Linux系统安装完的调整和安全

精简开机系统自启动

•五个企业环境中开机自启动的服务;

sshd：远程连接linux服务器必须开启

rsyslog：日志相关软件

network：网络服务

crond：系统和用户配置的计划任务周期性进行

sysstat：收集系统性能数据，有利于判断系统是否正常

•sysstat软件包介绍：

安装：yum -y install sysstat

sadc工具：

位于/usr/lib64/sa/目录下，sadc是将数据写在一个二进制文件中，如果要查看内容要用sadf工具查看

执行/usr/lib64/sa/sadc -
输出会保存在/var/log/sall中
需要用sadf或者sar -f /var/log/sa/sa11  # -f 从一个二进制文件中入去内容
Linux 2.6.32-504.30.3.el6.x86_64 (alex)         2016年06月11日  _x86_64_       (1 CPU)     # 输出信息

应用举例：

1、查看cpu使用率：
sar -u 1 5  # 表示每一秒统计一次，一共统计5次
2、查看网络吞吐量
sar -n DEV 2 5  # 表示每两秒统计一次，一共统计5次

iostat：可以收集cpu使用状况，磁盘IO状态

mpstat：一般用于多处理器中cpu使用率的统计

详细参考：http://www.361way.com/use-sysstat/1521.html

•sysstat软件包继承的主要工具有：

iostat提供CPU使用率以及硬盘吞吐效率的数据

mpstst提供单个或多个处理器的数据

sar收集、报告并存储系统活跃信息

•设置开机自启动服务的常见方法

方法一：ntsysv

方法二：setup

查看运行级别是3的服务：

chkconfig --list |grep 3:启用

关闭iptables防火墙、selinux

对于高并发高流量的业务不适合开启iptables防火墙，一般这种业务需要在前端配置硬件防火墙

#关闭iptables防火墙
/etc/init.d/iptables stop
#关闭开机自启动
chkconfig iptables off
#查看iptables启动级别
chkconfig --list |grep iptables
centos7是firewall
#关闭selinux
vim /etc/selinux/conf
　　#SELINUX=disabled

更改ssh服务器端远程登入配置

•windows服务器端远程端口：3389，管理员为administrator，普通用户为guest；linux服务器远程端口为：22，管理员为root，普通用户随意

vi /etc/ssh/sshd_config
Port 2222 #修改自己的ssh端口
PermitRootLogin no #禁止用root登入自己的系统
PermitEmptyPasswords no #禁止密码为空的用户登入
UseDNS no #对远程主机进行反向解析，会减慢ssh连接速度
GSSAPIAuthentication no #解决ssh远程连接慢的问题

•更高级的ssh安全策略

更改ssh的监听ip

通过防火墙限制使用内网ip连接服务器

通过拨号VPN服务器接通内网然后访问这些服务器

通过sudo控制用户对系统命令的使用权限

•为了安全以及管理方便，需要将使用root权限的用户加入sudo管理，用户可使用自己的账号登入系统，用root的权限来管理系统

visudo == vi /etc/sudoers
#第98行
root    ALL=(ALL)    ALL
alex    ALL=(ALL)    /usr/sbin/useradd,/usr/sbin/userdel #用户alex能够使用useradd和userdel命令

•给普通用户创建root的权限

visudo
# 第98行
alex    ALL=(ALL)    NOPASSWD:ALL    #alex拥有root所有权限不用输入密码

查看/root目录时需要sudo ls /root 通过sudo命令获取权限

注意：通过sudo授权后命令格式为：sudo 命令；

sudo -l 可以查看该用户被授权的sudo命令集合

linux中文显示设置

•GBK用2个字节表示一个中文，UTF-8用3个字节表示一个中文

vi /etc/sysconfig/i18n
LANG="zh_CN.GBK"  # 中文格式的GBK
LANG="zh_CN.UTF-8"  # utf-8编码  <------------推荐
LANG="en_US.GBK"  # 英文格式的GBK
LANG="en_US.UTF-8"  # utf-8编码

•使用secureCRT可以设置编码格式，必须和系统设置的一样

Option--Session Option--Appearance
选项--会话选项--外观-- 字符编码

设置linux服务器时间同步

linux的时间同步服务为ntp服务，机器少时使用，机器多了可以布置内网的时间服务器

Linux网络同步时间：
yum install ntpdate -y　　　　#如果没有就安装
ntpdate 0.asia.pool.ntp.org
若上面的时间服务器不可用，也可以选择以下服务器同步时间：
　　 1.asia.pool.ntp.org
　　 2.asia.pool.ntp.org

3.asia.pool.ntp.org

同步硬件时间：(很多时候硬件时间也是不对的，需要同步)
date #查看系统时间
hwclock --show #查看硬件时间
timedatectl set-timezone Asia/Shanghai #调整时区
hwclock --systohc --localtime #将硬件时间调整为和系统时间一样
clock -w #将日期写入CMOS

历史记录数以及登入超时环境变量设置

查看历史命令：history

vi /etc/profile
TIMEOUT=10 #链接超时时间
HISTSIZE=10 #命令行的历史记录数
HISTFILESIZE=10 #历史记录文件的命令数量

调整linux系统文件描述符数量

文件描述符是由无符号整数表示的句柄，进程使用它来标识打开的文件；对于内核而言，所有打开的文件都是通过文件描述符引用的，打开一个文件，内核向进程返回一个文件描述符。。

查看文件描述符的命令

ulimit -n

方法一：
vi /etc/security/limits.conf　　　　　　　　# 最后一行添加

* hard nofile 65535
* soft nofile 65535
* hard nproc 65535
* soft nproc 65535

vim /etc/security/limits.d/90-nproc.conf　　　　#修改下面1行(centos6)

*          soft    nproc     65535

centos7是/etc/security/limits.d/20-nproc.conf

修改系统总限制：

echo 65535 > /proc/sys/kernel/pid_max

echo "kernel.pid_max = 65535" >> /etc/sysctl.conf　　#永久生效

配置完成后需要重新登入才会生效

加入开机启动项

vi /etc/rc.local
ulimit -HSn 65535

swappiness，Linux内核参数，控制换出运行时内存的相对权重。swappiness参数值可设置范围在0到100之间。 低参数值会让内核尽量少用交换;

现在一般1个G的内存可修改为10， 2个G的可改为5， 甚至是0。具体这样做：
　　1.查看你的系统里面的swappiness
　　$ cat /proc/sys/vm/swappiness
　　不出意外的话，你应该看到是 60
　　2.修改swappiness值为10
　　$ sudo sysctl vm.swappiness=10
　　但是这只是临时性的修改，在你重启系统后会恢复默认的60，为长治久安，还要更进一步：
　　$ sudo gedit /etc/sysctl.conf
　　在这个文档的最后加上这样一行:
　　vm.swappiness=10
　　然后保存，重启。ok，你的设置就生效了。

linux服务器内核参数优化

pass   可以选择升级内核，请看我另一片文章：  https://www.cnblogs.com/weiyiming007/p/9504962.html

定时清理邮件服务临时目录垃圾文件

CentOS 5 系统默认安装Sendmail服务，邮件临时存放位置：/var/spool/clientmqueue

CenterOS 6没有安装Sendmail服务，而是改装Postfix服务，邮件临时存放位置：/var/spool/postfix/maildrop

临时存放位置如果被垃圾文件填满会导致inode数量不够用，需要手动清理

•Centos 5

find /var/spool/clientmqueue/ -type f |xargs rm -f

•Centos 6

find /var/spool/postfix/maildrop -type f |xargs rm -f

df -i 查看磁盘inode的总量、使用量、剩余量

隐藏linux版本的信息（登入时）

登入显示的版本信息存放在：/etc/issue

cat /etc/issue
# 输出
CentOS release 6.6 (Final)
Kernel \r on an \m
# 执行命令
> /etc/issue  # 清除文件内容，再次登入时则不显示linux的版本信息

锁定关键系统文件，防止被提权篡改

chstt，文件在/user/bin/下，为了防止被修改可以做软连

上锁系统文件chattr，以后任何用户修改这个文件都不会成功，除非解锁

+：代表在原有属性的基础上

i：immutable不可修改的

chattr +i /etc/passwd

解锁系统文件

chattr -i /etc/passwd

查看文件的属性lsattr

lsattr /etc/passwd

清除多余的系统虚拟账号

不是必须的优化选项，pass

为grub菜单加密码

目的：防止别人修改grub进行内核启动项设置以及用当用户模式修改root密码，安装系统后的设置如下：

1、生成md5秘钥
/sbin/grub-md5-crypt

2、修改/etc/grub.conf
在splashimage和title之间加入
password  --md5  秘钥

设置完成后管理grub就会提示输入密码

禁止linux系统被ping

为了增加系统的安全性。可以禁止我们的linux系统被ping，可惜修改iptables来设置

一般不用

echo 'net.ipv4.icmp_echo_ignore_all=1'  >> /etc/sysctl.conf

sysctl -p 重载信息并更新启动

如果要恢复：

> /etc/sysctl.conf

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

升级openssl,openssh,bash

1、查看
rpm -qa openssl openssh bash

2、安装最新版本
yun -y install openssl openssh bash