生产服务器环境最小化安装后 Centos 6.5优化配置
时间:2016-05-19 19:10 来源:linux.it.net.cn 作者:IT
内容目录
-
centos6.5最小化安装后配置网络: IP地址, 网关, 主机名, DNS
-
更新系统源并且升级系统
-
系统时间更新和设定定时任
-
创建普通用户并进行sudo授权管理
-
修改SSH端口号和屏蔽root账号远程登陆
-
锁定关键文件系统(禁止非授权用户获得权限)
-
精简开机自启动服务
-
调整系统文件描述符大小
-
设置系统字符集
-
清理登陆的时候显示的系统及内核版本
-
内核参数优化
-
定时清理/var/spool/clientmqueue
-
删除不必要的系统用户和群组
-
关闭重启ctl-alt-delete组合键
-
设置一些全局变量
1. 配置网卡
ifup eth0
mv /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0.bak
vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #网卡设备名称
HWADDR=00:0C:29:D0:C7:B5 #以太网设备的对应的物理地址
TYPE=Ethernet #网络类型为以太网模式
UUID=080a457b-6a53-4a3a-9155-a23c1146c2c6 #通用唯一识别码
ONBOOT=yes #是否启动引导的时候激活YES
NM_CONTROLLED=no #设备eth0是否可以由Network Manager图形管理工具托管
BOOTPROTO=static #静态IP地址获取状态, dhcp表示自动获取IP地址
IPADDR=192.168.1.10 #IP
IPV6INIT=no
IPV6_AUTOCONF=no
NETMASK=255.255.255.0 #网卡对应的网络掩码
GATEWAY=192.168.1.1 #网关地址
网关配置
vi /etc/sysconfig/network
#表示系统是否使用网络,一般设置为yes。如果设为no,则不能使用网络,而且很多系统服务程序将无法启动
NETWORKING=yes
#设置本机的主机名,这里设置的主机名要和/etc/hosts中设置的主机名对应
HOSTNAME=localhost.localdomain
#设置本机连接的网关的IP地址。例如,网关为10.0.0.1或者192.168.1.1
GATEWAY=192.168.1.1
修改主机DNS
vi /etc/resolv.conf
; generated by /sbin/dhclient-script
nameserver 8.8.8.8
nameserver 4.4.4.4
修改HOSTS
vi /etc/hosts
127.0.0.1 localhost.localdomain
#使用DNS域名服务器来解析名字
order bind hosts
#一台主机是否存在多个IP
multi on
#如果用逆向解析找出与指定的地址匹配的主机名,对返回的地址进行解析以确认它确实与您查询的地址相配。为了防止“骗取”IP地址
nospoof on
重启网卡生效设置
service network restart
禁ping. 阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或使用iptable禁ping:
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP
不允许ping其他主机:
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
防止IP欺骗. 编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。
order hosts,bind #名称解释顺序
multi on #允许主机拥有多个IP地址
nospoof on #禁止IP地址欺骗
2. 更新系统源并且升级系统
yum install wget
#备份原系统更新源
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
#进入yum.repos.d目录
cd /etc/yum.repos.d
#下载网易镜像源或者搜狐镜像源
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
#或者
#下载搜狐镜像源:
wget http://mirrors.sohu.com/help/CentOS-Base-sohu.repo
#清空yum缓存
yum clean all
#生存缓存
yum makecache
#开始更新系统以及内核
yum upgrade
#必备软件
yum install ntpdate -y
3. 系统时间更新, 设定时区
#查看时间
date
第一种:更新时间并且写入BOIS
ntpdate time.windows.com
hwclock -w
hwclock --systohc
#或者:查看时间服务器的时间
rdate time-b.nist.gov
#设置时间和时间服务器同步:
rdate -s time-b.nist.gov
第二种:更新时间并且写入定时任务
echo '*/30 * * * * ntpdate time.windows.com && hwclock -w && hwclock --systohc >/dev/null 2>&1' >>/var/spool/cron/root
第三种:每间隔5分钟和10分钟同步一次时间
echo '*/5 * * * * /usr/sbin/ntpdate time.windows.com >/dev/null 2 >&1' >>/var/spool/cron/root
echo '*/10 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root
注意: CentOS 6.x的时间同步命令路径不一样 6是/usr/sbin/ntpdate 5是/sbin/ntpdate
修改时区
cd /usr/share/zoneinfo/Asia/
sudo cp Shanghai /etc/localtime
4. 创建普通用户并进行sudo授权管理
#sudo授权管理 打开sudo配置文件
visudo
#找到
root ALL=(ALL) ALL
#添加
someone ALL=(ALL) ALL
5. 修改SSH端口号和屏蔽root账号远程登陆
如果有可能,第一件事就是修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。
创建具备辨识度的应用用户如crm以及系统管理用户sysmgr
# useradd crm -d /apps/crm
# passwd crm
# useradd sysmgr
# passwd sysmgr
只允许wheel用户组的用户su切换
# usermod -G wheel sysmgr
# vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
其他用户切换root,即使输对密码也会提示 su: incorrect password
限制登录失败次数并锁定, 在/etc/pam.d/login后添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180
登录失败5次锁定180秒,根据需要设置是否包括root。
登录IP限制. 严格的限制是在sshd_config中定死允许ssh的用户和来源ip:
## allowed ssh users sysmgr
AllowUsers sysmgr@172.29.73.*
或者使用tcpwrapper:
vi /etc/hosts.deny
sshd:all
vi /etc/hosts.allow
sshd:172.29.73.23
sshd:172.29.73.
#备份SSH配置
cp /etc/ssh/sshd_config sshd_config_bak
#修改SSH安全配置
vi /etc/ssh/sshd_config
#SSH链接默认端口
port 52113
#禁止root账号登陆
PermitRootLogin no
#禁止空密码
PermitEmptyPasswords no
#不使用DNS
UseDNS no
重新载入SSH配置
/etc/init.d/sshd reload
查看端口里面是否有刚才修改过的端口号52113
netstat -lnt
或者反查端口是那个进程
lsof -i tcp:52113
配置只能使用密钥文件登录
使用密钥文件代替普通的简单密码认证也会极大的提高安全性:
[dir@username ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): //默认路径,回车
Enter passphrase (empty for no passphrase): //输入你的密钥短语,登录时使用
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net
The key's randomart image is:
+--[ RSA 2048]----+
| |
…
| o++o..oo..o|
+-----------------+
将公钥重命名为authorized_key:
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
下载私钥文件 id_rsa 到本地(为了更加容易识别,可重命名为hostname_username_id_rsa),保存到安全的地方。以后 username 用户登录这台主机就必须使用这个私钥,配合密码短语来登录(不再使用 username 用户自身的密码)
另外还要修改/etc/ssh/sshd_config文件
打开注释
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
我们要求 username 用户(可以切换到其他用户,特别是root)必须使用ssh密钥文件登录,而其他普通用户可以直接密码登录。因此还需在sshd_config文件最后加入:
Match User itsection
PasswordAuthentication no
重启sshd服务
# service sshd restart
另外提醒: 这对公钥和私钥一定要单独保存在另外的机器上, 服务器上丢失公钥或连接端丢失私钥(或密钥短语), 可能导致再也无法登陆服务器获得root权限!
6. 锁定关键文件系统(禁止非授权用户获得权限)
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config
chattr +i /etc/inittab
显示文件的属性
lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config
注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
7. 精简开机自启动服务
刚装完操作系统一般可以只保留crond,network,syslog,sshd这四个服务。 后期根据业务需求制定自启服务
# chkconfig --list |grep '3:on'
邮件服务,使用公司邮件服务器:
service postfix stop
chkconfig postfix --level 2345 off
通用unix打印服务,对服务器无用:
service cups stop
chkconfig cups --level 2345 off
调节cpu速度用来省电,常用在Laptop上:
service cpuspeed stop
chkconfig cpuspeed --level 2345 off
蓝牙无线通讯,对服务器无用:
service bluetooth stop
chkconfig bluetooth --level 2345 off
系统安装后初始设定,第一次启动系统后就没用了:
service firstboot stop
chkconfig firstboot --level 2345 off
关闭nfs服务及客户端:
service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off
如果要恢复某一个服务,可以执行下面操作:
service acpid start && chkconfig acpid on
查询开启的服务 chkconfig –list | grep 3:on 或者 chkconfig –list|grep 3:启用
[~]$ chkconfig --list|grep 3:启用
crond 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
ip6tables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
network 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
rsyslog 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
sshd 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
8. 调整文件描述符大小
#查看文件描述符大小
ulimit -n
# 调整
vi /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
可以对/etc/security/limits.conf中修改如下:
* soft core 0
* soft nproc 2048
* hard nproc 16384
* soft nofile 1024
* hard nofile 65536
core 0 表示禁止创建core文件;
nproc 128 把最多的进程数限制到20;
nofile 64 表示把一个用户同时打开的最大文件数限制为64;
* 表示登录到系统的所有用户,不包括root
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
session required pam_limits.so
limits.conf参数的值需要根据具体情况调整。
9. 设置系统字符集
第一种:
vi /etc/sysconfig/i18n
#如果想用中文提示:LANG=”zh_CN.UTF-8″ 如果想用英文提示:LANG=”en_US.UTF-8″ 如果临时切换也可以 LANG=zh_CN.UTF-8
第二种:使用sed快速替换
#替换成英文
sed -i 's#LANG="zh_CN.*"#LANG="en_US.UTF-8"#' /etc/sysconfig/i18n
#替换成中文
sed -i 's#LANG="en_US.*"#LANG="zh_CN.UTF-8"#' /etc/sysconfig/i18n
#替换成UTF-8中文
sed -i 's#LANG="zh_CN.*"#LANG="zh_CN.UTF-8"#' /etc/sysconfig/i18n
10. 清理登陆的时候显示的系统及内核版本
#查看登陆信息
cat /etc/redhat-release cat /etc/issue
#清理登陆信息
echo >/etc/redhat-release
echo >/etc/issue
11. 内核参数优化
vi /etc/sysctl.conf
#可用于apache,nginx,squid多种等web应用
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
# 恶意请求通常都是短连接请求,大量的短连接会处于 timewait 状态,几分钟之后才会释放,这样会占用大量的资源,通过调整内核参数,尽快释放或者重用 timewait 状态的连接,减少资源的开销。
# 打开TIME-WAIT sockets快速回收
net.ipv4.tcp_tw_recycle = 1
#net.ipv4.tcp_tw_len = 1
# 允许TIME-WAIT sockets复用
net.ipv4.tcp_tw_reuse = 1
# 降低系统连接数和资源占用,默认为18w
net.ipv4.tcp_max_tw_buckets=10000
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800
#net.ipv4.tcp_fin_timeout = 30
#net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 1024 65535
#以下参数是对centos6.x的iptables防火墙的优化,防火墙不开会有提示,可以忽略不理。
#如果是centos5.X需要吧netfilter.nf_conntrack替换成ipv4.netfilter.ip
#centos5.X为net.ipv4.ip_conntrack_max = 25000000
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
立即生效
/sbin/sysctl -p
centos6.5可能会报错
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key
出现这个的原因是,没有自动载入bridge桥接模块
modprobe bridge
echo "modprobe bridge">> /etc/rc.local
查看桥接 lsmod|grep bridge
centos5.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入,
解决办法有二,一是开启防火墙,二是自动处理开载入的模块ip_conntrack
error: "net.ipv4.ip_conntrack_max"is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_max"is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established"is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait"is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait"is an unknown key
error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait"is an unknown key
centos5.X解决方法:
modprobe ip_conntrack
echo "modprobe ip_conntrack">> /etc/rc.local
centos6.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入,
解决办法有二,一是开启防火墙,二是自动处理开载入的模块ip_conntrack
error: "net.nf_conntrack_max"isan unknown key
error: "net.netfilter.nf_conntrack_max"isan unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_established"isan unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_time_wait"isan unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_close_wait"isan unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_fin_wait"isan unknown key
centos6.X解决方法:
modprobe nf_conntrack
echo "modprobe nf_conntrack">> /etc/rc.local
centos6.5内核优化的时候发现,如果不开启ip6tables去优化nf_conntrack模块去执行上面的解决方法会依旧提示上面的error。所以在优化服务的时候,可以选择留下iptables和ip6tables。当然如果不用iptables的话,在内核优化的时候就要去掉对nf_conntrack的设置,在进行/sbin/sysctl -p 是不会有错误提示的。
12. 如果安装sendmail必须定时自动清理/var/spool/clientmqueue/下文件防止inode节点被占满
#centos6.5已经不自动安装sendmail了所以没必要走这一步优化
mkdir -p /server/scripts
vi /server/scripts/spool_clean.sh
#!/bin/sh
find/var/spool/clientmqueue/-typef -mtime +30|xargsrm-f
13. 禁用不使用的用户
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以usermod -L或passwd -l user锁定。
cp /etc/passwd{,.bak} #修改之前先备份
vi /etc/passwd #编辑用户,在前面加上#注释掉此行
注释的用户名:
# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin
注释的组:
# cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89:
14. 关闭重启ctl-alt-delete组合键
vi /etc/init/control-alt-delete.conf
#注释掉
#exec /sbin/shutdown -r now "Control-Alt-Deletepressed"
15. 设置一些全局变量
#设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒
echo "TMOUT=3600">> /etc/profile
#历史命令记录数量设置为10条
sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile
#立即生效
source /etc/profile
执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50。
(责任编辑:IT)
内容目录
1. 配置网卡 ifup eth0 mv /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0.bak vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 #网卡设备名称 HWADDR=00:0C:29:D0:C7:B5 #以太网设备的对应的物理地址 TYPE=Ethernet #网络类型为以太网模式 UUID=080a457b-6a53-4a3a-9155-a23c1146c2c6 #通用唯一识别码 ONBOOT=yes #是否启动引导的时候激活YES NM_CONTROLLED=no #设备eth0是否可以由Network Manager图形管理工具托管 BOOTPROTO=static #静态IP地址获取状态, dhcp表示自动获取IP地址 IPADDR=192.168.1.10 #IP IPV6INIT=no IPV6_AUTOCONF=no NETMASK=255.255.255.0 #网卡对应的网络掩码 GATEWAY=192.168.1.1 #网关地址 网关配置 vi /etc/sysconfig/network #表示系统是否使用网络,一般设置为yes。如果设为no,则不能使用网络,而且很多系统服务程序将无法启动 NETWORKING=yes #设置本机的主机名,这里设置的主机名要和/etc/hosts中设置的主机名对应 HOSTNAME=localhost.localdomain #设置本机连接的网关的IP地址。例如,网关为10.0.0.1或者192.168.1.1 GATEWAY=192.168.1.1 修改主机DNS vi /etc/resolv.conf ; generated by /sbin/dhclient-script nameserver 8.8.8.8 nameserver 4.4.4.4 修改HOSTS vi /etc/hosts 127.0.0.1 localhost.localdomain #使用DNS域名服务器来解析名字 order bind hosts #一台主机是否存在多个IP multi on #如果用逆向解析找出与指定的地址匹配的主机名,对返回的地址进行解析以确认它确实与您查询的地址相配。为了防止“骗取”IP地址 nospoof on 重启网卡生效设置 service network restart 禁ping. 阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行: # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 或使用iptable禁ping: iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP 不允许ping其他主机:
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
防止IP欺骗. 编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。
order hosts,bind #名称解释顺序
multi on #允许主机拥有多个IP地址
nospoof on #禁止IP地址欺骗
2. 更新系统源并且升级系统 yum install wget #备份原系统更新源 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup #进入yum.repos.d目录 cd /etc/yum.repos.d #下载网易镜像源或者搜狐镜像源 wget http://mirrors.163.com/.help/CentOS6-Base-163.repo #或者 #下载搜狐镜像源: wget http://mirrors.sohu.com/help/CentOS-Base-sohu.repo #清空yum缓存 yum clean all #生存缓存 yum makecache #开始更新系统以及内核 yum upgrade #必备软件 yum install ntpdate -y 3. 系统时间更新, 设定时区 #查看时间 date 第一种:更新时间并且写入BOIS ntpdate time.windows.com hwclock -w hwclock --systohc #或者:查看时间服务器的时间 rdate time-b.nist.gov #设置时间和时间服务器同步: rdate -s time-b.nist.gov 第二种:更新时间并且写入定时任务 echo '*/30 * * * * ntpdate time.windows.com && hwclock -w && hwclock --systohc >/dev/null 2>&1' >>/var/spool/cron/root 第三种:每间隔5分钟和10分钟同步一次时间 echo '*/5 * * * * /usr/sbin/ntpdate time.windows.com >/dev/null 2 >&1' >>/var/spool/cron/root echo '*/10 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root
注意: CentOS 6.x的时间同步命令路径不一样 6是/usr/sbin/ntpdate 5是/sbin/ntpdate cd /usr/share/zoneinfo/Asia/ sudo cp Shanghai /etc/localtime
4. 创建普通用户并进行sudo授权管理 #sudo授权管理 打开sudo配置文件 visudo #找到 root ALL=(ALL) ALL #添加 someone ALL=(ALL) ALL
5. 修改SSH端口号和屏蔽root账号远程登陆 如果有可能,第一件事就是修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。 创建具备辨识度的应用用户如crm以及系统管理用户sysmgr # useradd crm -d /apps/crm # passwd crm # useradd sysmgr # passwd sysmgr 只允许wheel用户组的用户su切换 # usermod -G wheel sysmgr # vi /etc/pam.d/su # Uncomment the following line to require a user to be in the "wheel" group. auth required pam_wheel.so use_uid 其他用户切换root,即使输对密码也会提示 su: incorrect password 限制登录失败次数并锁定, 在/etc/pam.d/login后添加 auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180 登录失败5次锁定180秒,根据需要设置是否包括root。 登录IP限制. 严格的限制是在sshd_config中定死允许ssh的用户和来源ip: ## allowed ssh users sysmgr AllowUsers sysmgr@172.29.73.* 或者使用tcpwrapper: vi /etc/hosts.deny sshd:all vi /etc/hosts.allow sshd:172.29.73.23 sshd:172.29.73.
#备份SSH配置 cp /etc/ssh/sshd_config sshd_config_bak #修改SSH安全配置 vi /etc/ssh/sshd_config #SSH链接默认端口 port 52113 #禁止root账号登陆 PermitRootLogin no #禁止空密码 PermitEmptyPasswords no #不使用DNS UseDNS no 重新载入SSH配置 /etc/init.d/sshd reload 查看端口里面是否有刚才修改过的端口号52113 netstat -lnt 或者反查端口是那个进程
lsof -i tcp:52113
配置只能使用密钥文件登录 [dir@username ~]$ ssh-keygen -t rsa -b 2048 Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): //默认路径,回车 Enter passphrase (empty for no passphrase): //输入你的密钥短语,登录时使用 Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: 3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net The key's randomart image is: +--[ RSA 2048]----+ | | … | o++o..oo..o| +-----------------+ 将公钥重命名为authorized_key: $ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys $ chmod 600 ~/.ssh/authorized_keys
下载私钥文件 id_rsa 到本地(为了更加容易识别,可重命名为hostname_username_id_rsa),保存到安全的地方。以后 username 用户登录这台主机就必须使用这个私钥,配合密码短语来登录(不再使用 username 用户自身的密码) RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys 我们要求 username 用户(可以切换到其他用户,特别是root)必须使用ssh密钥文件登录,而其他普通用户可以直接密码登录。因此还需在sshd_config文件最后加入:
Match User itsection
PasswordAuthentication no
重启sshd服务 # service sshd restart 另外提醒: 这对公钥和私钥一定要单独保存在另外的机器上, 服务器上丢失公钥或连接端丢失私钥(或密钥短语), 可能导致再也无法登陆服务器获得root权限!
6. 锁定关键文件系统(禁止非授权用户获得权限) chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务 chattr +i /etc/pam.d/su chattr +i /etc/ssh/sshd_config chattr +i /etc/inittab 显示文件的属性 lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config 注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
7. 精简开机自启动服务 # chkconfig --list |grep '3:on' 邮件服务,使用公司邮件服务器: service postfix stop chkconfig postfix --level 2345 off 通用unix打印服务,对服务器无用: service cups stop chkconfig cups --level 2345 off 调节cpu速度用来省电,常用在Laptop上: service cpuspeed stop chkconfig cpuspeed --level 2345 off 蓝牙无线通讯,对服务器无用: service bluetooth stop chkconfig bluetooth --level 2345 off 系统安装后初始设定,第一次启动系统后就没用了: service firstboot stop chkconfig firstboot --level 2345 off 关闭nfs服务及客户端: service netfs stop chkconfig netfs --level 2345 off service nfslock stop chkconfig nfslock --level 2345 off 如果要恢复某一个服务,可以执行下面操作: service acpid start && chkconfig acpid on 查询开启的服务 chkconfig –list | grep 3:on 或者 chkconfig –list|grep 3:启用 [~]$ chkconfig --list|grep 3:启用 crond 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭 ip6tables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭 iptables 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭 network 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭 rsyslog 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭 sshd 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
8. 调整文件描述符大小 #查看文件描述符大小 ulimit -n # 调整 vi /etc/security/limits.conf * soft nofile 65535 * hard nofile 65535 * soft nproc 65535 * hard nproc 65535 * soft nofile 65535 * hard nofile 65535
防止DoS攻击 * soft core 0 * soft nproc 2048 * hard nproc 16384 * soft nofile 1024 * hard nofile 65536
core 0 表示禁止创建core文件; session required pam_limits.so limits.conf参数的值需要根据具体情况调整。
9. 设置系统字符集 vi /etc/sysconfig/i18n #如果想用中文提示:LANG=”zh_CN.UTF-8″ 如果想用英文提示:LANG=”en_US.UTF-8″ 如果临时切换也可以 LANG=zh_CN.UTF-8 第二种:使用sed快速替换 #替换成英文 sed -i 's#LANG="zh_CN.*"#LANG="en_US.UTF-8"#' /etc/sysconfig/i18n #替换成中文 sed -i 's#LANG="en_US.*"#LANG="zh_CN.UTF-8"#' /etc/sysconfig/i18n #替换成UTF-8中文 sed -i 's#LANG="zh_CN.*"#LANG="zh_CN.UTF-8"#' /etc/sysconfig/i18n
10. 清理登陆的时候显示的系统及内核版本 #查看登陆信息 cat /etc/redhat-release cat /etc/issue #清理登陆信息 echo >/etc/redhat-release echo >/etc/issue
11. 内核参数优化 vi /etc/sysctl.conf #可用于apache,nginx,squid多种等web应用 net.ipv4.tcp_max_syn_backlog = 65536 net.core.netdev_max_backlog = 32768 net.core.somaxconn = 32768 net.core.wmem_default = 8388608 net.core.rmem_default = 8388608 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 2 # 恶意请求通常都是短连接请求,大量的短连接会处于 timewait 状态,几分钟之后才会释放,这样会占用大量的资源,通过调整内核参数,尽快释放或者重用 timewait 状态的连接,减少资源的开销。 # 打开TIME-WAIT sockets快速回收 net.ipv4.tcp_tw_recycle = 1 #net.ipv4.tcp_tw_len = 1 # 允许TIME-WAIT sockets复用 net.ipv4.tcp_tw_reuse = 1 # 降低系统连接数和资源占用,默认为18w net.ipv4.tcp_max_tw_buckets=10000 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_max_orphans = 3276800 #net.ipv4.tcp_fin_timeout = 30 #net.ipv4.tcp_keepalive_time = 120 net.ipv4.ip_local_port_range = 1024 65535 #以下参数是对centos6.x的iptables防火墙的优化,防火墙不开会有提示,可以忽略不理。 #如果是centos5.X需要吧netfilter.nf_conntrack替换成ipv4.netfilter.ip #centos5.X为net.ipv4.ip_conntrack_max = 25000000 net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120 立即生效 /sbin/sysctl -p centos6.5可能会报错 error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key error: "net.bridge.bridge-nf-call-iptables" is an unknown key error: "net.bridge.bridge-nf-call-arptables" is an unknown key 出现这个的原因是,没有自动载入bridge桥接模块 modprobe bridge echo "modprobe bridge">> /etc/rc.local
查看桥接 lsmod|grep bridge
centos5.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入, error: "net.ipv4.ip_conntrack_max"is an unknown key error: "net.ipv4.netfilter.ip_conntrack_max"is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_established"is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait"is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait"is an unknown key error: "net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait"is an unknown key centos5.X解决方法: modprobe ip_conntrack echo "modprobe ip_conntrack">> /etc/rc.local
centos6.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入, error: "net.nf_conntrack_max"isan unknown key error: "net.netfilter.nf_conntrack_max"isan unknown key error: "net.netfilter.nf_conntrack_tcp_timeout_established"isan unknown key error: "net.netfilter.nf_conntrack_tcp_timeout_time_wait"isan unknown key error: "net.netfilter.nf_conntrack_tcp_timeout_close_wait"isan unknown key error: "net.netfilter.nf_conntrack_tcp_timeout_fin_wait"isan unknown key centos6.X解决方法: modprobe nf_conntrack echo "modprobe nf_conntrack">> /etc/rc.local
centos6.5内核优化的时候发现,如果不开启ip6tables去优化nf_conntrack模块去执行上面的解决方法会依旧提示上面的error。所以在优化服务的时候,可以选择留下iptables和ip6tables。当然如果不用iptables的话,在内核优化的时候就要去掉对nf_conntrack的设置,在进行/sbin/sysctl -p 是不会有错误提示的。 12. 如果安装sendmail必须定时自动清理/var/spool/clientmqueue/下文件防止inode节点被占满 #centos6.5已经不自动安装sendmail了所以没必要走这一步优化 mkdir -p /server/scripts vi /server/scripts/spool_clean.sh #!/bin/sh find/var/spool/clientmqueue/-typef -mtime +30|xargsrm-f
13. 禁用不使用的用户 注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以usermod -L或passwd -l user锁定。 cp /etc/passwd{,.bak} #修改之前先备份 vi /etc/passwd #编辑用户,在前面加上#注释掉此行 注释的用户名: # cat /etc/passwd|grep ^# #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown #halt:x:7:0:halt:/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin #nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin #postfix:x:89:89::/var/spool/postfix:/sbin/nologin 注释的组: # cat /etc/group|grep ^# #adm:x:4:adm,daemon #lp:x:7:daemon #uucp:x:14: #games:x:20: #gopher:x:30: #video:x:39: #dip:x:40: #ftp:x:50: #audio:x:63: #floppy:x:19: #postfix:x:89:
14. 关闭重启ctl-alt-delete组合键 vi /etc/init/control-alt-delete.conf #注释掉 #exec /sbin/shutdown -r now "Control-Alt-Deletepressed"
15. 设置一些全局变量 #设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒 echo "TMOUT=3600">> /etc/profile #历史命令记录数量设置为10条 sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile #立即生效 source /etc/profile 执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50。 (责任编辑:IT) |