环境说明:

[root@server1 ~]# cat /etc/redhat-release

CentOS release 6.9 (Final)

[root@server1 ~]# uname -r

2.6.-.el6.x86_64

1、更改yum源:

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup        <<-备份系统自带yum源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo  <<—国内使用阿里云yum源速度比较快

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

注:镜像官方网址http://mirrors.aliyun.com/

如有自建yum仓可以更改成自建yum仓地址信息

2、关闭selinux

永久关闭(需要重启系统)

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

临时关闭(无需重启)

setenforce

数字0表示Premissive,即给出警告提示,不会阻止操作,相当于disabled

数字1表示Enfocing,即表示SELinux为开启状态

getenforce      <<-查看selinux当前状态

3、关闭iptables

/etc/init.d/iptables stop          <<-关闭iptables服务

/etc/init.d/iptables status        <<-查看iptables状态

chkconfig iptables off              <<—开机启动关闭

4、精简开机启动

chkconfig|egrep -v "crond|sshd|network|rsyslog|sysstat"|awk '{print "chkconfig",$1,"off"}'|bash       <<-关闭服务

chkconfig --list|grep :on       <<-检查开机启动的服务

5、更改字符集(选做)

cp /etc/sysconfig/i18n /etc/sysconfig/i18n.ori

echo 'LANG="zh_CN.UTF-8"'  >/etc/sysconfig/i18n

source /etc/sysconfig/i18n

echo $LANG

6、普通用户提权(mmod)

useradd mmod

echo |passwd --stdin mmod

\cp /etc/sudoers /etc/sudoers.ori

echo "mmod  ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers

tail - /etc/sudoers

visudo -c

7、时间同步

echo '#time sync by mmod at 2015-2-1' >>/var/spool/cron/root

echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root

crontab -l

注:集群中有时间服务器,更改成时间服务器地址

8、命令行安全(选配)

设置闲置账号超时时间
echo 'export TMOUT=300' >>/etc/profile

命令行历史记录数

echo 'export HISTSIZE=5' >>/etc/profile

echo 'export HISTFILESIZE=5' >>/etc/profile

tail - /etc/profile

./etc/profile

9、加大文件描述

echo '*               -       nofile          65535' >>/etc/security/limits.conf

tail - /etc/security/limits.conf

10、内核优化

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout =

net.ipv4.tcp_tw_reuse =

net.ipv4.tcp_tw_recycle =

net.ipv4.tcp_syncookies =

net.ipv4.tcp_keepalive_time =

net.ipv4.ip_local_port_range =

net.ipv4.tcp_max_syn_backlog =

net.ipv4.tcp_max_tw_buckets =

net.ipv4.route.gc_timeout =

net.ipv4.tcp_syn_retries =

net.ipv4.tcp_synack_retries =

net.core.somaxconn =

net.core.netdev_max_backlog =

net.ipv4.tcp_max_orphans =

#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。

net.nf_conntrack_max =

net.netfilter.nf_conntrack_max =

net.netfilter.nf_conntrack_tcp_timeout_established =

net.netfilter.nf_conntrack_tcp_timeout_time_wait =

net.netfilter.nf_conntrack_tcp_timeout_close_wait =

net.netfilter.nf_conntrack_tcp_timeout_fin_wait =

EOF

sysctl –p       <<-配置完成后查看

11、下载安装基础软件

yum install lrzsz nmap tree dos2unix nc -y

12、定时清理邮件服务临时目录垃圾文件

centos 5版本

find /var/spool/clientmqueue/ -type f | xargs rm -f

centos .x版本

find /var/spool/postfix/maildrop/ -type f | xargs rm -f

写成脚本,做定时任务

mkdir -p /server/scripts/

echo "find /var/spool/postfix/maildrop/ -type f | xargs rm -f " > /server/scripts/del_mailfile.sh

echo "00 00 * * * /bin/bash  /server/scripts/del_mailfile.sh > /dev/null  2>&1"

13、隐藏linux版本信息显示

[root@server1 ~]# > /etc/issue

[root@server1 ~]# >  /etc/issue.net

[root@server1 ~]# cat /etc/issue.net

[root@server1 ~]# cat /etc/issue

14、锁定关键系统文件,防止被提权篡改

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

使用lsattr 进行查看,chattr -i进行解锁

15、为grub菜单加密

先利用/sbin/grub-md5-crypt 产生一个MD5密钥串,命令如下:

[root@m01 ~]# /sbin/grub-md5-crypt

Password:

Retype password:

$$SQxvZ/$AXRHUbkNy9EkDHtmoEoQS0

修改grub.conf文件,命令如下:

[root@m01 ~]# vim /etc/grub.conf 

# grub.conf generated by anaconda

#

# Note that you do not have to rerun grub after making changes to this file

# NOTICE:  You have a /boot partition.  This means that

#          all kernel and initrd paths are relative to /boot/, eg.

#          root (hd0,)

#          kernel /vmlinuz-version ro root=/dev/sda3

#          initrd /initrd-[generic-]version.img

#boot=/dev/sda

default=

timeout=

splashimage=(hd0,)/grub/splash.xpm.gz

hiddenmenu

passwd --md5 $$SQxvZ/$AXRHUbkNy9EkDHtmoEoQS0

#注意:password要加在splashimage和title之间,否则无法生效

title CentOS  (2.6.-.el6.x86_64)

        root (hd0,)

        kernel /vmlinuz-2.6.-.el6.x86_64 ro root=UUID=33ec961c-16e1--bdbf-644bfdabf1eb rd_NO_LUKS  KEYBOARDTYPE=pc KEYTABLE=us rd_NO_MD crashkernel=auto LANG=zh_CN.UTF- rd_NO_LV

16、禁止linux系统被ping(选配)

echo "net.ipv4.icmp_echo_ignore_all=1"  >> /etc/sysctl.conf

sysctl -p

拓展:设置特定ip可以ping
iptables -t filter -I INPUT -p icmp --icmp-type 8 -i eth0 -s 10.0.0.0/24 -j ACCEPT

17、升级具有典型漏洞

查看相关软件的版本号,命令如下:

[root@m01 ~]# rpm -qa openssl openssh bash

openssl-1.0.1e-.el6.x86_64

bash-4.1.-.el6.x86_64

openssh-.3p1-.el6.x86_64

升级已知漏洞的软件版本到最新,命令如下:

yum install openssl openssh bash -y

18、更改ssh服务端远程登录的配置

 修改默认文件路径

 vim /etc/ssh/sshd_config

 修改的参数

 port       #端口

 PermitEmptyPasswords   #是否允许密码为空的用户远程登录

 PermitRootLogin             #是否允许root登录

 UseDNS                        #指定sshd是否应该对远程主机名进行反向解析,以检查主机名是否与其IP地址真实对应。默认yes.建议改成no ,否则可能会导致SSH连接很慢。

 GSSAPIAuthentication no   #解决linux之间使用SSH远程连接慢的问题

 ListenAddress    #监听指定的IP地址

12 批量操作:

 sed -ir '13 iPort 55666\nPermitRootLogin  no\nPermitEmptyPasswords  no\nUseDNS no\nGSSAPIAuthentication no'  /etc/ssh/sshd_config

安装linux系统后调优及安全设置的更多相关文章

  1. Linux系统调优及安全设置

    1.关闭SELinux #临时关闭 setenforce 0 #永久关闭 vim /etc/selinux/config SELINUX=disabled 2.设定运行级别为3 #设定运行级别 vim ...

  2. Linux:U盘安装Linux系统

    前天一个同学找我帮忙安装Linux系统,没有光盘,也不想在虚拟机里安装,在此情况下,我就采用U盘方式来安装Linux系统了.又想到还有其他人可能也不会 使用U盘安装系统,这里就作一个简单的介绍. 1. ...

  3. 虚拟机安装Linux系统图文教程

    虚拟机安装Linux系统图文教程 | 浏览:523 | 更新:2014-09-16 15:31 1 2 3 4 5 6 7 分步阅读 Linux系统的安装 工具/原料 VMware 9.0 虚拟机 L ...

  4. 使用VMware10虚拟机安装Linux系统(能力工场)

    作为IT从业人员,我们经常使用到Linux系统,但是实际开发过程我们通常在Windows平台操作,为了满足工作需要,这个时候我们通常在windows平台安装虚拟机,并在其上建立linux系统,这样就极 ...

  5. 安装Linux系统,学习Linux操作基础

    20189230杨静怡 2018-2019-2 <移动平台开发实践>第1周学习总结 安装Linux系统内容总结 一.学习"基于VirtualBox虚拟机安装Ubuntu图文教程& ...

  6. VM虚拟机 安装linux系统

    首先需要下载VMware10 和CentOS-6.4,我这边提供了百度网盘,可供下载链接:https://pan.baidu.com/s/1vrJUK167xnB2JInLH890fw 密码:r4jj ...

  7. 虚拟机virtualBox安装linux系统 xshell远程连接linux

    虚拟机virtualBox安装linux系统 xshell远程连接linux 虚拟机概念: 通过软件, 使用虚拟化技术虚拟出电脑的硬件环境, 充当真实的电脑使用. 常见的虚拟软件: virtualBo ...

  8. 部署虚拟环境安装Linux系统

      目录                                                              准备工作 安装linux系统 重置root管理员密码 源代码编译 R ...

  9. 如何在Windows环境下安装Linux系统虚拟机

    如何在Windows环境下安装Linux系统虚拟机 本篇经验写给想要入门学习C语言的小白们.Windows系统因为使用窗口图形化,操作简单,功能多样,所以我们在Windows环境下可以做到很多,但想要 ...

随机推荐

  1. netsh常用命令

    netsh常用命令 0.netsh介绍 netsh(Network Shell)是一个windows系统本身提供的功能强大的网络配置命令行工具 1.修改IP地址addr和子网掩码mask netsh ...

  2. Datawhale MySQL 训练营 Task4 表联结

    学习内容 MySQL别名 列别名,将查询或者筛选出来列用AS 命名,如果有空格则需要引号 '' SELECT xxx AS xxxx FROM WHERE GROUP BY HAVING 表别名, 把 ...

  3. Docker--删除容器实例和镜像

    一.删除容器实例 使用命令docker rm 容器ID或者容器名 1.docker ps -a查询已有的实例 [root@cxt data]# docker ps -a 2.docker rm 容器I ...

  4. NIKTO介绍及使用方法

    1.    NIKTO:perl语言开发的开源WEB安全扫描器:识别网站软件版本:搜索存在安全隐患的文件:检查服务器配置漏洞:检查WEB Application层面的安全隐患:避免404误判(原因:很 ...

  5. 如何防范和应对Redis勒索,腾讯云教你出招

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由腾讯云数据库 TencentDB发表于云+社区专栏 9月10日下午,又一起规模化利用Redis未授权访问漏洞攻击数据库的事件发生,此次 ...

  6. go 运行项目

    此时运行项目,不能像之前简单的使用go run main.go,因为包main包含main.go和router.go的文件,因此需要运行go run *.go命令编译运行.如果是最终编译二进制项目,则 ...

  7. Erlang运行时中的无锁队列及其在异步线程中的应用

    本文首先介绍 Erlang 运行时中需要使用无锁队列的场合,然后介绍无锁队列的基本原理及会遇到的问题,接下来介绍 Erlang 运行时中如何通过“线程进度”机制解决无锁队列的问题,并介绍 Erlang ...

  8. Daily Srum 10.30

    Android那一组打算用SQL Server这个关系型数据库,而王鹿鸣他们一组却是依赖于Hbase,这是一件很麻烦的事,所以我打算在这两方面都建立一个数据库.虽然挺麻烦,但是还是为了扩展性所做的必要 ...

  9. C/C++:static用法总结

    前言:static是C/C++中一个很重要的关键字,最近阅读了很多博客和资料,遂在此对自己的学习笔记进行简单的总结并发表在这里 一.C语言中的static • 静态全局变量:在全局变量之前加上关键字s ...

  10. Linux 下Web环境搭建————redis

    1.安装编译工具(yum -y install make gcc gcc-c++ ncurses-devel)2 2.安装tcl依赖 yum -y install tcl 3.上传redis安装包并解 ...