好之後，安全性以及對硬體的適應性方面，可能並不完全符合我們的實際情況。在這裡，對新的 CentOS 系統進行初始環境設置將以如下方面為原則：
　　1，為了安全，盡最大可能將訪問限制限制到可能的最大程度；
　　2，為了節省內存及 CPU 使用率（以及安全方面的考慮），盡最大可能將不需要的服務關閉；
　　3，為了減少誤操作可能帶來的損失，平時通過 wheel 組用戶登錄進行系統管理；
　　4，為了讓系統變的更加輕便、快速，將內核中不需要的模塊卸載；
　　…………

CentOS 5.4 的安裝后初始環境設定
　 安裝網上有許多教程，這裡不再贅述。安裝完畢重新啟動系統后，出現如下的狀態：
CentOS release 5.4 (Final)
Kernel 2.6.18-164.el5 on an i686
sample login: 　 ← 根據安裝時網路設置的情況的不同，這裡以「sample」為例，默認為「localhost」，其位置顯示的是你設置好的主機名。

[1] 系統的登錄與退出
sample login: root　← 用root用戶來登錄系統，輸入用戶名root
Password:　← 在這裡輸入安裝時設置的root密碼，輸入時密碼不會被顯示
[root@sample ~]#　← root用戶登錄成功，提示符為「#」。若一般用戶登錄成功后，提示符為「$」
[root@sample ~]# exit　← 退出系統，或者用logout。login是登陸，logout就是退出了。
sample login:　← 退出系統成功

[2]建立 ~/.vimrc，設置家目錄的永久行號 （.vimrc為使用VI的環境設置文件，自己可根據須要設置。）
[root@sample ~]#　vi /root/.vimrc 注意：這裡用的絕對路徑指定在root的家目錄，根據自己須要更改。.vimrc行號文件一定要建在用戶的家目下，而且只對該用戶有效。
在文件里添加set nu，然後保存退出。

[3]把系統語言改成英文版（主要是為了方便更好的學習） 我認為如果想學習好linux，最好不要用中文
[root@sample ~]#vi /etc/sysconfig/i18n 修改如下：
把默認的 LANG="zh_CN.UTF-8" 註釋掉，改成LANG="en"。註釋可以在前面加「#」號！

[4] 一般用戶的建立與刪除
[root@sample ~]# useradd centospub　← 建立用戶名為 centospub 的一般用戶，這裡根據自己須要更改用戶
[root@sample ~]# passwd centospub　← 為用戶 centospub 設置密碼
Changing password for user centospub.
New UNIX password:　　← 輸入密碼（密碼不會被顯示）
Retype new UNIX password:　　← 再次輸入密碼確認兩次密碼一致
passwd: all authentication tokens updated successfully.　← 密碼設置成功
[root@sample ~]# userdel -r centospub　← 刪除用戶名為 centospub 的一般用戶。注意，這裡加參數-r是因為要連同其用戶家目錄一起刪除。

[5] 通過一般用戶登錄為root用戶
　　因為root用戶對系統具有全權的操作許可權，為了避免一些失誤的操作，建議在一般情況下，以一般用戶登錄系統，必要的時候需要root操作許可權時，再通過「su -」命令來登錄為root用戶進行操作。
[centospub@sample ~]$ 　← 提示符為「$」，說明當前狀態為一般用戶centospub登錄在系統中
[centospub@sample ~]$ su - 　← 輸入登錄為root用戶的命令。提示：如果當前為root用戶，要切到普通用戶，則輸入「su 普通用戶」，此時則不須密碼。
Password: 　 ← 輸入root密碼（密碼不會被顯示），回車
[root@sample ~]#　← 成功登錄為root用戶，提示符變為「#」
[root@sample ~]# exit　← 回到一般用戶的登錄狀態。這裡也不可以用"logout"，不信你試一下，會報錯，原因想必你應該知道！
[centospub@sample ~]$　← 提示符變為「$」，回到了一般用戶centospub登錄系統的狀態

[6] 建立管理員組內一般用戶
　　 在 一般情況下，一般用戶通過執行「su -」命令、輸入正確的root密碼，可以登錄為root用戶來對系統進行管理員級別的配置。但是，為了更進一步加強系統的安全性，有必要建立一個管理員的 組，只允許這個組的用戶來執行「su -」命令登錄為root用戶，而讓其他組的用戶即使執行「su -」、輸入了正確的root密碼，也無法登錄為root用戶。在UNIX下，這個組的名稱通常為「wheel」。
[root@sample ~]# usermod -G wheel centospub 　← 將一般用戶 centospub 加在管理員組wheel組中。參數-G 　修改用戶所屬的附加群組。
[root@sample ~]# vi /etc/pam.d/su 　← 打開這個配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid 　 ← 找到此行，去掉行首的「#」
auth required /lib/security/$ISA/pam_wheel.so use_uid　 ← 變為此狀態（在第6行的位置）
[root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs　← 利用管道符添加語句到行末，可以查看/etc/login.defs以檢查
　　以上操作完成後，可以再建立一個新用戶，然後用這個新建的用戶測試會發現，沒有加入到wheel組的用戶，執行「su -」命令，即使輸入了正確的root密碼，也無法登錄為root用戶，提示su: incorrect password(不正確的密碼)

[7]屏蔽掉ctrl+alt+del重啟電腦的快捷鍵。安全第一，防止習慣性的和windows一樣重啟電腦！
#vi /etc/inittab
:32 將第32行註釋掉，在行首加#號；
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

[8] root郵件的轉送
　　在系統出現錯誤或有重要通知發送郵件給root的時候，讓系統自動轉送到我們通常使用的郵箱中，這樣方便查閱相關報告和日誌。
[root@sample ~]# vi /etc/aliases 　 ← 編輯aliases，添加如下行到文尾
root: yourname@yourserver.com　← 加入自己的郵箱地址
[root@sample ~]# newaliases　← 重建aliasesdb
/etc/aliases: 79 aliases, longest 19 bytes, 825 bytes total
[root@sample ~]# echo test | mail root　← 發送測試郵件給root
　　如果成功的話，會在剛剛填入的 yourname@yourserver.com 的郵箱中收到測試的郵件。

[9] 配置或修改網卡配置文件
不聯網是很痛苦的，所以必須作一些基本的設置，我這裡以區域網為例，如果採用ADSL請參考其它相關文章。網卡的配置有多咱方式，分別介紹：
1.臨時配置網卡IP地址 注意：既然是臨時的，那麼註銷和重啟將失效。
[root@sample ~]# ifconfig eth0 192.168.1.1 netmask 255.255.255.0
#ifup eth0 啟用eth0網卡 （ifdown eth0 關閉）
2.圖形命令配置
#setup 或者:netconfig 或者：#system-config-network-tui
如果netconfig命令找不到，則掛載光碟，安裝netconfig包
啟動網卡
#service network restart
3.腳本配置或修改網卡配置文件
[root@sample ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0 這裡eth0為第一塊網卡，自己根本須要配置多個時更改。
DEVICE=eth0 //設備名
ONBOOT=yes //開機啟動
BOOTPROTO=static //IP地址的獲取方式（靜態和DHCP）
IPADDR=192.168.10.3 //IP地址
NETMASK=255.255.255.0 //子網掩碼
注意：以上幾種方法配置好后都必須重啟網卡服務：#service network restart (共有參數，start/stop/restart/status ，推薦重啟用restart)

[10]停止列印服務
如果不準備提供列印服務，停止默認被設置為自動啟動的列印服務。
[root@sample ~]# /etc/rc.d/init.d/cups stop　 ← 停止列印服務
Stopping cups: 　　　　　　 　　　　[ OK ]　 　　← 停止服務成功，出現「OK」
[root@sample ~]# chkconfig cups off　 ← 禁止列印服務自動啟動
[root@sample ~]# chkconfig --list cups　 ← 確認列印服務自啟動設置狀態
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off　 ← 0-6都為off的狀態就OK（當前列印服務自啟動被禁止中）

[11]停止ipv6
　　在CentOS默認的狀態下，ipv6是被啟用的狀態。因為我們不使用ipv6，所以，停止ipv6，以最大限度保證安全和快速。
　　首先再次確認一下ipv6功能是不是被啟動的狀態。
[root@sample ~]# ifconfig -a　← 列出全部網路介面信息
eth0
Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3
inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:84 errors:0 dropped:0 overruns:0 frame:0
TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB)
Interrupt:185 Base address:0x1400

lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:952 (952.0 b) TX bytes:952 (952.0 b)

sit0
Link encap:IPv6-in-IPv4　← 確認ipv6是被啟動的狀態
NOARP MTU:1480 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

然後修改相應配置文件，停止ipv6。
[root@sample ~]# vi /etc/modprobe.conf　← 修改相應配置文件，添加如下行到文尾：

alias net-pf-10 off
alias ipv6 off

[root@sample ~]# shutdown -r now 　← 重新啟動系統，使設置生效

　　最後確認ipv6的功能已經被關閉。

[root@sample ~]# ifconfig -a　← 列出全部網路介面信息

eth0 Link encap:Ethernet HWaddr 00:0C:29:B6:16:A3
inet addr:192.168.0.13 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:feb6:16a3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:84 errors:0 dropped:0 overruns:0 frame:0
TX packets:93 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10288 (10.0 KiB) TX bytes:9337 (9.1 KiB)
Interrupt:185 Base address:0x1400 lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:952 (952.0 b) TX bytes:952 (952.0 b)
（確認ipv6的相關信息沒有被列出，說明ipv6功能已被關閉。）

[12]關閉增強安全 (SELinux) 的預設策略
禁用SELinux方法有兩種：
1、命令方式下編輯/etc/sysconfig/selinux，把SELINUX=permissive改成SELINUX=disabled。需要提醒的是，修改SELINUX或者SELINUXTYPE后，只有在下次重啟機器的時候修改方可生效。
2、圖形界面方式修改SELinux，這裡不再贅述。（其實有好多配置都可在圖形下操作的）

[13]定義yum的非官方庫
　　在伺服器構建的過程中，我們將要用到的一些工具不存在於CentOS中yum的官方庫中，所以需要定義yum的非官方庫文件，讓一些必需的工具通過yum也能夠安裝。CentOS 的源實在是慢得可憐~~N久前一直用的國內有個源，幾個月前就不能用了！後來發現了另一個源，雖然不是國內的，但速度還是不錯，我用2M的帶寬測試過，速度能上200，比官方源好多了，哈哈！！覺得慢的朋友可以改一下你們的yum.源。
[root@sample ~]# vi /etc/yum.repos.d/dag.repo　 ← 建立dag.repo，定義非官方庫
添加以下內容
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1
[root@sample ~]# rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt　 ← 導入非官方庫的GPG
保存退出！ OK！！
yum -y install gcc-c++ 就可以試到速度了！而且剛開始我安裝zhcon不行，提示無效。不得已我從網上下載源包，試了N久，最後還是未成功。當添加了非官方庫后，再次直接yum -y install zhcon一下子就成功了！呵呵！！

以上，只是出於個人喜好所作的設定，當然還有一些環境文件的設定，比如~/.cshrc，以設定登入時的相關環境等。另外還有一些相關的服務等！由於是新手，目前還在探討中！

Tags: linux system 系統