01-linux基礎優化與安全重點總結

時間 2019-11-05

標籤 linux 基礎優化安全重點總結欄目 Linux 简体版

原文原文鏈接

linux基礎優化與安全重點總結java

1. 不用root 登陸，添加普通用戶，用sudo受權管理

[root@centos6 ~]#useradd liuwei  添加用戶

[root@centos6 ~]# vi /etc/sudoers

在第98行下面加入

root    ALL=(ALL)       ALL

liuwei   ALL=(ALL)      /bin/ls ,/bin/cat   //這個是給liuwei這個用戶 添加  /bin/ls ,/bin/cat 這兩個命令的執行權限

2.更改默認的遠程鏈接SSH服務端口和禁止root遠程登陸

[root@centos6 ~]# vi /etc/ssh/sshd_config

#       $OpenBSD: sshd_config,v 1.80 2008/07/02 02:24:18 djm Exp $

# This is the sshd server system-wide configuration file.  See

# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/bin:/bin:/usr/bin

# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options change a

# default value.

#下面這是把22端口更改52113

Port 52113  

#這是不容許遠程登陸

PermitRootLogin no

#這個不是不容許空密碼

PermitEmptyPasswords no

#不用DNS

UseDNS no

GSSAPIAuthentication no

3.定時更新服務器時間

#confab -e
進入cronta編輯模式，使用方法同vi
輸入 0 23 * * * ntpdate asia.pool.ntp.org >> /var/log/ntpdate.log
保存退出
這樣就完成了你的系統到天天23：00去asia.pool.ntp.org 同步時間，並將同步的日誌放到
/var/log/ntpdate.log



3、定時同步時間(在/etc/crontab中添加)

 * * * * * /usr/sbin/ntpdate 210.72.145.44 > /dev/null 2>&1

4.配置yum更新源，從國內更新源下載安裝rpm包

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

(若提示wget 命令不存在，則先使用yum install wget命令進行安裝操做)node

5.關閉selinux關閉iptables(工做場景有wan ip 通常要開，高併發除外)

修改/etc/selinux/config 文件

將SELINUX=enforcing改成SELINUX=disabled

重啓機器便可（注意：生產環境中通常不能隨便重啓機器）

setenforce 更改selinux狀態

setenforce 0 #設置SELinux 成爲permissive模式

setenforce 1 設置SELinux 成爲enforcing模式

getenforce 也能夠用這個命令檢查



/etc/init.d/iptables status 會獲得一系列信息，說明防火牆開着。

/etc/init.d/iptables stop 關閉防火牆

service iptables restart 重啓iptables

/etc/init.d/iptables restart     重啓iptables

1.重啓後永久性生效：

　　開啓：chkconfig iptables on

　　關閉：chkconfig iptables off

2. 即時生效，重啓後失效：

　　開啓：service iptables start

　　關閉：service iptables stop

6.調整描述符的數量，進程及文件打開都會消耗描述符

[root@centos6 ~]# ulimit –n  查看描述符數量

65535

怎麼調整

vim /etc/security/limits.cof

把下面一句加到文件的最後一行

*              -       nofile          65535

或者：

ech0 '*              -       nofile          65535'  >> /etc/security/limits.cof

7.定時清理 /var/spool/clientmquene/目錄垃圾文件，防止inodes節點佔滿

8.精簡開機啓動服務（crod,sshd,network,rsyslog）

for name in ‘chkconfig --list | grep –vE 「crond|sshd|network|rsyslog」|awk ‘{print $1}’’;

do chkconfig &name off;done

9.linux 內核參數優化 /etc/sysctl.conf,執行sysctl –p 生效

　首先打開/etc/sysctl.conf文件，查看以下兩行的設置值，這裏是：

　　kernel.shmall = 2097152

kernel.shmmax = 4294967295

 若是系統默認的配置比這裏給出的值大，就不要修改原有配置。

同時在/etc/sysctl.conf文件最後，添加如下內容：

　　fs.file-max = 6553600

　　kernel.shmmni = 4096

　　kernel.sem = 250 32000 100 128

　　net.ipv4.ip_local_port_range = 1024 65000

　　net.core.rmem_default = 4194304

　　net.core.rmem_max = 4194304

　　net.core.wmem_default = 262144

　　net.core.wmem_max = 262144

　　這裏的「fs.file-max = 6553600」實際上是由「fs.file-max = 512 * PROCESSES」獲得的，咱們指定PROCESSES的值爲12800，即爲「fs.file-max =512 *12800」。

　　sysctl.conf文件修改完畢後，接着執行「sysctl -p」使設置生效。

10，更改字符集，支持中文，可是建議仍是用英文字符防止亂碼

解決中文問題

[liuwei@centos6 ~]$ vi /etc/sysconfig/i18n

改爲這個

LANG=zh_CN.UTF-8

[liuwei@centos6 ~]$source /etc/sysconfig/i18n

11.鎖定關鍵系統文件

chattr +i  /etc/passwd /etc/group /etc/gshadow /etc/inittab



[root@centos6 ~]# chattr +i /etc/passwd /etc/shadow 給這個兩個文件加上鎖

[root@centos6 ~]# useradd liu

useradd: cannot open /etc/passwd

[root@centos6 ~]# chattr -i /etc/passwd /etc/shadow     給這個兩個文件加解鎖

[root@centos6 ~]# useradd liu



[root@centos6 ~]# chattr -i /etc/passwd /etc/shadow   把這個加鎖命令移動一下【由於你們都知道這個是解鎖的命令】

-bash: /usr/bin/chattr: 沒有那個文件或目錄

[root@centos6 ~]# mv /usr/bin/liuwei /usr/bin/chattr

範例：linux

# chattr +i .bash_logout ——>添加一個隱藏的「i」屬性，後面再細講vim

#lsattr -a 　　　　　　　　　 ——>將當前目錄的文件或目錄下的文件全部屬性(包括隱藏屬性)列出　centos

-------------- ./.安全

-------------- ./..bash

---i---------- ./.bash_logout服務器

-------------- ./.bash_profile併發

-------------- ./.bashrcssh

12，清空 /etc/issue ,去除系統以及內核版本登陸前的版本提示

[root@centos6 ~]# > /etc/issue    隱藏系統的版本信息

[root@centos6 ~]#

13.實戰經驗分享（屬用性能調優）

Linux 用戶線程數限制致使的 java.lang.OutOfMemoryError: unable to create new native thread
異常
# vi /etc/security/limits.d/90-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.
root soft nproc unlimited
* soft nproc 20480