Centos7基礎優化操做項

1.基礎優化操做項：更新yum源信息
第一個：就近使用yum源地址，安裝軟件更快。
curl -s -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
第二個：安裝RHEL/CentOS官方源不提供的軟件包
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

2.安全優化:關閉SELinux及iptables（在工做場景中，若是有外部IP通常要打開iptables，高併發流量的服務器可能沒法開啓）

# 關閉selinux
sed -i 's#SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
grep SELINUX=disabled /etc/selinux/config 
setenforce 0
getenforce

 

3.關閉firewalld防火牆服務

systemctl stop firewalld
systemctl disable firewalld
systemctl disable firewalld

 

4.基礎優化操做項：設置普通用戶提權操做（可選優化）
# 提權smile能夠利用sudo

useradd smile
echo 123456|passwd --stdin smile
\cp /etc/sudoers /etc/sudoers.ori
echo "smile ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers
tail -1 /etc/sudoers
visudo -c

 

5.設置系統中文UTF8字符集

[root@smile ~]# cat /etc/locale.conf
LANG="en_US.UTF-8"
修改命令以下：
cp /etc/locale.conf /etc/locale.conf.ori
echo 'LANG="zh_CN.UTF-8"' >/etc/locale.conf 
source /etc/locale.conf 
echo $LANG

 

6.基礎優化操做項：時間同步設置
# 定時更新服務器時間，使其和互聯網時間同步。

yum install ntpdate -y
/usr/sbin/ntpdate ntp3.aliyun.com

echo '#crond-id-001:time sync' >>/var/spool/cron/root
echo "*/5 * * * * /usr/sbin/ntpdate ntp3.aliyun.com >/dev/null 2>&1">>/var/spool/cron/root
crontab -l

 

7.基礎優化操做項：提高命令行操做安全性（可選優化）
# 超時時間、操做記錄數更改（可選配置）

echo 'export TMOUT=300' >>/etc/profile
echo 'export HISTSIZE=500' >>/etc/profile
echo 'export HISTFILESIZE=5' >>/etc/profile
tail -3 /etc/profile
. /etc/profile

8.基礎優化操做項：加大文件描述符

# 實例演示：加大文件描述
echo '* - nofile 65535 ' >>/etc/security/limits.conf 
tail -1 /etc/security/limits.conf
ulimit -SHn 65535 
ulimit -n    #<==命令方式查看配置結果

 

9.基礎優化操做項：優化系統內核

cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#如下參數是對iptables防火牆的優化，防火牆不開會提示，能夠忽略不理。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.wmem_max = 16777216
net.core.rmem_max = 16777216
EOF
sysctl -p

 

11.ssh服務配置優化：
####Start by smile#2019-04-26###
Port 52113 #使用大於10000的端口
PermitRootLogin no #禁止root遠程登陸，能夠su - root，C7須要改yes爲no
PermitEmptyPasswords no #禁止空密碼登陸，C7默認就是

UseDNS no #不使用dns解析,yes改成no
GSSAPIAuthentication no #禁止鏈接慢的解決配置
ListenAddress 172.16.1.61:52113 #只容許內網IP鏈接SSH（172.16.1.0）
####End by smile#2019-04-26###

最終配置爲：
####Start by smile#2019-04-26###
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#ListenAddress 172.16.1.7:22
####End by smile#2019-04-26###

12.基礎優化操做項：安裝系統經常使用軟件
CentOS6和CentOS7都要安裝的企業運維經常使用基礎工具包

yum install tree nmap dos2unix lrzsz nc lsof wget tcpdump htop iftop iotop sysstat nethogs -y

 

CentOS7要安裝的企業運維經常使用基礎工具包

yum install psmisc net-tools bash-completion vim-enhanced -y

 

11.打補丁並升級有已知漏洞的軟件。

yum update

 

12.鎖定關鍵系統文件,如/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow,/etc/inittab，處理以上內容後吧chattr、lsattr更名爲oldboy，轉移走，這樣就安全多了。

13.清空/etc/isuue、/etc/issue.net，去除系統及內核版本登陸前的屏幕顯示。

1 >/etc/issue
2 >/etc/issue.net
3 cat /etc/issue
4 cat /etc/issue.net