這篇文章主要介紹Linux基礎(chǔ)優(yōu)化與安全歸納的示例分析,文中介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們一定要看完!
目前創(chuàng)新互聯(lián)已為近1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機(jī)、網(wǎng)站托管、服務(wù)器租用、企業(yè)網(wǎng)站設(shè)計(jì)、安源網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
第一點(diǎn):Linux的管理盡量不用root用戶,利用sudo命令來控制普通用戶對系統(tǒng)的管理
新建一個用戶,使用sudo命令添加權(quán)限,詳細(xì)操作步驟如下:
(1)添加新的用戶: useradd 新的用戶名
(2)檢查是否已成功添加:id 新的用戶名
(3)設(shè)置該用戶的密碼:echo 123321|passwd --stdin 新的用戶名
接下來需將新的用戶添加管理員權(quán)限,這個新的用戶就相當(dāng)于管理員
(4)備份之前的權(quán)限文件:\cp /etc/sudoers{,.back}
(5)將新的用戶添加管理員權(quán)限:
echo "新的用戶名 ALL=(ALL) NOPASSWD: ALL " >> /etc/sudoers
(6)檢查是否已成功添加:tail -1 /etc/sudoers
(7)配置生效:visudo -c
待以上操作完畢,那么此時的新的用戶權(quán)限等同于root用戶。
第二點(diǎn):更改默認(rèn)的遠(yuǎn)程連接SSH服務(wù)端口
(1)修改配置文件/etc/ssh/sshd_config
Port 22,改為Port 52113(范圍——65535);##默認(rèn)端口為22
ListenAddress 0.0.0.0,改為ListenAddress 內(nèi)網(wǎng)IP地址;##監(jiān)聽內(nèi)網(wǎng)ip地址
PermitRootLogion yes,改為PermitRootLogion no;##root用戶遠(yuǎn)程連接)
(2)重啟生效:/etc/init.d/sshd reload
(3)查看端口狀態(tài):netstat -lntup|grep sshd
第三點(diǎn):定時自動更新服務(wù)器時間,使其和互聯(lián)網(wǎng)時間同步
(1)配置
echo '#time sync by 新的用戶名 at 2019-04-01' >> /var/spool/cron/root
echo '/5 /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >> /var/spool/cron/root
###每5分鐘執(zhí)行一次同步
###至于以哪個時間服務(wù)器為基準(zhǔn),以下地址可自己選擇:
ntp1.aliyun.com
ntp2.aliyun.com
ntp3.aliyun.com
ntp4.aliyun.com
ntp5.aliyun.com
ntp6.aliyun.com
ntp7.aliyun.com
(2)查看是否已更新:crontab -l
(3)最后備份下:\cp /var/spool/cron/root{,.back}
第四點(diǎn):配置yum配置源
(1)創(chuàng)建備份文件存放目錄
Mkdir -p /etc/yum.repos.d/{default,back}
(2)備份所有默認(rèn)的配置文件
\mv /etc/yum.repos.d/repo /etc/yum.repos.d/default
(3)從阿里云獲取yum源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
(4)備份yum源
\cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/default
第五點(diǎn):關(guān)閉selinux及iptables
(1)關(guān)閉iptables:/etc/init.d/iptables stop
(2)檢查是否已關(guān)閉:/etc/init.d/iptables status
(3)設(shè)置開機(jī)不自動啟動:chkconfig iptables off
(4)確認(rèn)配置:chkconfig --list iptables
(5)關(guān)閉selinux:
sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
(6)查看并確認(rèn)配置:cat /etc/selinux/config
備注:永久生效,需要重啟計(jì)算機(jī)。(在工作場景中,如果有外部IP一般要打開iptables)
第六點(diǎn):適當(dāng)調(diào)整文件描述符的數(shù)量
鑒于進(jìn)程及文件的打開都會消耗文件描述符,所以在運(yùn)維過程中我們要調(diào)整下文件描述符的數(shù)量,表示形式為整數(shù)數(shù)字(——65535)。
查看默認(rèn)文件描述符:ulimit –n ###一般默認(rèn)為1024
在/etc/sercurity/limits.conf里面配置:
echo '* - nofile 65535' >>/etc/security/limits.conf
tail -1 /etc/security/limits.conf
第七點(diǎn):定時自動清理郵件目錄垃圾文件
防止inodes節(jié)點(diǎn)被占滿。
第八點(diǎn):精簡并保留必要的開機(jī)自啟動服務(wù)
(1)只保留重要的基礎(chǔ)服務(wù),其余全部關(guān)閉
chkconfig --list|egrep -v "sysstat|crond|sshd|network|rsyslog"|awk '{print "chkconfig "$1,"off"}'|bash
(2)確認(rèn)配置:chkconfig --list|grep 3:on
第八點(diǎn):優(yōu)化Linux內(nèi)核參數(shù)
(1)配置文件/etc/sysctl.conf,添加如下命令(可直接復(fù)制粘貼)
cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
以下參數(shù)是對iptables防火墻的優(yōu)化,防火墻關(guān)閉的情況下會提示,可以略過提示。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
EOF
(2)配置生效命令:sysctl -p
第九點(diǎn):配置字符集
(1)查看配置文件:cat /etc/sysconfig/i18n
里面默認(rèn)應(yīng)該有以下2行內(nèi)容:
LANG="en_US.UTF-8" ###默認(rèn)提示為英文
(2)先備份配置文件:cp /etc/sysconfig/i18n{,.back}
(3)修改配置文件:
說明:此項(xiàng)可將字符集修改為中文,也可不做修改。
echo 'LANG="zn_CN.UTF-8"' > /etc/sysconfig/i18n
echo 'SYSFONT="latarcyrheb-sun16"' >> /etc/sysconfig/i18n
(4)配置生效:source /etc/sysconfig/i18n
(5)確認(rèn)配置是否成功:echo $LANG
第十點(diǎn):鎖定關(guān)鍵性系統(tǒng)文件,防止被篡改
配置命令:
chattr +i /etc/{passwd,shadow,group,gshadow}
lsattr -a /etc/{passwd,shadow,group,gshadow}
解除鎖定命令:chattr -i
第十一點(diǎn):禁止系統(tǒng)被ping
配置命令:echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf
配置生效命令:sysctl -p
第十二點(diǎn):升級漏洞軟件
查看相關(guān)軟件的版本號:rpm -qa openssl openssh bash
執(zhí)行升級:yum install openssl openssh bash
第十三點(diǎn):優(yōu)化SSH遠(yuǎn)程連接
(1)先備份配置文件:cp /etc/ssh/sshd_config{,.back}
(2)編輯ssh服務(wù)配置文件
編輯ssh服務(wù)的配置文件(vim /etc/ssh/sshd_config),在第12行下面添加如下內(nèi)容:
Port 52113 #使用大于10000的端口號
PermitRootLogin no #禁止root遠(yuǎn)程登錄
PermitEmptyPasswords no #禁止空密碼登錄
UseDNS no #不使用dns解析
GSSAPIAuthentication no #連接慢的解決配置
(3)確認(rèn)配置:grep -A 5 -i 'Start by 新的用戶名' /etc/ssh/sshd_config
(4)重啟ssh服務(wù):/etc/init.d/sshd restart
(5)確認(rèn)配置是否成功:netstat -lntup | grep ssh
以上是“Linux基礎(chǔ)優(yōu)化與安全歸納的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對大家有幫助,更多相關(guān)知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道!
本文標(biāo)題:Linux基礎(chǔ)優(yōu)化與安全歸納的示例分析
分享URL:http://www.muchs.cn/article22/jpccjc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營銷推廣、網(wǎng)站導(dǎo)航、企業(yè)網(wǎng)站制作、網(wǎng)站收錄、靜態(tài)網(wǎng)站、微信小程序
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)