CentOS的安装配置及基于CentOS下Oracle10g的安装

第一部分：CentOS的安装与配置（Base on Version5.3）

一、安装操作系统

安装操作系统时，为方便对操作系统盘进行手工分区，先只接一个硬盘，装好系统后再接其它三个硬盘。

1、对第一块硬盘进行手动分区

/boot 100M /var 10000M swap 4096M /opt 4000M / 1000M /tmp 5000M /usr 3000M /home 余下空间 如果是互联网Web主机，由于访问量太大，因此须修改为： /boot 100M /var 20000M swap 8192M /opt 4000M / 1000M /tmp 20000M /usr 3000M /home 余下空间，可作ftp空间 分区说明：将/var、/home、/www、/data等分区独立出来，是为了将来这些分区被文件数据塞满后，不会导致系统崩溃，还可以让用户登录进系统进行系统维护。如果你有使用Unix系统的经验，非独立分区的系统在硬盘空间用完后，是连root用户都无法登录的。因此，平时维护系统时不要让文件塞满“/”和“/usr”两个目录空间。 2、选择定制软件安装系统

Base、Development Libraries、Development Tools、Network Servers、FTP Server、Windows File Server 互联网Web主机：

Base、Development Libraries、Development Tools、Network Servers、FTP Server 3、重启后，选择系统服务 auditd、crond、iptables、irqbalance、lvm2-monitor、mdmonitor、mdmpd、microcode_ctl、network、smartd、smb、sshd、syslog、vsftpd、yum-updatesd 互联网Web主机： auditd、crond、iptables、irqbalance、lvm2-monitor、mdmonitor、mdmpd、microcode_ctl、network、smartd、sshd、syslog、vsftpd、yum-updatesd

注意：auditd为SELinux安全授权服务，一定要保留；smartd为硬盘健康状态监控服务，需要主板支持，如果你的主板不支持，可以取消。 二、系统配置

1、非正常关机的自动磁盘修复配置 vi /etc/sysconfig/autofsck 复制代码AUTOFSCK_DEF_CHECK=yes PROMPT=yes

2、取消Ctrl＋Alt＋Del热键 vi /etc/inittab 复制代码找到：

ca::ctraltdel:/sbin/shutdown -t3 -r now 在行首加上#号 3、安全配置

建立常规非特权帐号： useradd hegz

passwd hegz

删除不用的用户组及用户：

打入下面的命令删掉下面的用户。 userdel adm userdel shutdown userdel lp userdel halt userdel sync userdel mail

如果你不用sendmail、procmail、mailx服务器，就删除这个帐号。 userdel news userdel operator userdel uucp userdel games 如果你不用X windows 服务器，就删掉这个帐号。 userdel gopher userdel ftp 如果你不允许匿名FTP，就删掉这个用户帐号。 打入下面的命令删除组帐号 groupdel adm groupdel lp groupdel mail 如不用Sendmail服务器，删除这个组帐号 groupdel news groupdel uucp groupdel games 如你不用X Windows，删除这个组帐号 groupdel dip groupdel pppusers groupdel popusers 如果你不用POP服务器，删除这个组帐号 groupdel slipusers

用chattr命令给下面的文件加上不可更改属性。 chattr +i /etc/passwd chattr +i /etc/group chattr +i /etc/shadow chattr +i /etc/gshadow 配置SSHD服务： vi /etc/ssh/sshd_config 复制代码按下面的参数值进行设置：

Port 5000 # 将ssh连接端口改为5000

ServerKeyBits 1024 # 将ServerKey强度改为1024比特 PermitRootLogin no # 不允许用root进行登录 PasswordAuthentication no # 不允许密码方式的登录 MaxAuthTries 3 # 最大登录尝试次数为3 RSAAuthentication yes # 允许RSA认证 PubkeyAuthentication yes # 允许公钥认证

AuthorizedKeysFile .ssh/authorized_keys # 保存公钥的认证文件 PermitEmptyPasswords no # 禁止空密码进行登录 ChallengeResponseAuthentication no # 禁用s/key密码 保存并退出vi后，重启sshd服务： service sshd restart 复制代码生成RSA Key：

用su命令改变身份到要生成Key的帐号： su - hegz

执行下面的命令生成RSA Key：

/usr/bin/ssh-keygen -b 1024 -t rsa

默认在帐号的主目录下面的.ssh目录生成一对Key： id_rsa ： 私钥，SSH客户端软件需要 id_rsa.pub ： 公钥，内容将导入认证文件

将公钥导入认证文件：

cat .ssh/id_rsa.pub >> .ssh/authorized_keys 更改认证文件的权限：

chmod 600 .ssh/authorized_keys

将私钥文件下载到客户端，客户端软件就可以用这个Key通过服务器认证了。 最后将密钥文件复制到安全的地方保存后从服务器上删除。 防火墙配置： cd /etc/rc.d vi fw.sh

/bin/bash

IPT=\/sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_nat /sbin/modprobe ipt_limit /sbin/modprobe ipt_state

/sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_REJECT

for interface in /proc/sys/net/ipv4/conf/* do

echo 0 > $interface/accept_source_route done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 1 >/proc/sys/net/ipv4/tcp_syncookies # Disable ICMP Redirect Acceptance for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do

echo 0 > $f done

# Don't send Redirect Messages for f in /proc/sys/net/ipv4/conf/*/send_redirects; do

echo 0 > $f done

# Drop Spoofed Packets coming in for f in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo 1 > $f

done

# Log packets with impossible addresses for f in /proc/sys/net/ipv4/conf/*/log_martians; do

echo 1 > $f done

# Inital iptables Chains Policy $IPT -F -t filter $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT

# Deny All Other Connections

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK \\

-m state --state NEW -j REJECT --reject-with tcp-reset

$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# Enable Native Network Transfer $IPT -A INPUT -i lo -j ACCEPT # ICMP Control

$IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT # WWW Service

$IPT -A INPUT -p tcp -s 192.168.8.0/24 --dport 80 -j ACCEPT

$IPT -A INPUT -p tcp -s 192.168.11.0/24 --dport 80 -j ACCEPT # FTP Service

$IPT -A INPUT -p tcp -s 192.168.8.0/24 --dport 21 -j ACCEPT

$IPT -A INPUT -p tcp -s 192.168.11.0/24 --dport 21 -j ACCEPT # SMB Service

$IPT -A INPUT -p tcp -s 192.168.8.0/24 --dport 139 -j ACCEPT

$IPT -A INPUT -p tcp -s 192.168.11.0/24 --dport 139 -j ACCEPT # SSH Service #$IPT -A INPUT -p tcp -s 192.168.11.0/24 --dport 22 -j ACCEPT

$IPT -A INPUT -p tcp -s 192.168.11.0/24 --dport 5000 -j ACCEPT # End Firewall

如果是直接接入Internet，可将防火墙配置修改为： #! /bin/bash IPT=\/sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_nat /sbin/modprobe ipt_limit /sbin/modprobe ipt_state /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_nat_ftp /sbin/modprobe ipt_REJECT for interface in /proc/sys/net/ipv4/conf/* do echo 0 > $interface/accept_source_route done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 >/proc/sys/net/ipv4/tcp_syncookies # Disable ICMP Redirect Acceptance for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0 > $f done # Don't send Redirect Messages for f in /proc/sys/net/ipv4/conf/*/send_redirects; do echo 0 > $f done # Drop Spoofed Packets coming in for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f done # Log packets with impossible addresses for f in /proc/sys/net/ipv4/conf/*/log_martians; do echo 1 > $f done # Inital iptables Chains Policy $IPT -F -t filter $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT # Deny All Other Connections $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK \\ -m state --state NEW -j REJECT --reject-with tcp-reset $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP # Enable Native Network Transfer $IPT -A INPUT -i lo -j ACCEPT # ICMP Control $IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT # WWW Service $IPT -A INPUT -p tcp --dport 80 -j ACCEPT # FTP Service $IPT -A INPUT -p tcp --dport 21 -j ACCEPT # SSH Service #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -p tcp --dport 5000 -j