系統相關：檢查－優化

新系統優化

1.證書登錄 變動默認的ssh服務端口等配置 

建立證書:ssh-keygen -t rsa
配置：mv id_rsa.pub authorized_keys
編輯：vi /etc/ssh/sshd_config 

Protocol 2048
SyslogFacility AUTHPRIV
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
PasswordAuthentication no 　　　　　 #同值　UsePAM
ChallengeResponseAuthentication no #同值　UsePAM
UsePAM no 　　　　　　　　　　　　  　#同值上面兩項
UseDNS no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes

2.操做歷史時間配置

vi .bashrc
HISTFILESIZE=200
HISTSIZE=100
HISTTIMEFORMAT="%Y%m%d-%H%M%S: " #or HISTTIMEFORMAT="%Y%m%d %T "
export HISTTIMEFORMA

history -c 命令:清空history當前歷史命令的記錄
history -w 命令:當即更新history文件

 3.文件系統優化

修改ulimit -n 參數:默認是1024---該配置項是每一個進程能夠打開的文件數.
一、vi /etc/profile #ulimit -n 65535 #source /etc/profile
二、修改/etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
調整內核參數 vi /etc/sysctl.conf #sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_wmem = 8192 4336600 873200
net.ipv4.tcp_rmem = 32768 4336600 873200
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 786432 1048576 1572864
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 300
net.ipv4.ip_local_port_range = 1024 65000
net.nf_conntrack_max = 655360 #默認65535 防火牆跟蹤表

4.iptables配置

規則被清除
iptables -F
iptables -X
設置chain默認策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 2048 -j ACCEPT 　　　　　　　　 　 　#與sshd配置的端口相同
-A INPUT -p icmp -j DROP　　　　　　　　　　　　　　　  　 　 #不容許ping　
-A INPUT -i lo -p all -j ACCEPT　　　　　　　　　　　　        　 #容許loopback
-A INPUT -s 192.168.0.3 -p tcp --dport 2048 -j ACCEPT　　　#控制源地址訪問這臺服務器的SSH

5.帳號加固:禁用root,管理用戶和用戶組

/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow

*更改root名字

6.添加經常使用yum源 並升級到最新版本

CentOS 基礎(經常使用)的源:
http://dl.fedoraproject.org/pub/epel/epel-release-latest-5.noarch.rpm
http://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

CentOS 升級內核的源
http://rpms.famillecollet.com/enterprise/remi-release-6.rpm 
http://rpms.famillecollet.com/enterprise/remi-release-7.rpm 

7.定時自動更新服務器時間 修改時區

ntpdate 1.pool.ntp.org
crontab -e
0 21 * * * ntpdate ntpdate 1.pool.ntp.org

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #命令tzselect
8.修改DNS信息

vi /etc/resolv.conf
nameserver 8.8.8.8
nameserver 114.114.114.114

9.ntsysv 關閉不經常使用服務

• acpid, haldaemon, messagebus, klogd,network, syslogd 務必須開啓！其餘的分析以下：
• 1.NetworkManager,NetworkManagerDispatcher　自動切換網絡鏈接的後臺進程　開
• 2.acpid 新型電源管理標準 開
• 3.anacron 　同cron、at、和 batch。可關
• 4.apmd　傳統的電源管理標準　可關
• 5.atd　　使用cron　可關
• 6.autofs　實現光盤、軟盤、U盤等移動存儲介質的自動加載　關
• 7.avahi-daemon, avahi-dnsconfd　　DNS 服務的局域網裏發現基於 zeroconf 協議的設備和服務　關
• 8.bluetooth, hcid, hidd, sdpd, dund,pand　若是沒有藍牙設備或藍牙相關的服務　關
• 9.capi　SDN 設備的用戶有用　關
• 10.cpuspeed　監測系統空閒百分比，下降或加快CPU時鐘速度和電壓從而將能源消耗降爲最小　開
• 11.crond　執行例行性命令的守護程序　開
• 12.cups　打印機配置　關
• 13.cups-lpd　不安裝打印機，就不須要啓　關
• 14.dc_client, dc_server　盤緩存（Distcache）用於分佈式的會話緩存Apache 使用　SSL/TLS 服務器　可關
• 15.dhcdbd　保留默認的關閉狀態
• 16.diskdump, netdump　除非你在診斷內核相關的問題，不然它們應該被關閉　關
• 17.dund　經過藍牙撥號來鏈接網絡。若是沒有藍牙設備，就關閉它　關
• 18.firstboot　Fedora 安裝過程特有的　關
• 19.gpm　　提供了鼠標的支持。
• 20.hcid　管理全部可見的藍牙設備　關
• 21.hidd　對輸入設備（鍵盤，鼠標）提供支持　開
• 22.iptables　應該開啓它
• 23.ip6tables　應該關閉它。
• 24.irda　實現紅外無線數據傳輸的工業標準　關
• 25.irqbalance　多個系統處理器環境下的系統中斷請求進行負載平衡的守護程序　開
• 26.kudzu　硬件自動檢測程序　若是你不打算增長新硬件，那麼就能夠關閉這個啓動服務　可關
• 27.mcstrans　若是你使用 SELinux 就開啓它　可關
• 28.mdmonitor　監測 SoftwareRAID 或 LVM 的信息。與RAID設備相關的守護程序　開
• 29.mdmpd　　監測 Multi-Path設備　與RAID設備相關的守護程序　開
• 30.messagebus　它與 DBUS 交互　開
• 31.microcode_ctl
• 32.netdump　　應該被關閉。
• 33.netfs　　系統啓動時自動掛載網絡中的共享文件空間　好比：NFS，Samba 等等
• 34.netplugd　　netplugd是一個守護程序，能夠監控一個或多個網絡接口的狀態　默認關閉狀態
• 35.network　說明：在系統啓動時激活全部的網絡接口。開
• 36.nfs　網絡文件系統。
• 37.nfslock　提供了NFS文件鎖定功能
• 38.pcmcia　Pcmcia卡，支持筆記本電腦的PCMCIA 設備，如調制解調器, 網絡適配器, SCSI卡等等　開
• 39.pcscd　提供智能卡（和嵌入在信用卡，識別卡里的小芯片同樣大小）和智能卡讀卡器支持　關
• 40.portmap　Portmap守護程序爲RPC服務，該服務是 NFS（文件共享）和 NIS（驗證）的補充。除非你使用 NFS 或 NIS 服務，不然關閉它
• 41.psacct　用來監控進程活動的工具，包括ac,lastcomm, accton 和sa。
• 42.random　快速的將系統的狀態在隨機的時間內存到鏡象檔案中，對於系統至關重要。由於在開機以後，系統會迅速的恢復到開機以前的狀態。必須啓動。
• 43.readahead_early、readahead_later　在啓動系統期間，將啓動系統所要用到的文件首先讀取到內存中，而後在內存中進行執行，以加快系統的啓動速度
• 44.restorecond　若是你使用 SELinux 的話強烈建議開啓它
• 45.rpcgssd, rpcidmapd, rpcsvcgssd　用於 NFS v4。除非你須要或使用 NFS v4，不然關閉它。
• 46.rhnsd　Red Hat 網絡服務
• 47.rsync　remote sync，遠程數據備份工具。
• 48.saslauthd　使用SASL的認證守護程序。
• 49.sgi-fam　　實現實時數據鏡像
• 50.smartd　監控你的硬盤是否出現故障　建議開啓它，特別是服務器
• 51.syslog　記錄全部的系統行爲。
• 52.time　　從遠程主機獲取時間和日期，採用TCP協議
• 53.time-udp　從遠程主機獲取時間和日期，採用UDP協議。
• 54.vncserver　在本地系統上顯示遠程計算機整個"桌面"的輕量型協議
• 55.xfs　若是使用run-level爲5的圖形界面，那麼就須要啓動
• 56.xinetd　負責管理系統中不頻繁使用的服務　必須啓動。
• 57.yum　　動更新、安裝和刪除RPM軟件包的管理程序
• 58.ksmd ksmtuned KSM默認是開着，無虛擬機，關
• 59.

10.設置字符集爲英文(中文)

cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SUPPORTER="en_US.UTF-8:en_US:zh"
SYSFONT="latarcyrheb-sun16"

LANG="en_US.UTF-8"
SUPPORTED="zh_CN.GB18030:zh_CN:zh:en_US.UTF-8:en_US:en"
SYSFONT="latarcyrheb-sun16"
LC_ALL="en_US.UTF-8"
export LC_ALL

改登陸用戶的.bash_profile
export LANG=zh_CN.GB18030
export LANGUAGE=zh_CN.GB18030:zh_CN.GB2312:zh_CN

11.關閉多餘控制檯

vi /etc/init/start-ttys.conf ＃tty[1-3]

12.關閉ipv6

/etc/sysconfig/network

echo "alias net-pf-10 off" >> /etc/modprobe.d/ECS.conf
echo "alias ipv6 off" >> /etc/modprobe.d/ECS.conf
/sbin/chkconfig --level 35 ip6tables off

13 隱藏服務器系統信息

mv /etc/issue /etc/issuebak
mv /etc/issue.net /etc/issue.netbak

1四、服務器禁止ping
vi /etc/rc.d/rc.local #在文件末尾增長下面這一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #參數0表示容許 1表示禁止