CentOS-7.2、7.5模板机制作

一、准备环境

1.1 在VMware Workstation 12 Pro上新建虚拟机

wKioL1m0ENKAUzHIAAEAGYqMCN4703.jpg

wKioL1m0ENaya7EXAAGuUcWG5Us663.jpg

wKiom1m0EP6QPl4LAAGFgm6tUVw291.jpg

wKioL1m0EN6DFXpTAAGn8WZZsVk081.jpg

wKiom1m0EQawavq3AAGYbLXo6Wc433.jpg

wKiom1m0EQnDy61-AAF7dEPBGWg164.jpg

wKioL1m0EOngdy3nAAFivPavRGc942.jpg

wKiom1m0ERHDzUUoAAHC7KeKyKY193.jpg

wKioL1m0EPKBdbHSAAHIw9pSSn0338.jpg

wKioL1m0EPXyNX-6AAFsVQm_7oo727.jpg

wKiom1m0ERyi-yqPAAFZKpYQs34055.jpg

wKiom1m0ESCRCjW4AAG7DTykyLk409.jpg

磁盘大小,如果是个人测试环境50G够用了,如果是公司测试环境建议100G

wKioL1m0EQHioCZmAAHJMar1Fhw502.jpg

wKiom1m0ESiQM5AxAAGGc4SSkn8784.jpg

wKioL1m0EQmht0oUAAG1gDl17SM336.jpg

 

 

1.2 虚拟机网络设置

 

wKiom1m0EuWh1YsyAAEJONZoMso509.jpg

1.png

wKioL1m0Es3QLZgHAAQJ0Q7Rp04249.jpg

 

如果需要再添加一个内网网卡,操作过程

2.png

 

 

3.png

4.png

5.png

6.png

 

二、安装CentOS 7

2.1 下载CentOS 7

https://mirrors.aliyun.com/centos/7.3.1611/isos/x86_64/
 

 

wKioL1m0E6_ACMWEAAH6zDiVBAg952.jpg 

2.2 安装CentOS 7

wKioL1m0FAzzUf1NAAGCcx99x_A299.jpg

开机启动虚拟机

wKiom1m0FJaR4etAAACXiy3ghVM611.jpg

如果想让网卡和centos6名称一样ifcfg-eth0,那么通过如下方法修改,如果不想和centos6一样,采用

centos7默认网卡命名方式,就不需要按tab键了,直接回车。建议和centos6一样,方便后面管理网络。

当然安装完成后照样也可以修改和centos6一样的命名方式的。如下采用和centos6一样的网卡命名方式操作:

wKiom1m0FJeAgJQ8AACo1I2WcsI786.jpg

在下一行输入 net.ifnames=0 biosdevname=0 然后回车(目的centos 7网卡命名为eth0)

wKioL1m0FHajKGBlAACflW9HuWY801.jpg

wKiom1m0FJqT4BcgAABWT57rZ0M265.jpg

0.jpg

1.jpg

 

2.jpg

3.jpg

4.jpg

5.jpg

200MB

6.jpg

7.jpg

8.jpg

9.jpg

10.jpg

11.jpg

12.jpg

13.jpg

14.jpg

 

 

wKiom1m0FLWg92pAAACTpXsyJYo511.jpg

 

三、优化CentOS 7系统

3.1 优化网卡ifcfg-eth0(在虚拟机内部操作)

CentOS 7.2网卡默认为ifcfg-eno,CentOS 7.5网卡默认为ifcfg-ens160,CentOS 7.6网卡默认为ifcfg-ens33

CentOS 7.2网卡为默认为eno:

[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736
TYPE=Ethernet
BOOTPROTO=dhcp    #修改为static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes            #修改为no
IPV6_AUTOCONF=yes        #此项删除
IPV6_DEFROUTE=yes        #此项删除
IPV6_PEERDNS=yes        #此项删除
IPV6_PEERROUTES=yes    #此项删除
IPV6_FAILURE_FATAL=no    #此项删除
NAME=eno16777736
UUID=a60ac1a5-59e2-460e-8e62-07c1b65a1186    #如果作为模板机建议删除此项,虽然克隆后不影响
DEVICE=eno16777736
ONBOOT=no            #修改为yes
#以下部分是新增的
IPADDR=10.0.0.100
NETMASK=255.255.255.0
GATEWAY=10.0.0.2
#如下是选做的,也可以后期通过/etc/resolv.conf配置DNS
#如果想配置DNS访问外网可以在此处配置DNS,此处配置后不需要再通过修改/etc/resolv.conf方式配置DNS了,此处新增DNS1或DNS2,DNS可以是内网也可以是外网DNS,如果不需要配置DNS,此处可以不配置
DNS1=8.8.8.8
#如果1个DNS不够,可以再增加一个DNS2
DNS2=114.114.114.114
 

最后修改完后如下所示:

[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=eno16777736
UUID=a60ac1a5-59e2-460e-8e62-07c1b65a1186
DEVICE=eno16777736
ONBOOT=yes
#以下部分是新增的
IPADDR=10.0.0.100
NETMASK=255.255.255.0
GATEWAY=10.0.0.2
DNS1=8.8.8.8
DNS2=114.114.114.114
 

修改完成后重启网卡生效

[root@localhost ~]# systemctl restart network    #重启所有网卡
 

CentOS 7.2网卡为eth0和上面方法一样的,只是配置文件中所有的eno16777736修改为eth0而已

[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=dhcp    #修改为static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes            #修改为no
IPV6_AUTOCONF=yes        #此项删除
IPV6_DEFROUTE=yes        #此项删除
IPV6_PEERDNS=yes        #此项删除
IPV6_PEERROUTES=yes    #此项删除
IPV6_FAILURE_FATAL=no    #此项删除
NAME=eth0
UUID=a60ac1a5-59e2-460e-8e62-07c1b65a1186    #如果作为模板机建议删除此项,虽然克隆后不影响
DEVICE=eth0
ONBOOT=no            #修改为yes
#以下部分是新增的
IPADDR=10.0.0.100
NETMASK=255.255.255.0
GATEWAY=10.0.0.2
#如下是选做的,也可以后期通过/etc/resolv.conf配置DNS
#如果想配置DNS访问外网可以在此处配置DNS,此处配置后不需要再通过修改/etc/resolv.conf方式配置DNS了,此处新增DNS1或DNS2,DNS可以是内网也可以是外网DNS,如果不需要配置DNS,此处可以不配置
DNS1=8.8.8.8
#如果1个DNS不够,可以再增加一个DNS2
DNS2=114.114.114.114
[root@localhost ~]# systemctl restart network    #重启所有网卡
 

测试环境单网卡CentOS 7.5网卡为默认为ens

 

[root@mobanji network-scripts]# vim /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=dhcp            #修改为static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes            #修改为no
IPV6_AUTOCONF=yes        #此项删除
IPV6_DEFROUTE=yes        #此项删除
IPV6_FAILURE_FATAL=no    #此项删除
IPV6_ADDR_GEN_MODE=stable-privacy    #此项删除
NAME=ens160
UUID=a60ac1a5-59e2-460e-8e62-07c1b65a1186    #如果是作为模板机建议删除此项,虽然克隆后不影响
DEVICE=ens160
ONBOOT=no#修改为yes
#以下部分是新增的
IPADDR=10.0.0.100
NETMASK=255.255.255.0
GATEWAY=10.0.0.2
#如下是选做的,也可以后期通过/etc/resolv.conf配置DNS
#如果想配置DNS访问外网可以在此处配置DNS,此处配置后不需要再通过修改/etc/resolv.conf方式配置DNS了,此处新增DNS1或DNS2,DNS可以是内网也可以是外网DNS,如果不需要配置DNS,此处可以不配置
DNS1=8.8.8.8
#如果1个DNS不够,可以再增加一个DNS2
DNS2=114.114.114.114
[root@localhost ~]# systemctl restart network    #重启所有网卡
 

最后修改后如下所示:

 

[root@mobanji ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=10.68.8.100
NETMASK=255.255.255.0
GATEWAY=10.68.8.1
DNS1=10.68.8.38
DNS2=10.68.8.48
 

备注:

网卡中配置了DNS1、DNS2那么重启网卡systemctl restart network的时候会自动在/etc/resolv.conf中自动生成DNS地址。

如下所示:

 

[root@mobanji ~]# cat /etc/resolv.conf
nameserver 10.68.8.38
nameserver 10.68.8.48
 

所以CentOS中如果网卡中配置了DNS那么不需要重复在/etc/resolv.conf中再重复指定DNS了。如果不想在网卡中配置DNS那么可以直接在/etc/resolv.conf文件中配置DNS。

 

CentOS 7.6:

举例2:个人实验环境,双网卡,ens33对外,ens34对内

[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=10.0.0.100
NETMASK=255.255.255.0
GATEWAY=10.0.0.2
DNS1=223.5.5.5
DNS2=223.6.6.6
[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens34
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=ens34
DEVICE=ens34
ONBOOT=yes
IPADDR=172.16.1.100
NETMASK=255.255.255.0
 

最后在虚拟机外部用CRT远程连接虚拟机

wKioL1m0FJODz8YEAACpMJybN9c505.jpg

wKiom1m0GB-gobh3AACq3LUMOY4206.jpg

3.2 关闭selinux

[root@localhost ~]# getenforce
Enforcing
[root@localhost ~]# setenforce Permissive
[root@localhost ~]# getenforce           
Permissive
[root@localhost ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
[root@localhost ~]# reboot
[root@localhost ~]# getenforce
Disabled
 

备注:

也可以通过/etc/sysconfig/selinux关闭selinux

 

[root@mobanji ~]# ll /etc/sysconfig/selinux
lrwxrwxrwx. 1 root root 17 Feb  1 10:57 /etc/sysconfig/selinux -> ../selinux/config
 

3.3关闭NetworkManager和防火墙开机自启动

[root@localhost ~]# systemctl disable firewalld
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl disable NetworkManager
 

3.3修改主机名-设置模板机主机名mobanji,此步骤可以不配置

[root@localhost ~]# hostname mobanji
[root@localhost ~]# vi /etc/hostname  
localhost.localdomain	修改为mobanji
ctrl+D注销后,再登录后,主机名已修改为mobanji
 

3.4设置DNS解析-内网DNS

 

[root@mobanji ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=10.68.8.100
NETMASK=255.255.255.0
GATEWAY=10.68.8.1
DNS1=10.68.8.38
DNS2=10.68.8.48
 

备注:

网卡中配置了DNS1、DNS2那么重启网卡systemctl restart network的时候会自动在/etc/resolv.conf中自动生成DNS地址。

如下所示:

 

[root@mobanji ~]# cat /etc/resolv.conf
nameserver 10.68.8.38
nameserver 10.68.8.48
 

所以CentOS中如果网卡中配置了DNS那么不需要重复在/etc/resolv.conf中再重复指定DNS了。如果不想在网卡中配置DNS那么可以直接在/etc/resolv.conf文件中配置DNS。

 

手动修改DNS配置如下所示:

[root@localhost ~]# vi /etc/resolv.conf 
nameserver 10.0.0.2
如果想设置外网dns可以设置为
nameserver 114.114.114.114
nameserver 8.8.8.8
 

 

3.5 安装常用的软件包

yum install -y vim net-tools wget lrzsz tree screen lsof tcpdump nc \
mtr nmap telnet dos2unix sysstat nc nmap zip unzip ntpdate
 

前3个是必须要安装的

ifconfig在net-tools包里面

安装完系统一定不要运行yum updata,否则系统版本会升级。

 

3.6 更改CentOS-Base、EPEL源为阿里源

    默认情况下centos7内置的CentOS-Base、EPEL都是国外的,国外源慢,网络不稳定等因素,所以需要更改为国内的源,例如阿里云源。base是内置的源,epel是第三方源。

根据:https://mirrors.aliyun.com/提示操作即可,现在阿里云镜像网站已修改为https://opsx.alibaba.com/mirror

1.更改CentOS-Base为阿里云源

 

CentOS 7
1、备份
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
2、下载新的CentOS-Base.repo 到/etc/yum.repos.d/
CentOS 7
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
或者
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
3、之后运行yum makecache生成缓存
 

1.jpg

2.jpg

 

2.更改EPEL源为阿里源

https://opsx.alibaba.com/mirror

方法1:推荐

 

epel
##epel 配置方法
###1、备份(如有配置其他epel源)
mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup
mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup
2、下载新repo 到/etc/yum.repos.d/
epel(RHEL 7)
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
 

22.jpg

33.jpg

方法2:

找到centos7的EPEL仓库源rpm包,直接安装。操作如下:

22.jpg

44.jpg

#直接执行安装
rpm -ivh
 

 

3.7 设置linux服务器时间同步

备注:时间同步一律使用阿里云的NTP时间同步服务器,因为time.nist.gov时间同步服务器ping不同,所以国内还是用阿里云的NTP服务器吧

详情请看:https://help.aliyun.com/knowledge_detail

阿里云:内网和公网NTP服务器和其他互联网基础服务

https://help.aliyun.com/knowledge_detail/40583.html?spm=5176.11065259.1996646101.searchclickresult.2bc34270br1kx1

阿里云公网NTP服务器地址:

ntp1.aliyun.com
ntp2.aliyun.com
ntp3.aliyun.com
ntp4.aliyun.com
ntp5.aliyun.com
ntp6.aliyun.com
ntp7.aliyun.com
 

操作如下:

[root@mobanji ~]# /usr/sbin/ntpdate ntp1.aliyun.com
 4 Oct 12:23:24 ntpdate[24685]: no server suitable for synchronization found
[root@mobanji ~]# echo '#time sync by oldboy at 2018-12-3 16:22:31'>>/var/spool/cron/root
[root@mobanji ~]# echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1'>>/var/spool/cron/root
[root@mobanji ~]# crontab -l
#time sync by oldboy at 2017-10-04
*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1
 

3.8 内核优化

cat >> /etc/sysctl.conf<<EOF
# =====================================================================================
# new add
# 关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 避免放大攻击
# 开启恶意icmp错误消息保护
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 关闭路由转发
# 在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。
# 设置ip_forward为0, 禁止ip转发功能
net.ipv4.ip_forward = 0
# 设置send_redirects为0, 禁止接收转发重定向报文
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 开启反向路径过滤
# 设置rp_filter为1,打开反向路径过滤功能,防止ip地址欺骗
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 关闭sysrq功能
kernel.sysrq = 0

# core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
# 开启SYN洪水攻击保护(防范少量SYN攻击)
net.ipv4.tcp_syncookies = 1

# 修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536

# 设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296

# timewait的数量,默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

# 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.core.netdev_max_backlog = 262144

# 限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800

# 未收到客户端确认信息的连接请求的最大值
# 设置tcp_max_syn_backlog,以限定SYN队列的长度
# 记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0

# 内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1

# 内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1

# 启用timewait 快速回收
net.ipv4.tcp_tw_recycle = 1

# 开启重用。允许将TIME-WAIT sockets 重新用于新的TCP连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1

# 当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 30

# 允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000

# 修改防火墙iptables表大小,默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200

# 确保无人能修改路由表
# 设置accept_redirects为0, 禁止接收路由重定向报文,防止路由表被恶意更改
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
# 设置secure_redirects为1,只接受来自网关的“重定向”icmp报文
net.ipv4.conf.default.secure_redirects = 0

#决定检查过期多久邻居条目
net.ipv4.neigh.default.gc_stale_time=120
 
#使用arp_announce / arp_ignore解决ARP映射问题
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.conf.lo.arp_announce=2 # 避免放大攻击
# 开启恶意icmp错误消息保护
# net.ipv4.icmp_echo_ignore_broadcasts = 1
# 开启恶意icmp错误消息保护
# net.ipv4.icmp_ignore_bogus_error_responses = 1
 
# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0

# web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值。
net.core.somaxconn = 32768
 
EOF
 

保存生效:sysctl -p

操作过程:

[root@localhost ~]# sysctl -p
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024    65000
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established: No such file or directory
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.neigh.default.gc_stale_time = 120
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce = 2
net.ipv4.conf.lo.arp_announce = 2 # 避免放大攻击
net.ipv4.conf.all.accept_source_route = 0
net.core.somaxconn = 32768
[root@localhost ~]# 
因为未安装iptables,所以报错这个,不影响的,可以忽略。
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory
sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established: No such file or directory
net.ipv4.conf.all.accept_redirects = 0
 

设置配置文件权限:

# 默认权限不安全,如下所示:
[root@localhost ~]# ll /etc/sysctl.conf
-rw-r--r--. 1 root root 4470 Aug 17 23:38 /etc/sysctl.conf
[root@localhost ~]# 
# 安全优化,一键操作
chown root:root /etc/sysctl.conf
chmod 0600 /etc/sysctl.conf
 

备注:

在系统不作为不同网络之间的防火墙或网关时,要求进行如下设置。

设置ip_forward为0, 禁止ip转发功能

设置send_redirects为0, 禁止接收转发重定向报文

如果需要ip转发需要把这两项开启。

 

3.9 系统最大打开数修改

一、 最大打开文件数的限制 

# 快速操作:
cat >> /etc/security/limits.conf<<EOF
# new add
root soft nofile 65535
root hard nofile 65535
* soft nofile 65535
* hard nofile 65535
EOF


# 慢速操作
vi /etc/security/limits.conf
最后添加
# End of file
root soft nofile 65535
root hard nofile 65535
* soft nofile 65535
* hard nofile 65535
 

二、用户进程限制

# 快速操作:
cat >/etc/security/limits.d/20-nproc.conf<<EOF
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.
# 默认是4096,修改为40960,也可以改为unlimited
*          soft    nproc     40960
root       soft    nproc     unlimited
EOF


[root@localhost ~]# cat /etc/security/limits.d/20-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

*          soft    nproc     40960
root       soft    nproc     unlimited
[root@localhost ~]# 

# 慢速操作
vi /etc/security/limits.d/20-nproc.conf
[root@localhost ~]# vim /etc/security/limits.d/20-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

# *          soft    nproc     4096
# root       soft    nproc     unlimited  
# 加大普通用户限制  也可以改为unlimited
*          soft    nproc     40960
root       soft    nproc     unlimited
 

此步骤需要重启机器生效,可以设置完后再重启

 

 

备注:更新系统并重启(选做)。-一定不要操作,慢,效率低,还不如直接安装最新版本的操作系统

提示:此步骤慎重操作,因为会把centos 7.2升级为最新的版本。

所以建议有需求再更新,没有需求不要更新。

[root@localhost ~]# yum update -y && reboot
 

3.9 克隆虚拟机

 

 

centos 7关机方法
1、init 0
2、shutdown -h now
备注:halt(centos7无效,centos6有效)
 

    请关闭虚拟机,并克隆当前虚拟机mobanji到linux-node1、linux-node2,建议选择“创建链接克隆”,而不是选择”创建完整克隆”。

克隆完毕后请给linux-node2设置正确的IP地址和主机名。

四、备注

4.1 备注1

    如果是做openstack等二次虚拟化实验测试,虚拟机需要cpu需要开启虚拟化。如下所示:

wKioL1m0KHbSU3a8AAGdVUMyN70332.jpg

 

posted @ 2020-09-11 18:16  老虎逛大街  阅读(486)  评论(0编辑  收藏  举报
levels of contents