linux系统基础优化和安全重点小结

Posted Go_Timmy_Go

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux系统基础优化和安全重点小结相关的知识,希望对你有一定的参考价值。

本文描述一些基本的系统优化知识点,为适应批量配置,所有代码为非交互式配置方法,可在crt中通过命令窗口做简单的批量处理。

  1. 不用root登录管理系统,而以普通用户登录通过sudo授权管理。作为一个例子这里新建一个用户,并做sudo提权
    useradd gotimmygo
     echo 123456|passwd --stdin gotimmygo
     \cp /etc/sudoers{,ori}
     echo "gotimmygo    ALL=(ALL)       NOPASSWD:ALL">>/etc/sudoers
     tail -1 /etc/sudoers
     visudo -c
  2. 更改默认的远程连接ssh服务端口,禁止root用户远程连接,甚至要更改ssh服务只监听内网IP。
  3. 超时时间、操作记录数更改
    1 echo "export TMOUT=300" >>/etc/profile
    2 echo "export HISTSIZE=10">>/etc/profile
    3 echo "export HISTFILESIZE=10">>/etc/profile
  4. 定时更新服务器时间,使其和互联网时间同步。
    1 echo "time sync by xuyan at 2017-12-16">>/var/spool/cron/root
    2 echo "*/5 * * * * /usr/bin/ntpdate ntp1.aliyun.com >>/dev/null 2&>1" >>/var/spool/cron/root
    3 crontab -l
  5. 配置yum更新源,从国内更新源下载安装软件包。
  6. 关闭SELinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发流量的服务器可能无法开启)。
    ##关闭SELinux
    sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
     setenforce 0
     getenforce
    
    ##关闭iptables
    /etc/init.d/iptables status
    /etc/init.d/iptables stop
    chkconfig iptables off
  7. 调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。配置完成后重新登录才可以生效,可以使用命令ulinmit -n进行查看
    echo ‘*             -      nofile             65535’>>/etc/security/limits.conf
  8. 定时自动清理邮件临时目录垃圾文件,防止磁盘的inode数被小文件占满(注意centos6和centos5要清除的目录不同)。
  9. 精简并保留必要的开机自启动服务(如cron、network、sshd、rsyslog、sysstat)
    chkconfig --list|egrep -v  "crond|ssh|network|rsyslog|sysstat"|awk {print "chkconfig",$1,"off"}|bash
    chkconfig --list|grep "3:on"
  10. linux内核参数优化/etc/sysctl.conf,执行sysctl –p生效。
     1 cat >>/etc/sysctl.conf<<EOF
     2 net.ipv4.tcp_fin_timeout = 2
     3 net.ipv4.tcp_tw_reuse = 1
     4 net.ipv4.tcp_tw_recycle = 1
     5 net.ipv4.tcp_syncookies = 1
     6 net.ipv4.tcp_keepalive_time = 600
     7 net.ipv4.ip_local_port_range = 4000 6000
     8 net.ipv4.tcp_max_syn_backlog = 16384
     9 net.ipv4.tcp_max_tw_buckets = 36000
    10 net.ipv4.route.gc_timeout = 100
    11 net.ipv4.tcp_syn_retries = 1
    12 net.ipv4.tcp_synack_retries = 1
    13 net.core.somaxconn = 16384
    14 net.core.netdev_max_backlog = 16384
    15 net.ipv4.tcp_max_orphans = 16384
    16 net.ipv4.tcp_keepalive_probes = 3
    17 net.ipv4.tcp_keepalive_intvl =15
    18 net.ipv4.tcp_retries2 = 5
    19 net.ipv4.tcp_max_tw_buckets = 36000
    20 net.ipv4.tcp_wmem = 8192 131072 16777216
    21 net.ipv4.tcp_rmem = 32768 131072 16777216
    22 net.ipv4.tcp_mem = 786432 1048576 1572864
    23 net.ipv4.ip_local_port_range = 1024 65000
    24 net.ipv4.ip_conntrack_max = 65536
    25 net.ipv4.netfilter.ip_conntrack_max=65536
    26 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
    27 vm.swappiness=10
    28 ###以下是对iptables的优化,防火墙不开会提示,可以忽略不计
    29 net.nf_conntrack_max = 25000000
    30 net.netfilter.nf_conntract_max = 25000000
    31 net.netfilter.nf_conntract_tcp_timeout_established = 180
    32 net.netfilter.nf_conntract_tcp_timeout_time_wait = 120
    33 net.netfilter.nf_conntract_tcp_timeout_close_wait = 60
    34 net.netfilter.nf_conntract_tcp_timeout_fin_wait = 120
    35 EOF
    36
  11. 更改系统字符集为”zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。这里在linux系统中应该要安装相应的中文字符集

    1 cp /etc/sysconfig/i18n{,i18n.ori}
    2 echo ‘‘LANG="zh_CN.UTF-8"‘>/etc/sysconfig/i18n
    3 source /etc/sysconfig/i18n
    4 export LANG=zh_CN.UTF-8
  12. 锁定关键系统文件,如/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow,/etc/inittab,处理以上内容后吧chattr、lsattr改名为oldboy,转移走,这样就安全多了。
  13. 清空/etc/isuue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。
    1 >/etc/issue
    2 >/etc/issue.net
    3 cat /etc/issue
    4 cat /etc/issue.net
  14. 清楚多余的系统虚拟用户账号。
  15. 为grub引导菜单加密码。
  16. 禁止主机被ping。
  17. 打补丁并升级已知漏洞的软件。








以上是关于linux系统基础优化和安全重点小结的主要内容,如果未能解决你的问题,请参考以下文章

Linux基础优化与安全小结

​Linux基础优化与安全重点

linux系统基础优化小结

购买一台阿里云云主机(CentOS)后

Linux - 内存性能评估

CentOS 6.5 安全加固