CentOS 7 基础配置
目录
0. 磁盘分区与目录规划
1. 新建用户
2. 配置 SSH 远程登录
3. 升级系统软件
4. 安装配置 iptables 防火墙
5. 配置 mail 邮件服务
6. 安装 Fail2Ban 阻止暴力攻击
7. 配置 vim
8. 配置命令行颜色和内容
9. 卸载腾讯云监控 Agent
0、磁盘分区与目录规划
## /boot: 引导分区,200MB
## swap: 虚拟内存分区,20GB(生产环境),也有观点说 1.5倍内存;
## /: 根分区,线上环境一般建议给 100GB 左右;
## /data/:应用程序,MySWL、Nginx、Apache、Tomcat等
/data/mysql/...
/data/PHP/...
/data/EMQ/...
/data/Fail2Ban/...
/data/logs/mysql
/data/logs/apache
...
1. 新建用户
# groupadd group1 ## 新建用户组 group1
# useradd -d /home/bobo -s /bin/bash -m bobo ## 新建用户 bobo
-d 指定用户主目录
-s 指定用户名
-m 表示如果目录不存在,则创建该目录
# passwd *** ## 设置新用户密码
# usermod -G group1 bobo ## 将新用户添加到用户组
# visudo ## 为新用户设定 sudo 权限
## /etc/sudoers
1 ## Sudoers allows particular users to run various commands as
2 ## the root user, without needing the root password.
7 ##
8 ## This file must be edited with the 'visudo' command.
...
90 ## Allow root to run any commands anywhere
91 root ALL=(ALL) ALL
92 bobo ALL=(ALL) ALL ## 添加(切换 sudo 时,不需要密码: ALL=(ALL) NOPASSWD: ALL)
参考链接: sudo 配置
参考链接: usermod 配置
2. 配置 SSH 远程登录
## 修改 sshd_config 文件以下几项可以设置不同的登录方式
# vim /etc/ssh/sshd_config
17 Port 22 ->> Port 7777 ## 更改 SSH 端口号为 5000 以上数字
50 PermitRootLogin no ## 禁止 root 登录
56 PubkeyAuthentication yes ## 开启公钥登录
80 PasswordAuthentication no ## 禁止密码认证方式登录
# service sshd restart
## 命令窗口直接登录远程主机:
$ ssh -p 7777 bobo@123.123.2.123
$ bobo@123.123.2.123's password:
3. 升级系统及软件
# yum -y update ## 更新软件和内核
4. 安装配置 iptables 防火墙
# systemctl stop firewalld.service ## 停止 firewall
# systemctl disable firewalld.service ## 禁止 firewall 自启动
# yum install iptables -y ## 安装 iptables 服务
# systemctl status iptables ## 查看 iptables 状态
# systemctl start iptables ## 启动 iptables 服务
# systemctl stop iptables ## 停止 iptables 服务
# systemctl restart iptables ## 重启 iptables 服务
# systemctl list-unit-files | grep iptables ## 查看 iptables 服务是否为自启动
# systemctl enable iptables ## 设置自启动
# vi /etc/sysconfig/iptables ## 打开配置文件
# service iptables save ## 保存配置
# systemctl reload iptables ## 重新加载配置
# iptables -t nat -L ## 查看 nat 配置情况
# netstat -tulpn | less ## 查看端口监听状态
5. 配置 mail 邮件服务
考虑到配置难度,推荐采用 SMTP 方式。服务商封禁了 25 端口,所以只能使用 SSL SMTP 465 端口。
# yum remove sendmail ## sendmail 出了名的难配置
# yum remove postfix ## 系统自带,用不到
# yum install mailx -y ## 安装 mail (若已经安装请忽略)
# vim /etc/mail.rc (编辑该文件,末尾添加以下内容)
72 set from=xxxxxx@163.com
73 set smtp=smtps://smtp.163.com:465 ## 以 163 邮箱为例
74 set ssl-verify=ignore
75 set nss-config-dir=/root/.certs ## 授权目录 (#ll /root/.certs/ 查看)
76 set smtp-auth-user=xxxxxx@163.com
77 set smtp-auth-password=code ## 该 code 为邮箱 SMTP 授权码,从邮箱中获取
78 set smtp-auth=login
## SSL 授权,执行如下命令:
# mkdir /root/.certs ## 创建证书目录
# yum install -y nss-tools ## 安装 NSS Tools certutil(若已经安装请忽略)
# echo -n | openssl s_client -connect smtp.163.com:465 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ~/.certs/163.crt
# certutil -A -n "GeoTrust Global CA" -t "C,," -d ~/.certs -i ~/.certs/163.crt
# certutil -A -n "GeoTrust SSL CA" -t "C,," -d ~/.certs -i ~/.certs/163.crt
# certutil -L -d /root/.certs
## 测试
# echo "This is test mail." | mail -s 'title' xxx@qq.com
# mail -V -s "title" xxx@qq.com < /root/test
6. 安装 Fail2Ban 阻止暴力攻击
7. 配置 vim
建议: 在 ~/.vimrc 下修改配置(新建文件夹 ~/.vim/.backup .swp .undo 用于存放备份文件)
## ~/.vimrc
set number
set tabstop=2
set softtabstop=2
set shiftwidth=4
set mouse=a
set t_Co=256
set autoindent
set expandtab
set textwidth=80
set wrap
set linebreak
set wrapmargin=2
set scrolloff=5
set laststatus=2
set showmatch
set incsearch
set ignorecase
set smartcase
set spelllang=en_us
set backup
set swapfile
set undofile
set backupdir=~/.vim/.backup//
set directory=~/.vim/.swp//
set undodir=~/.vim/.undo//
set visualbell
set autoread
set listchars=tab:»■,trail:■
set list
set wildmenu
set wildmode=longest:list,full
参考链接: Vim 配置入门
参考链接: Linux vi/vim 教程
8. 配置命令行颜色和内容
# vi ~/.bashrc ## 在文件末尾追加如下命令:
PS1="[\[\e[33;40m\]\u\[\e[0m\]\[\e[34;40m\]@\[\e[0m\]\h \[\e[34;40m\]\W\[\e[0m\]]\[\e[34;40m\]\$\[\e[0m\] "
# source .bashrc ## 重新加载 bash 配置文件
# echo $PS1
PS1='[\u@\h \W]\$ '
始:\[\e[F;Bm\] 终:\[\e[0m\]
F B (F:字符颜色;B:背景颜色)
30 40 黑色
31 41 红色
32 42 绿色
33 43 黄色
34 44 蓝色
35 45 紫红色
36 46 青蓝色
37 47 白色
\d :日期格式:"Mon Aug 1"
\H :主机全名
\h :主机名中的第一个名字
\t :显示时间为24小时格式:HH:MM:SS
\T :显示时间为12小时格式
\A :显示时间为24小时格式:HH:MM
\u :当前登录用户
\v :BASH 版本信息
\w :显示当前目录的绝对路径
\W :显示当前目录名
\# :第几条命令
\$ :提示字符:root用户:# 普通用户:$
9. 卸载腾讯云监控 Agent
相关目录:
/usr/local/qcloud/stargate
/usr/local/qcloud/monitor
/usr/local/sa
# sh /usr/local/qcloud/monitor/barad/admin/uninstall.sh
# sh /usr/local/qcloud/stargate/admin/uninstall.sh
# rm -rf /usr/local/qcloud ## 删除整个 qcloud 目录
# rm -rf /usr/local/sa ## 删除自动化助手目录
# ps -A | grep agent ## 查看剩余 agent 相关进程
# kill -9 *** ## 杀死剩余 agent 相关进程
# echo ''>/var/spool/cron/root ## 清空队列任务
# vim /etc/rc.loacl ## 删除启动加载文件中 agent 相关项
