2. 程式人生 > >安裝linux系統後調優及安全設置

安裝linux系統後調優及安全設置

阿新 發佈:2017-11-06
ras sync 完成 sap ssh連接 bin 建議 歷史 2.6

環境說明:

[root@server1 ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)
[root@server1 ~]# uname -r
2.6.32-696.el6.x86_64

1、更改yum源:

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup        <<-備份系統自帶yum源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo  <<—國內使用阿裏雲yum源速度比較快
 

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

註:鏡像官方網址http://mirrors.aliyun.com/

如有自建yum倉可以更改成自建yum倉地址信息

2、關閉selinux

永久關閉(需要重啟系統)
sed -i s/SELINUX=enforcing/SELINUX=disabled/ /etc/selinux/config

臨時關閉(無需重啟)
setenforce 0  
數字0表示Premissive,即給出警告提示,不會阻止操作,相當於disabled
數字1表示Enfocing,即表示SELinux為開啟狀態
 


getenforce      <<-查看selinux當前狀態

3、關閉iptables

/etc/init.d/iptables stop          <<-關閉iptables服務
/etc/init.d/iptables status        <<-查看iptables狀態
chkconfig iptables off              <<—開機啟動關閉

4、精簡開機啟動

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk {print "chkconfig",$1,"off"}
 
|bash       <<-關閉服務
chkconfig --list|grep 3:on       <<-檢查開機啟動的服務

5、更改字符集(選做)

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori
echo LANG="zh_CN.UTF-8"  >/etc/sysconfig/i18n 
source /etc/sysconfig/i18n
echo $LANG

6、普通用戶提權(mmod)

useradd mmod
echo 123456|passwd --stdin mmod
\cp /etc/sudoers /etc/sudoers.ori
echo "mmod  ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers
tail -1 /etc/sudoers
visudo -c

7、時間同步

echo #time sync by mmod at 2015-2-1 >>/var/spool/cron/root
echo */5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1 >>/var/spool/cron/root
crontab -l

註:集群中有時間服務器,更改成時間服務器地址

8、命令行安全(選配)

設置閑置賬號超時時間
echo export TMOUT=300 >>/etc/profile

命令行歷史記錄數
echo export HISTSIZE=5 >>/etc/profile
echo export HISTFILESIZE=5 >>/etc/profile
tail -3 /etc/profile
./etc/profile

9、加大文件描述

echo *               -       nofile          65535 >>/etc/security/limits.conf 
tail -1 /etc/security/limits.conf

10、內核優化

cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000    65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#以下參數是對iptables防火墻的優化,防火墻不開會提示,可以忽略不理。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
EOF    
sysctl –p       <<-配置完成後查看

11、下載安裝基礎軟件

yum install lrzsz nmap tree dos2unix nc -y

12、定時清理郵件服務臨時目錄垃圾文件

centos 5版本
find /var/spool/clientmqueue/ -type f | xargs rm -f

centos 6.x版本
find /var/spool/postfix/maildrop/ -type f | xargs rm -f

寫成腳本,做定時任務
mkdir -p /server/scripts/
echo "find /var/spool/postfix/maildrop/ -type f | xargs rm -f " > /server/scripts/del_mailfile.sh

echo "00 00 * * * /bin/bash  /server/scripts/del_mailfile.sh > /dev/null  2>&1"

13、隱藏linux版本信息顯示

[root@server1 ~]# > /etc/issue
[root@server1 ~]# >  /etc/issue.net 
[root@server1 ~]# cat /etc/issue.net 
[root@server1 ~]# cat /etc/issue

14、鎖定關鍵系統文件,防止被提權篡改

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

使用lsattr 進行查看,chattr -i進行解鎖

15、為grub菜單加密

先利用/sbin/grub-md5-crypt 產生一個MD5密鑰串,命令如下:
[root@m01 ~]# /sbin/grub-md5-crypt 
Password: 
Retype password: 
$1$SQxvZ/$AXRHUbkNy9EkDHtmoEoQS0

修改grub.conf文件,命令如下:
[root@m01 ~]# vim /etc/grub.conf 

# grub.conf generated by anaconda
#
# Note that you do not have to rerun grub after making changes to this file
# NOTICE:  You have a /boot partition.  This means that
#          all kernel and initrd paths are relative to /boot/, eg.
#          root (hd0,0)
#          kernel /vmlinuz-version ro root=/dev/sda3
#          initrd /initrd-[generic-]version.img
#boot=/dev/sda
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
passwd --md5 $1$SQxvZ/$AXRHUbkNy9EkDHtmoEoQS0
#註意:password要加在splashimage和title之間,否則無法生效
title CentOS 6 (2.6.32-696.el6.x86_64)
        root (hd0,0)
        kernel /vmlinuz-2.6.32-696.el6.x86_64 ro root=UUID=33ec961c-16e1-4234-bdbf-644bfdabf1eb rd_NO_LUKS  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_MD crashkernel=auto LANG=zh_CN.UTF-8 rd_NO_LV

16、禁止linux系統被ping(選配)

echo "net.ipv4.icmp_echo_ignore_all=1"  >> /etc/sysctl.conf

sysctl -p

拓展:設置特定ip可以ping
iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s 10.0.0.0/24 -j ACCEPT

17、升級具有典型漏洞

查看相關軟件的版本號,命令如下:
[root@m01 ~]# rpm -qa openssl openssh bash
openssl-1.0.1e-57.el6.x86_64
bash-4.1.2-48.el6.x86_64
openssh-5.3p1-122.el6.x86_64

升級已知漏洞的軟件版本到最新,命令如下:
yum install openssl openssh bash -y

18、更改ssh服務端遠程登錄的配置

 1 修改默認文件路徑
 2 vim /etc/ssh/sshd_config
 3 
 4 修改的參數
 5 port       #端口
 6 PermitEmptyPasswords   #是否允許密碼為空的用戶遠程登錄
 7 PermitRootLogin             #是否允許root登錄
 8 UseDNS                        #指定sshd是否應該對遠程主機名進行反向解析,以檢查主機名是否與其IP地址真實對應。默認yes.建議改成no ,否則可能會導致SSH連接很慢。
 9 GSSAPIAuthentication no   #解決linux之間使用SSH遠程連接慢的問題
10 ListenAddress    #監聽指定的IP地址
11 
12 批量操作:
13 sed -ir 13 iPort 55666\nPermitRootLogin  no\nPermitEmptyPasswords  no\nUseDNS no\nGSSAPIAuthentication no  /etc/ssh/sshd_config

安裝linux系統後調優及安全設置

相關推薦

安裝linux系統調安全

ras sync 完成 sap ssh連接 bin 建議 歷史 2.6 環境說明: [root@server1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) [root@server1 ~]# uname

linux系統調安全

com sel linu 關閉防火墻 warnings profile 服務器 processes lang (1)關閉SELinux功能 它是美國安全局(NSA)對於強制訪問控制的實現,我們需要把它關閉這也是生產環境的做法。 [root@linzhongniao ~]#s

最小化安裝LINUX系統調用VNC

vnc1、 需要最小化Desktop,支持相關圖型化應用,請執行以下指令:groupinstall "Desktop" "X Windows"2、 安裝VNC遠程管理  yum -y install tigervnc tigervnc-server   安裝桌面

Linux系統基礎調

linux系統基礎調優不用root,添加普通用戶,通過sudo授權管理更改默認的遠程連接ssh服務端口及禁止root用戶遠程連接定時自動更新服務器時間配置yum更新源,從國內更新下載安裝rpm包關閉selinux及iptables(iptables工作場景如果有wan ip一般要打開,高並發除外)調整文件描述

Linux系統-IO調

1.3 kdump -i 緩存 重新登錄 分享 limits virtual centos 本文源鏈接地址:https:www.93bok.com 一、設置一個進程可以打開的文件數 A、查看:ulimit –n 從上邊可以看出,一個進程最大只能打開1024個文件,我們

Linux】VMware安裝Linux系統區域網其他電腦也能訪問

1.前言 在區域網的一臺電腦上安裝了VMware,並且安裝了Suse版本的Linux系統,現在想通過區域網的其他電腦訪問該虛擬機器上的服務 2.簡介 VMWare提供了三種工作模式,它們是bridge

linux系統使用密鑰登錄

服務器 linux style 1、用putty遠程登錄linux服務器,然後使用puttygen生成密鑰,將生成的密鑰保存,保存私鑰將公鑰復制保存到linux服務器的authorized_keys文件裏面 2、創建文件: vi /root/.ssh/authorized_keys

Linux系統管理初步(六)計劃任務

系統 src use 五個 重啟命令 image mar sys 個人 定時任務就是設定系統按固定時間執行某個操作,可能是執行一條命令,刪除XX文件,或者是執行一組腳本,比如備份數據文件等等。該部分內容不難,但對於日常運維十分重要。 一、命令crontab 選項: -u &

Linux系統安裝調相關配置

SELinux YUM 運行級別 sudo提取 服務 整體規劃遵從最小化原則,具體包括:系統安裝最小化、YUM安裝軟件包最小化、開機自啟動服務最小化、操作命令最小化、登錄系統用戶最小化、普通用戶權限最小化、系統文件及目錄權限最小化! 修改用戶密碼 # echo "centos" |pass

Linux系統虛擬機管理redhat7.2的安裝

虛擬機 redhat安裝1.安裝圖形安裝命令欄輸入virt-manager進入虛擬機管理界面點擊新增選擇源路經選擇1GB內存,單核cpu,9GB硬盤設置好名稱完成虛擬機的硬件配置進入到redhat7.2安裝界面設置時間設置預裝軟件自定義劃分硬盤設置完成後,完成root密碼設置,開始安裝redhat7.2.設置

U盤安裝LINUX系統,拔除U盤無法引導系統

kernel 安裝linux 查看 grub img face 代碼 啟動參數 sta U盤安裝LINUX系統,拔除U盤後無法引導系統問題描述: 使用U盤安裝LINUX操作系統,排除U盤後,無法正常引導系統,必須插入U盤才可以進入系統。 原因分析: GRUB全.

ES叢集部署調分分_彩原始碼出售外掛安裝

系統:分分_彩原始碼出售 Q1157880099 ES版本:6.4.0 伺服器三臺 172.16.0.8 172.16.0.6 172.16.0.22 部署jdk 解壓jdk放在/data目錄,/data/jdk 配置環境變數,/etc/proifle裡面加入

安裝Linux系統,重啟時進不了系統,仍然讓繼續安裝問題

用的是VMware虛擬機器,裝centOS,在下載完成後點重啟時直接跳回到了安裝介面讓重新安裝,這是因為沒有移除映象檔案。此時點選關閉電源進入配置介面: 雙擊左側“CD/DVD”,在彈出框中選擇“使用物理驅動器”後點

系統技術非業餘研究 » Linux常用效能調工具索引

霸爺您好,麻煩請教個問題,我們最近一個專案上有個奇怪的問題,基於實時linux系統,兩個實時執行緒通過mq_send傳送訊息,A發訊息給B,是非阻塞的訊息佇列,A傳送訊息B進行處理,A傳送訊息後發現mq_send的開銷與B對該訊息的處理時延相關,也就是說B處理的快,那麼A呼叫的mq_send返回

Centos7安裝apache2.4.6,Apache調設定虛擬機器

Apache2.2安全配置和效能優化 主要修改配置檔案 1、Apache禁止遍歷目錄 將Options Indexes FollowSymLinks中的Indexes 去掉,就可以禁止Apache 顯示該目錄結構。Indexes 的作用就是當該目錄下沒有index.html檔

安裝VMware虛擬機器在虛擬機器上安裝Linux系統(Ubuntu)

之前從沒安裝過虛擬機器,最近想自己學點東西,故想安裝一個虛擬機器及在虛擬機器上安裝Linux系統。由於以前從來沒有安裝過,本來以為會花很多時間,其實安裝下來並沒有想象中的那麼困難和麻煩,但是為了以後能快速的安裝,還是把自己的安裝步驟給記錄下來,以備以後使用,有需要的小夥伴也

Linux VPS安裝Windows系統開啟遠端連線桌面任務設定

因為在預設情況下安全起見,系統是沒有開啟防火牆和開啟Windows遠端桌面連結的,之前老左也沒有意識到這一點,因為我每次連結登入桌面看是否可用就直接登入VNC看到即可。後來問了書生同學,說直接在控制面板設定幾個步驟就可以。 這不,如果有需要設定本地連結至遠端Window

在Mac電腦上安裝linux系統

發行版 nbsp 安裝linux 打開 www 首頁 ubunt .net 百度一下 1.首頁需要下載VMware fusion (百度一下) 2.Ubuntu 鏡像文件(.iso) 連接:http://www.jb51.net/LINUXjishu/239493.htm

安裝xcode6 beta 調試出現Unable to boot the iOS Simulator以及編譯蘋果官方Swift的demo報錯failed with exit code 1的解決的方法

imu fonts mat 詳細說明 watermark data- 重新啟動 技術分享 說明 蘋果昨天公布新語言Swift(雨燕),須要安裝xcode6 以及mac os 系統為10.9以上。 (xcode6 beta 可在官方下載。須要登錄開發人員賬號;mac os

<Linux性能調指南>主要思路流程

task 級別 出現 路由器 共享內存 link 影響 響應 社區 網上IBM很早放出的一本免費電子書, 十來年了,參考意義還是很大。 國內有翻譯成中文在線閱讀的版本。 見如下兩個URL Linux Performance and Tuning Guidelines