Vamos abordar uma a instalação do sistema operacional Linux CentOS. É importante ressaltar que este documento não abordará o ambiente que acreditamos ser o melhor para as empresas (por exemplo: Desabilitamos o serviço de firewall, mas se sua empresa tiver um profissional capaz de configurar corretamente os firewalls sugerimos a utilização, mas aqui deixamos desabilitado para que essa instalação funcione para a maioria dos serviços que irá utilizar nesse ambiente e que postamos). Este Manual foi produzido sobre o sistema operacional Linux distribuição CentOS 7.0 X86_64 minimal.
Para todos os procedimentos deste post é necessário primeiro instalar o sistema operacional, para isso insira a mídia de instalação no servidor (ou monte o drive em caso de máquina virtual), na primeira tela ao inicializar a instalação do sistema operacional CentOS pressione “Enter” e aguarde. Em seguida, já na interface gráfica, clique em Continue.
Na próxima tela é possível executar toda a configuração necessária à instalação, primeiro clique em Network & Hostname, de posse das informações de rede faça o seguinte:
- Desabilite o IPv6;
- Em IPv4 Settings altere o método para manual e insira os dados de rede;
- Clique em Save.
- Insira o nome completo do servidor (nome e domínio);
- Ative a interface alterando-a para ON;
- Concluído, clique em done.
De volta a tela anterior clique em Date & Time e altere o fuso para o correto, ative o Network Time e configure-o, altere os servidores e aponte os servidores NTP internos, clique em OK e clique em Done. Clique em Keyboard, clique em + e adicione o teclado Portuguese (Brazil), novamente clique em OK, remova o teclado anterior e clique em Done.
De volta a tela anterior clique em Installation Destination, marque apenas o primeiro disco, marque a opção I will configure partitioning e clique em Done, na tela seguinte, altere de LVM para Standard Partition, clique em Click here to create them automatically. Altere o File System de todas as partições que estão em XFS (não faça nas de swap) para EXT4 e clique em Done e em Accept Changes (se aparecer). De volta a tela anterior, marque agora todos os demais discos (se houver), marque I will configure partitioning e clique em Done.
Confirme as alterações clicando em Accept Changes. De volta a tela anterior clique em Begin Installation. Na tela seguinte é necessário definir a senha para o root e criar um usuário, defina e crie um usuário rede (tanto nome completo quanto login) e não marque para esta conta ter perfil de administrador.
Clique em SECURITY POLICY, deixe como OFF e clique em Done. Clique em Begin Installation, na tela seguinte (enquanto o sistema é instalado) é necessário definir a senha para o root e criar um usuário, defina e crie um usuário rede (tanto nome completo quanto login) e não marque para esta conta ter perfil de administrador.
Ao final clique em Reboot. Quando o servidor reiniciar efetue logon (usuário e senha de root) e execute os comandos:
yum install ssh vim gcc open-vm-tools make openssh-server unzip update-grub ntp ntpdate net-tools wget telnet rsync -y
rm -rf /etc/yum.repos.d/CentOS-Media.repo
userdel -f shutdown
userdel -f halt
userdel -f ftp
userdel -f games
groupdel games
vim /etc/ntp.conf
Pressione a tecla INSERT para entrar em modo de edição. Localize e comente TODAS as linhas server e insira a seguinte linha:
server IP_SEU_NTP prefer
Pressione ESC para sair do modo de edição, digite :wq! para salvar e sair. Sem seguida execute:
echo "30 * * * * /usr/sbin/ntpdate IP_SERVIDOR_NTP >/dev/null 2>&1" >> /var/spool/cron/root
systemctl enable ntpd
echo "#####################################################################" > /etc/issue.net
echo "### AMBIENTE CORPORATIVO ##" >> /etc/issue.net
echo "#####################################################################" >> /etc/issue.net
echo "### Bem vindo ao acesso controlado da SUAEMPRESA #" >> /etc/issue.net
echo "### Todas as conexoes sao monitoradas e salvas, #" >> /etc/issue.net
echo "### caso esteja no lugar errado, favor desconectar #" >> /etc/issue.net
echo "### imediatamente. #" >> /etc/issue.net
echo "#####################################################################" >> /etc/issue.net
sed -i "s/#Banner none/Banner \/etc\/issue.net/g" /etc/ssh/sshd_config
echo " " > /etc/motd
echo " AREA RESTRITA" >> /etc/motd
echo " " >> /etc/motd
echo " Se voce acessou por engano, entre em contato imediatamente" >> /etc/motd
echo " atraves de e-mail: suporte@SUAEMPRESA.COM.BR" >> /etc/motd
echo " " >> /etc/motd
echo " A partir daqui esteja ciente que esta acessando um local restrito," >> /etc/motd
echo " com informacoes pertinentes somente a NOME DA SUA EMPRESA." >> /etc/motd
echo " " >> /etc/motd
echo " Qualquer uso inapropriado estara sujeito as acoes cabiveis em lei." >> /etc/motd
echo " " >> /etc/motd
sed -i "s/crashkernel=auto/crashkernel=0/g" /boot/grub2/grub.cfg
sed -i "s/timeout=5/timeout=0/g" /boot/grub2/grub.cfg
sed -i "s/MAILTO=root/#MAILTO=root/g" /etc/cron.d/0hourly
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
for i in `ls /home/`;do echo "HISTTIMEFORMAT=\"%d/%m/%y %T \"" >> /home/$i/.bashrc; done
echo "HISTTIMEFORMAT=\"%d/%m/%y %T \"" >> /root/.bashrc
echo "HISTTIMEFORMAT=\"%d/%m/%y %T \"" >> /etc/skel/.bashrc
echo "# IPv6 support in the kernel, set to 0 by default" >> /etc/sysctl.d/70-ipv6.conf
echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.d/70-ipv6.conf
echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.d/70-ipv6.conf
rm -rf /tmp/*
systemctl enable tmp.mount
systemctl disable kdump
systemctl disable avahi-daemon
systemctl disable iprdump
systemctl disable iprinit
systemctl disable iprupdate
service firewalld stop
systemctl disable firewall
systemctl disable firewalld
sed -i "s/#Protocol 2/Protocol 2/g" /etc/ssh/sshd_config
sed -i "s/#PermitRootLogin yes/PermitRootLogin no/g" /etc/ssh/sshd_config
yum install net-snmp net-snmp-libs -y
systemctl enable snmpd
sed -i "s/com2sec notConfigUser default public/com2sec notConfigUser default SUA_COMUNIDADE_SNMP/g" /etc/snmp/snmpd.conf
sed -i "s/view systemview included .1.3.6.1.2.1.25.1.1/view systemview included .1.3.6/g" /etc/snmp/snmpd.conf
sed -i "s/root@localhost/suporte@SUAEMPRESA.com.br/g" /etc/snmp/snmpd.conf
service snmpd restart
rm -rf /tmp/*
rm -rf /root/anaconda-ks.cfg
chown root.root /var/log/messages /var/log/secure /var/log/wtmp /var/log/maillog /var/log/cron
chmod 660 /var/log/messages /var/log/secure /var/log/wtmp /var/log/maillog /var/log/cron
chown root.root /dev/mem
chmod 640 /dev/mem
chown root.root /etc/rc.d
chmod 750 /etc/rc.d
echo "[fedora-source]" > /etc/yum.repos.d/Fedora-Source.repo
echo "name=Fedora - Base Sources" >> /etc/yum.repos.d/Fedora-Source.repo
echo "baseurl=http://dl.fedoraproject.org/pub/epel/\$releasever/x86_64/" >> /etc/yum.repos.d/Fedora-Source.repo
echo "gpgcheck=0" >> /etc/yum.repos.d/Fedora-Source.repo
echo "enabled=0" >> /etc/yum.repos.d/Fedora-Source.repo
ln -s /dev/null /etc/systemd/system/ctrl-alt-del.target
systemctl mask ctrl-alt-del.target
systemctl daemon-reload
vim /etc/cron.d/clean_memory_cache
Dentro, pressione a tecla INSERT de seu teclado para entrar em modo de inserção coloque o seguinte conteúdo:
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
#MAILTO=root
HOME=/
0 2 * * * root sync; echo 3 > /proc/sys/vm/drop_caches
Ao final digite a tecla ESC, para sairdo modo de inserção, em seguida digite :wq! e pressione ENTER para sair e salvar.
Em seguida execute o comando (use o comando de acordo com o ambiente):
Se for um ambiente Homologação | Se for um ambiente Produção |
MOTD=”\033[32mAMBIENTE DE HMG \033[0m\n” | MOTD=”\033[31mAMBIENTE DE PRD \033[0m\n” |
echo '#!/bin/bash' > /bin/ambiente
echo "printf '$MOTD'" >> /bin/ambiente
chmod 755 /bin/ambiente
echo "/bin/ambiente" >> /etc/bashrc
Para limpar o histórico do Linux, execute o comando:
history -c
Ao final de toda a configuração, reinicie o servidor, com o comando:
init 6
Fontes/Referências
http://blog.toracat.org/2013/04/customizing-welcome-message/
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.