文档章节

linux(centos)系统安装后必做的十三点基础安全优化(安装后必备)

weiliu007
 weiliu007
发布于 2016/09/30 09:28
字数 1227
阅读 103
收藏 2
点赞 0
评论 0

系统安装后不要急于部署,先把下面十三条基础优化做了(安装后必备

1. 不用root 登录,添加普通用户,用sudo授权管理

[root@centos6 ~]#useradd liuwei  添加用户

[root@centos6 ~]# vi /etc/sudoers

在第98行下面加入

root    ALL=(ALL)       ALL

liuwei   ALL=(ALL)      /bin/ls ,/bin/cat   //这个是给liuwei这个用户 添加  /bin/ls ,/bin/cat 这两个命令的执行权限

 

2.更改默认的远程连接SSH服务端口和禁止root远程登录

[root@centos6 ~]# vi /etc/ssh/sshd_config

#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See

# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options change a

# default value.

#下面这是把22端口更改52113

Port 52113  

#这是不允许远程登录

PermitRootLogin no

#这个不是不允许空密码

PermitEmptyPasswords no

#不用DNS

UseDNS no

GSSAPIAuthentication no

重启ssh服务

 service sshd restart 或 /etc/init.d/sshd restart

3.定时更新服务器时间

#confab -e
进入cronta编辑模式,使用方法同vi
输入 0 23 * * * ntpdate asia.pool.ntp.org >> /var/log/ntpdate.log
保存退出
这样就完成了你的系统到每天23:00去asia.pool.ntp.org 同步时间,并将同步的日志放到
/var/log/ntpdate.log



三、定时同步时间(在/etc/crontab中添加)

 * * * * * /usr/sbin/ntpdate 210.72.145.44 > /dev/null 2>&1

 

4.配置yum更新源,从国内更新源下载安装rpm包

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

 

5.关闭selinux关闭iptables(工作场景有wan ip 一般要开,高并发除外)

修改/etc/selinux/config 文件

将SELINUX=enforcing改为SELINUX=disabled

重启机器即可(注意:生产环境中一般不能随便重启机器)

setenforce 更改selinux状态

setenforce 0 #设置SELinux 成为permissive模式

setenforce 1 设置SELinux 成为enforcing模式

getenforce 也可以用这个命令检查



/etc/init.d/iptables status 会得到一系列信息,说明防火墙开着。

/etc/init.d/iptables stop 关闭防火墙

service iptables restart 重启iptables

/etc/init.d/iptables restart     重启iptables

1.重启后永久性生效:

  开启:chkconfig iptables on

  关闭:chkconfig iptables off

2. 即时生效,重启后失效:

  开启:service iptables start

  关闭:service iptables stop

6.调整描述符的数量,进程及文件打开都会消耗描述符

[root@centos6 ~]# ulimit –n  查看描述符数量

65535

怎么调整

vim /etc/security/limits.conf

把下面一句加到文件的最后一行

*              -       nofile          65535

或者:

ech0 '*              -       nofile          65535'  >> /etc/security/limits.conf

7.定时清理 /var/spool/clientmquene/目录垃圾文件,防止inodes节点占满

8.精简开机启动服务(crod,sshd,network,rsyslog)

for name in ‘chkconfig --list | grep –vE “crond|sshd|network|rsyslog”|awk ‘{print $1}’’;

do chkconfig &name off;done

9.linux 内核参数优化 /etc/sysctl.conf,执行sysctl p 生效

 首先打开/etc/sysctl.conf文件,查看如下两行的设置值,这里是:

  kernel.shmall = 2097152

kernel.shmmax = 4294967295

 如果系统默认的配置比这里给出的值大,就不要修改原有配置。

同时在/etc/sysctl.conf文件最后,添加以下内容:

  fs.file-max = 6553600

  kernel.shmmni = 4096

  kernel.sem = 250 32000 100 128

  net.ipv4.ip_local_port_range = 1024 65000

  net.core.rmem_default = 4194304

  net.core.rmem_max = 4194304

  net.core.wmem_default = 262144

  net.core.wmem_max = 262144

  这里的“fs.file-max = 6553600”其实是由“fs.file-max = 512 * PROCESSES”得到的,我们指定PROCESSES的值为12800,即为“fs.file-max =512 *12800”。

  sysctl.conf文件修改完毕后,接着执行“sysctl -p”使设置生效。

10,更改字符集,支持中文,但是建议还是用英文字符 防止乱码

解决中文问题

[liuwei@centos6 ~]$ vi /etc/sysconfig/i18n

改成这个

LANG=zh_CN.UTF-8

[liuwei@centos6 ~]$source /etc/sysconfig/i18n

 

11.锁定关键系统文件

chattr +i  /etc/passwd /etc/group /etc/gshadow /etc/inittab



[root@centos6 ~]# chattr +i /etc/passwd /etc/shadow 给这个两个文件加上锁

[root@centos6 ~]# useradd liu

useradd: cannot open /etc/passwd

[root@centos6 ~]# chattr -i /etc/passwd /etc/shadow     给这个两个文件加解锁

[root@centos6 ~]# useradd liu



[root@centos6 ~]# chattr -i /etc/passwd /etc/shadow   把这个加锁命令移动一下【因为大家都知道这个是解锁的命令】

-bash: /usr/bin/chattr: 没有那个文件或目录

[root@centos6 ~]# mv /usr/bin/liuwei /usr/bin/chattr

范例:

# chattr +i .bash_logout     ——>添加一个隐藏的“i”属性,后面再细讲

#lsattr -a             ——>将当前目录的文件或目录下的文件所有属性(包括隐藏属性)列出 

-------------- ./.

-------------- ./..

---i---------- ./.bash_logout

-------------- ./.bash_profile

-------------- ./.bashrc

12,清空 /etc/issue ,去除系统以及内核版本登录前的版本提示

[root@centos6 ~]# > /etc/issue    隐藏系统的版本信息

[root@centos6 ~]#

 

13.实战经验分享(属用性能调优)  


Linux 用户线程数限制导致的 java.lang.OutOfMemoryError: unable to create new native thread
异常,需要做以下优化,把普通用户创建线程数调大一点(更加实际需求调整)如果没有调整默认普通用户是1024(太小了)

# vi /etc/security/limits.d/90-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.
root soft nproc unlimited
* soft nproc 20480

 

 

 

 

 

 

 

 

© 著作权归作者所有

共有 人打赏支持
weiliu007
粉丝 14
博文 169
码字总数 84766
作品 0
深圳
程序员
CentOS 5/6安装后的必备设置(转)

说明:转自各大优化方案,相当于是一个大杂烩,后续会搞成是一个Shell脚本简化操作。 1、修改ip地址、网关、主机名、DNS等 (这个操作可以使用Setup工具进行配置,但不建议使用,封装太多,没...

easonjim ⋅ 01/21 ⋅ 0

金山WPS发布了Linux WPS Office

近日,金山WPS发布了Linux WPS Office中文社区版新版本,支持大部分主流Linux系统,功能更加完善,兼容性、稳定性大幅度提升。本次更新WPS将首次在Linux提供专业办公文件云存储服务,实现跨系...

六库科技 ⋅ 06/17 ⋅ 0

CentOS如何下载安装EPEL源

今天给大家介绍下CentOS下载安装EPEL源的步骤!希望大家喜欢! EPEL 是什么? EPEL (Extra Packages for Enterprise Linux,企业版Linux的额外软件包) 是Fedora小组维护的一个软件仓库项目,...

xiaocao13140 ⋅ 04/19 ⋅ 0

学习笔记汇总

linux系统管理和服务搭建配置: 关于Linux的历史 linux系统启动过程和系统目录结构 安装和优化linux系统基础环境 Linux文件与目录管理 Linux系统用户及用户组管理 linux系统文档的压缩与打包...

qq441009395 ⋅ 2017/07/24 ⋅ 0

linux新手入门必看

linux运维工程师是目前IT行业是比较吃香的职业,很多人认为,缺口的,需求量大,工作一定很好找,薪资高,不错,Linux相关工作很好找,但是,薪资的高低更多的是取决于你所掌握的技术。那么,...

python入门 ⋅ 2017/12/11 ⋅ 0

Centos6.9系统部分基础优化(更新时间2018/04/19)

系统信息: 更改yum源 关闭SELinux 关闭iptables 精简开机自启动服务 提权abc可以sudo 时间同步 加大文件描述 内核优化 下载安装系统基础软件 更改SSH服务器远程登录的配置(选择性修改,自己...

Linux_yk ⋅ 03/10 ⋅ 0

在哪里报linux运维培训班更好找工作?薪资高

linux运维工程师是目前IT行业是比较吃香的职业,很多人认为,缺口的,需求量大,工作一定很好找,薪资高,不错,Linux相关工作很好找,但是,薪资的高低更多的是取决于你所掌握的技术。那么,...

运维自动化 ⋅ 2017/12/11 ⋅ 0

基于CentOS 5.6的应用服务器精简定制版出来了,ISO文件下载

基于CentOS 5.6的应用服务器精简定制版出来了,ISO文件下载 精简定制由来 由于原版ISO文件大(DVD4.5G,CD8张光盘),默认安装的服务也多,安装步骤烦琐(新手更不容易),不管是下载或安装使用都不...

wdlinuxcn ⋅ 2011/04/16 ⋅ 0

wdOS 1.0 (64位)发布,集成lamp,lnmp,lnamp,wdcp

一 简介 1 wdOS是一个基于CentOS版本精简优化过的Linux服务器系统 并集成nginx,apache,php,mysql等web应用环境及wdcp管理系统 装好系统,就可以通后台管理服务器和网站,FTP,数据库等 使用方便...

wdlinuxcn ⋅ 2012/06/25 ⋅ 16

CentOS 7下配置安装KVM

注意:KVM一切安装和运行都是在root用户下完成的,并且只有root才能支持某些软件。 一、准备工作: 1、关闭selinux,iptables,重启后生效 ##关闭selinux 修改配置文件则永久生效,但是必须要...

easonjim ⋅ 06/07 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Mahout推荐算法API详解

前言 用Mahout来构建推荐系统,是一件既简单又困难的事情。简单是因为Mahout完整地封装了“协同过滤”算法,并实现了并行化,提供非常简单的API接口;困难是因为我们不了解算法细节,很难去根...

xiaomin0322 ⋅ 26分钟前 ⋅ 0

WampServer默认web服务器根目录位置

安装WampServer之后的web服务器根目录默认位置在WampServer安装目录下的www:

临江仙卜算子 ⋅ 28分钟前 ⋅ 0

Redux的一些手法记录

Redux Redux的基本概念见另一篇文。 这里记录一下Redux在项目中的实际操作的手法。 actions 首先定义action.js,actions的type,可以另起一个action-type.js文件。 action-type.js用来存...

LinearLaw ⋅ 29分钟前 ⋅ 0

android 手势检测(左右滑动、上下滑动)

GestureDetector类可以让我们快速的处理手势事件,如点击,滑动等。 使用GestureDetector分三步: 1. 定义GestureDetector类 2. 初始化手势类,同时设置手势监听 3. 将touch事件交给gesture...

王先森oO ⋅ 43分钟前 ⋅ 0

java 方法的执行时间监控 设置超时(Future 接口)

java 方法的执行时间监控 设置超时(Future 接口) import java.util.concurrent.Callable; import java.util.concurrent.ExecutionException; import java.util.concurrent.Executor......

青峰Jun19er ⋅ 47分钟前 ⋅ 0

一名开源小白的Apache成长自述

今天收到了来自Apache Vote我成为Serviceomb项目Committer的邮件,代表自己的贡献得到了充分的肯定;除了感谢团队的给力支持,我更希望将自己的成长经历——如何践行Apache Way的心得介绍给大...

微服务框架 ⋅ 50分钟前 ⋅ 0

vim介绍、颜色显示和移动光标、一般模式下复制、剪切和粘贴

1.vim 是 vi 的升级版 vim 是带有颜色显示的 mini安装的系统,一般都不带有vim [root@aminglinux-128 ~]# yum install -y vim-enhanced已加载插件:fastestmirror, langpacksLoading mir...

oschina130111 ⋅ 50分钟前 ⋅ 0

Deepin 操作系统四面楚歌

作为国内做的最好的 Linux 发行版,源自 Debian sid 的 Deepin 目前正面临重重困境,新版本不断延期,开发人员离职,bug 长期得不到修复,和 Debian/Ubuntu 的兼容性问题也面临越来越严重的挑...

六库科技 ⋅ 50分钟前 ⋅ 0

MyBatis之动态sql

我们需要知道的是,使用mybatis重点是对sql的灵活解析和处理。在原先的UserMappser.xml中,我们这样查询表中满足条件的记录 : 123 <select id="findUserList" parameterType="userQuery...

瑟青豆 ⋅ 51分钟前 ⋅ 0

这届俄罗斯世界杯的冷门那么多怎么办?

最纯粹的世界杯,最神奇的大冷门。 德国0比1被墨西哥摩擦了。 日本历史性的赢了哥伦比亚。 C罗也挑平了西班牙。 梅西被冰岛狮吼吼愣神了。 就连11次进世界杯4强的巴西也被瑞士逼平了。 天台已...

开源中国众包平台 ⋅ 51分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部