通达信服务器系统运维文档

2024年3月9日发(作者：)

维护红宝书：通达信服务器系统运维文档

文档记录：

版本

1.0

2.0

时间

2008-06-26

2008-07-1

修改者

田进恩

描述

一．Linux系统操作管理

Linux操作系统安装管理

1.

2.

3.

4.

5.

6.

推荐使用RedHat Advance Server版，并安装最新的Update。

安装RedHat时，请不要选择X窗口等模块。

停止各类没有使用的系统服务。

采用linux自带防火墙限制能连接的TCP端口。

定期检查系统状态和日志。

应该禁止所有默认的被操作系统本身启动的并且不必要的账号，设置复杂且没有规律的

root密码。

第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越

容易受到攻击。

可以用下面的命令删除账号。

# userdel用户名

或者用以下的命令删除组用户账号。

# groupdel username

7. 限制网络访问

如果您使用NFS网络文件系统服务，应该确保您的/etc/exports具有最严格的访问

权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读

文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/export (ro，root_squash)

/dir/to/export (ro，root_squash)

/dir/to/export 是您想输出的目录，是登录这个目录的机器名，ro意

味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命

令。

# /usr/sbin/exportfs –a

对于Linux系统管理，建议使用Linux的sshd来进行远程终端管理（只打开22端口）

8. 设置时间。

用date -s 改时间后，务必使用/sbin/hwclock --systonc来刷到BIOS中去，否则下次Linux

系统重启后又会将时间换回去。

例如：月日时分（年）

date

date -s 13:13:28

请在crond中设置定时对时

命令：crontab -e

0 7 * * * /usr/sbin/ntpdate 210.72.145.44

3 7 * * * /sbin/hwclock --systohc

(注意：在防火墙上打开对外UDP 123端口)

9. 在中设置对异常网络连接的控制。

命令：vi /etc/

echo 1 > /proc/sys/net/ipv4/tcp_synack_retries

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

echo 60 > /proc/sys/net/ipv4/tcp_keepalive_time

echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes

如果负载均衡器对ping没有要求的话,可以加入以下行(注意：有

些均衡器需要能管辖的服务器进行ping操作，这种情况下就不能禁

ping)

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all