Linux网络设置
1.服务器IP地址配置
Centos6:/etc/sysconfig/network-scripts/ ifcfg-eth0/1/2
Centos7:/etc/sysconfig/network-scripts/ ifcfg-ens33/34/35
重启网卡
Centos6:service network restart 或者 /etc/init.d/network restart
Centos7:systemctl restart network
2.网关/主机名配置
/etc/sysconfig/network
3.DNS设置
/etc/resolve.conf
4.本地hosts文件设置
/etc/hosts
selinux配置
查看selinux的状态
cat /etc/selinux/config
开启状态:enforcing
提醒的状态:permissive
关闭的状态:disabled
命令行关闭:
setenforce 0
防护墙iptables
路径:/etc/sysconfig/iptables
推荐配置
iptables -P INPUT ACCEPT
iptables -F
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 1.1.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 2.2.2.2/32 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
SSH服务
必须备份:cp /etc/ssh/sshd_config sshd_config_bak
SSH登录策略
vi /etc/ssh/sshd_config
#SSH 链接默认端口,修改默认 22 端口为 1 万以上端口号,避免被扫描和攻击。
Port 33333
#不使用 DNS 反查,可提高 ssh 连接速度
UseDNS no
#关闭 GSSAPI 验证,可提高 ssh 连接速度
GSSAPIAuthentication no
#禁止 root 账号登陆
PermitRootLogin no
用户权限策略
禁止 root 用户远程登录系统,授权仅普通用户登录系统,需要管理员权限执行 sudo
即可,避免 root 用户之间登录。
如何授权用户登录不 sudo 设定?
/etc/sudoers 文件
<user list> <host list> = <operator list> <tag list> <command list>
常见配置:
iiveylinux ALL=(root) NOPASSWD: /bin/mv, /bin/chmod
定时自动更新服务器时间
通过 crontab 设置时间同步
推荐时间服务器: ntp.sjtu.edu.cn
/usr/sbin/ntpdate ntp.sjtu.edu.cn >> /var/log/ntp.log 2>&1; /sbin/hwclock –w
架设 ntp server
关注两个文件:
/etc/ntp/ntpserver.conf
/etc/ntp.conf
精简开机自启动服务
线上服务器建议开启的服务
快捷开启方法:
先关闭所有
for serv in `chkconfig --list|grep 3:on|awk '{print \$1}'`;do chkconfig --level 3 $serv off;done
for serv in `crond network syslog sshd iptables udev-post sysstat`;do chkconfig
--level 3 $serv on;done
删除不必要的系统用户和群组
删除丌必要的用户
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel video
userdel games
userdel gopher
userdel ftp
删除丌必要的群组
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
定时自动清理垃圾文件
查找大文件方法: du –sh /*
/var/spool/clientmqueue/目录,防止 inode 节点被占满
重要文件安全策略
chattr +i /etc/sudoers
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/grub.conf
系统故障排查关注点
1. tail -f /var/log/messages #应用日志查询
2. tail -f /var/log/secure #登录日志查询
3. dmesg #系统日志查询
4. /var/tmp、 /tmp #容易攻击点查询
5. crontab -l、 /etc/crontab #计划任务查询(经常攻击对象)
