PS: 系统镜像制作时, 创建虚拟机请选择 第一代虚拟机 Windows 系列 :2008/2012/2016 1 系统安装 系统盘 40G 全部分区为 C, 不创建隐藏分区 100M: 安装系统时, 进行到安装 Windows 界面时, 不使用图形界面的新建 (E) 进行分区, 直接按快捷键 Shift+F10 打开 CMD 命令行, 输入以下命令进行分区 : diskpart 进入 diskpart 模式, 执行以下命令 : list disk select disk 0 create partition primary format fs=ntfs quick exit * 关闭 CMD 命令行窗口, 点击刷新 (R), 就会看到磁盘 0 已经格式化完成了, 然后点击下一步 (N) 进行系统安装, 这样就可以避免 100M 隐藏分区了 **2 系统优化 ** 当 Windows 系统异常断电后, 再启动系统时会自动进入修复模式, 容易造成服务器无法访问, 可以在 CMD 命令行中输入以下两行命令取消启动自动进入修复模式 : bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {current} recoveryenabled No 开启防火墙, 防火墙入栈策略添加 80 端口到例外 开启允许 ping 开启允许远程桌面 系统属性设置允许远程连接到此计算机 视觉效果调整为最佳性能 数据执行保护选择仅为基本 Windows 程序和服务启用 DEP 启动和故障恢复 : 勾选设置显示操作系统列表的时间为 5 秒 在需要时显示恢复选项的时间为 5 秒 勾选自动重新启动 组策略 : * 密码必须符合复杂性要求 : 设置为已禁用 * 关机 : 允许系统在未登录的情况下关闭 : 设置为已启用 * 计算机配置 ->Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 * 显示 关闭时间跟踪程序 : 设置为已禁用
* 计算机配置 -> 管理模板 -> 系统 设置系统管理员 administrator 默认登录密码为 :123456 关闭 IE 增强安全功能 关闭 ECN 功能 ( 仅限 2012):`netsh int tcp set global ecn=disable` Internet 选项勾选 IE 磁贴用于打开桌面上的 Internet Explorer( 仅限 2012 以上系统 ) 取消磁盘自检 * HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager, 在右侧窗口中找到 BootExecute 键值项并将其数值清空并确定, 重新启动电脑即可 安装被控服务 * 下载 vmsta64 压缩包地址 :http://download.zkeys.com/zkeys/server/vmsta64.zip * 将 vmsta64 压缩包内的两个文件解压到 C:\Windows\System32 目录下, 执行 vmsta.exe 安装被控服务命令 : `C:\Windows\System32\VmSta.exe /install` 安装补丁 * 打开 Windows Update 进行补丁更新, 选择所需补丁进行安装 * 重大系统漏洞及时跟进官网推出的补丁包进行安装 3 清除日志 关机 4 系统磁盘文件压缩 #### CentOS 系列 :5/6/7 1 系统安装 * 系统盘 40G, 最小化安装 * 全部分配给 /; 不要 boot swap 分区 * root 密码 :123456 2 系统配置 更换 yum 源 ( 根据需要修改 ) 添加 epel 源 只保留 CentOS-Base.repo epel.repo 两个文件 升级系统 :`yum update -y` 安装软件 :
* yum install -y bash-completion nscd sysstat vim wget parted ntp nload iftop lrzsz dmidecode ntpdate screen gcc gcc-c++ openssl-devel openssh-server 卸载软件 : * yum remove exim4 apport lxcfs lxc lsd mdadm 关闭 selinux: vim /etc/sysconfig/selinux SELINUX=disabled 关闭 UTC 时钟 : vim /etc/sysconfig/clock UTC=false 配置 sshd, 添加两条参数 : vim /etc/ssh/sshd_config UseDNS no AddressFamily inet 修改内核配置文件, 添加以下参数 : vim /etc/sysctl.conf vm.swappiness = 0 net.ipv4.neigh.default.gc_stale_time=120 net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.default.arp_announce = 2 net.ipv4.conf.lo.arp_announce=2 net.ipv4.conf.all.arp_announce=2 net.ipv4.tcp_max_tw_buckets = 5000 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_synack_retries = 2 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1
服务优化 : * 关闭开机自启服务 :iptables ip6tables NetworkManager postfix * 添加开机自启服务 :ntpd 编辑 /etc/rc.local, 添加以下参数 (CentOS5/6 需要,CentOS7 不需要添加 ): vim /etc/rc.local /etc/udev/rules.d/70-persistent-net.rules 编辑 /etc/fstab, 修改 / 目录挂载点为 /dev/sda1 vim /etc/fstab /dev/sda1 / ext4 defaults 1 1 3 安装自动化脚本 将 autovm.sh 和 install.sh 脚本拷贝到同一目录下执行 sh install.sh 即可 脚本下载地址 :http://download.zkeys.com/zkeys/server/linux_auto.zip 执行后, 查看 /etc/rc.local 文件是否有执行权限, 没有的需要添加上 4 系统网卡配置文件请删除 UUID 和 HWADDR 参数, 否则会导致自动化配置时重新生成新的网卡配置文件 例如 : 原外网网卡文件为 eth0, 存在 UUID 和 HWADDR 参数时, 会重新生成 eth2 文件来表示外网网卡配置文件, 原 eth0 文件配置不修改 5 清除日志 关机 cd /var/log >btmp ;>dmesg;>messages ;>lastlog;>secure ;>wtmp rm -f /etc/udev/rules.d/70-persistent-net.rules history -c && history -w && poweroff 6 磁盘文件压缩
#### Ubuntu/Debian 系列 1 系统安装 * 系统盘 40G * 全部分配给 /; 不要 /boot swap 分区 * 修改时区 :tzselect * root 密码 :123456 2 系统配置 更换 apt 软件源 ( 中科大 ) 系统升级 :`apt-get update;apt-get upgrade` 安装软件 `# apt-get install sysstat vim gcc wget iftop nload curl lrzsz dmidecode screen ntp ntpdate parted lsb-core libcurses-perl libcurses-ui-perl libtermreadkey-perl sysv-rc-conf` 配置 ssh, 添加两行参数 vim /etc/ssh/sshd_config UseDNS no AddressFamily inet 添加内核优化参数 vim /etc/sysctl.conf vm.swappiness = 0 net.ipv4.neigh.default.gc_stale_time=120 net.ipv4.conf.all.rp_filter=0 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.default.arp_announce = 2 net.ipv4.conf.lo.arp_announce=2 net.ipv4.conf.all.arp_announce=2 net.ipv4.tcp_max_tw_buckets = 5000 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_synack_retries = 2 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 服务优化
* 关闭开机自启 :ufw lvm2 * 添加开机自启 :ntp 编辑 /etc/fstab, 修改 / 目录挂载点为 /dev/sda1 vim /etc/fstab /dev/sda1 / ext4 defaults 1 1 3 安装自动化脚本 * 将 autovm.sh 和 install.sh 脚本拷贝到同一目录下, 执行 sh install.sh 即可 * 请确保 /etc/rc.local 文件是否有执行权限, 没有需要加上 4 系统网卡配置文件请删除 UUID 和 HWADDR 参数 5 清除日志 关机 cd /var/log >btmp ;>dmesg;>messages ;>wtmp history -c && history -w && poweroff