Day31-Linux系统优化及安全设置

1.更改yum源:

```

2.关闭selinux


3.关闭防火墙

systemctl status firewalld.service   查看防火墙状态

systemctl start firewalld.service    开启防火墙

systemctl stop firewalld.service    关闭防火墙

4.精简开机自启动


5.添加普通用户并用sudo授权管理


6.优化SSH远程连接


7.修改linux字符集


8.设置linux服务器时间同步


9.命令行的安全


10.锁定关键系统文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab。

11.清除多余的系统账号

12.为grub菜单加密


13.隐藏系统版本信息


14.禁止linux系统被ping


15.调整linux系统文件描述符数量

文件永久生效:

echo '*              -      nofile          65535 ' >>/etc/security/limits.conf

临时生效:

ulimit -SHn 65535

16.linux内核参数优化

vim /etc/sysctl.conf添加如下内容:

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000    65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000  #time-wait过多解决。

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

执行sysctl -p生效

17.升级漏洞软件及打补丁

yum install openssl openssh bash -y

yum update

yum install tree lrzsz dos2unix nc nmap -y

18.调整yum软件下载源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

Linux基础优化与安全重点小结

1)不用root登录管理系统,而以普通用户登录通过sudo授权管理。

2)更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至要更改SSH服务只监听内网IP。

3)定时自动更新服务器的时间,使其和互联网时间同步。

4)配置yum更新源,从国内更新源下载安装软件包。

5)关闭SELinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发高流量的服务器可能无法开启)。

6)调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。

7)定时自动清理邮件临时目录垃圾文件,防止磁盘的inodes数被小文件占满(注意Centos6和Centos5要清除的目录不同)。

8)精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)。

9)Linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效。

10)更改系统字符集为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。

11)锁定关键系统文件如/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow、/etc/inittab, 处理以上内容后把chattr、lsattr改名为oldboy,转移走,这样就安全多了。

12)清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。

13)清除多余的系统虚拟用户账号。

14)为grub引导菜单加密码。

15)禁止主机被ping。

16)打补丁并升级有已知漏洞的软件。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Nginx系统优化篇
    Linux(centos 7)文件数限制 内核参数fs.file-max /proc/sys/fs/file-ma...
    散装咖啡阅读 1,516评论 0 1
  • Linux 系统优化脚本
    ##修改yum源,关闭selinux,关闭防火墙,关闭不必要的开机服务,添加用户,设置默认字符集UTF8 ##时间...
    SkTj阅读 808评论 0 1
  • CentOS服务器初始化设置
    以阿里云服务器为例一、挂载硬盘1、磁盘分区fdisk -l #查看设备,一般可以看到设备名为/dev/xvdbfd...
    Darker丶迷离阅读 919评论 0 1
  • Linux安全脚本
    #!/bin/bash #set env export PATH=$PATH:/bin:/sbin:/usr/sb...
    SkTj阅读 830评论 0 0
  • 加油
    四皈依截止今天修满18500遍,忏悔法7000遍,大黑天法连续修行53天,财禄本尊连续修行53天,心经75遍,大悲...
    王龙超_7fca阅读 153评论 0 0