01) 不用root,添加普通用户,通过sudo授权管理。
su - 切换root
sudo su - 切换到root
02)更改默认的远程链接SSH服务端口,及禁止root用户远程链接
换端口,黑客扫描通常不会发现,只会发现22端口是关闭的。root远程链接,即使SSH的安全系统很好了。但是黑客的技术更加高超,进入linux系统后再切换为root,用01)来进入。
vi /etc/ssh/sshd_config
03)定时自动更新服务器时间
04)配置yum更新源,从国内更新源下载安装rpm包
首先备份/etc/yum.repos.d/CentOS-Base.repo
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
下载
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
并改名:mv CentOS6-Base-163.repo /etc/yum.repos.d/CentOS-Base.repo
运行以下命令生成缓存
yum clean all yum makecache
05)关闭selinux和iptables(iptables工作场景如果有wan IP 一般要打开,高并发除外)
修改配置文件:/etc/sysconfig/selinux
SELINUX=disable
06)调整文件描述符的数量,进程及文件的打开都会消耗文件描述符
vi /etc/security/limits.conf
重启系统,用ulimit -n 来查询
07)定时自动清理/var/spool/clientquene/目录垃圾文件,防止inodes借点被占满(centos6.4默认没有sendmail,因此可以不配)
08)精简开机自启动服务(crond,sshd,network,rsyslog(centos5.8 syslog))
for i in `chkconfig --list | grep 3:on |awk "{print $1}"|grep -Ev "crond|network|rsyslog|sshd"`;do chkconfig $i off ;done
用一个for的简单循环来实现该功能, grep -E 同时甄别多个词语,用“|”来分别。 for i in ··是两个反引号,不是引号。 chkconfig 进程 off/on 来打开或者关闭一个进程。
09)linux内核参数优化/etc/sysctl.config 执行sysctl -p 生效
(不太懂,下次补全)
10)更改字符集,支持中文,(建议用英文字符集,防止乱码,学习英文)
环境变量LANG=zh_CN.UTF-8 中文输出,LANG=en_us 是美式英文
vi /etc/sysconfig/i18n 配置永久生效。
11)锁定关键系统文件 /etc下的passwd shadow group gshadow inittab 用chattr来锁定
处理后把命令chattr改名,安全+1
chattr +i 和-i 让任何人用户不能修改。useradd命令其实是修改passwd文件来创建用户。
12)修改/etc/issue(本机登录提示符) 和/etc/issue.net(远程登录提示符) ,防止别人看到系统的内核和版本号,利用漏洞(去除系统及内科版本登录前的屏幕显示)
13)清楚无用的用户和用户组
一下列表转载老男孩:
特别提示:本文适合于11期第10此小综合架构考试系统优化。
一、Linux优化(安全+性能=32条) 3
1.服务器硬件采购优化......................................................................................... 3
1.1 硬件供货商选择...................................................................................... 3
1.2主要硬件部件选择................................................................................... 3
1.3定制化采购硬件....................................................................................... 3
2.磁盘RAID选择、mount 及文件系统优化......................................................... 3
2.1 磁盘类型接口选择优化.......................................................................... 3
2.2 hdparm优化............................................................................................. 4
2.3磁盘挂载(mount)优化.............................................................................. 4
2.4 RAID选择优化.......................................................................................... 4
3.操作系统选择优化............................................................................................ 5
4.最小化软件包安装优化..................................................................................... 5
5.禁止开机自启动无用服务................................................................................. 5
6.禁止root通过SSH远程登录并更改SSH端口................................................... 6
7. chattr锁定关键系统文件.................................................................................. 7
8.内核优化(/etc/sysctl.conf)............................................................................. 7
9.1 lvs/haproxy负载均衡代理内核参数配置................................................. 7
9.2 nginx/apache生产内核参数优化案例...................................................... 8
9.3 squid/varnish/nginx proxy生产内核优化案例........................................... 8
9.4内核参数优化特别说明........................................................................... 9
10.增加系统文件描述符....................................................................................... 9
11.配置sudo对普通用户权限精细控制............................................................... 9
12.禁ping(非必须)............................................................................................... 10
13.关闭多余的控制台(非必须)............................................................................ 10
14.清除多余的系统虚拟账号(非必须)................................................................ 10
15.配置防火墙iptables和SELinux....................................................................... 11
16. grub加密码(非必须)...................................................................................... 11
17.设置/etc/hosts.deny、/etc/hosts.allow(非必须).............................................. 12
18.配置YUM安装源............................................................................................ 12
19.禁止键盘重启(/etc/inittab),使用字符模式level 3................................... 12
20. /tmp临时目录安全....................................................................................... 12
21.用户口令8位以上、定期更换、动态口令等................................................ 13
22.注销账号的时间,命令的历史记录数........................................................... 13
23.删除登录信息(非必须)................................................................................... 13
24.安装系统性能监控软件监控调试软件........................................................... 13
25.防病毒软件clamav,入侵检测ids、Tripwire。.............................................. 14
26.配置服务器和互联网时间同步...................................................................... 14
27.配置系统日志审计......................................................................................... 14
28.操作系统磁盘分区划分优化.......................................................................... 14
29.负载均衡集群架构不同设备选型优化........................................................... 16
29.1负载均衡器硬件选择及raid级别......................................................... 16
29.2 WEB层硬件选择及raid级别................................................................ 16
29.3 数据库层硬件选择及raid级别(适合mysql和oracle)........................... 16
29.4 存储层硬件选择及raid级别................................................................ 16
29.4.1数据备份硬件选择及raid级别................................................... 16
29.4.2共享存储NFS硬件选择及raid级别............................................ 16
30 linux服务器尽量少配外网IP地址.................................................................. 16
31.linux系统一键优化脚本................................................................................. 17
32.linux一键安装(snmp,nagios,cacti,puppet等)客户端脚本........................... 24
浙公网安备 33010602011771号