1、修改主機名 方法一# hostname 主機名 ##臨時修改主機名 方法二#vim /etc/hostname ##修改hostname文件重啟系統生效 將localhost.localdomain改為自定的主機名 2、設置sudo給用戶 # vim /etc/sudoers ##編輯sudoe ...
1、修改主機名
方法一# hostname 主機名 ##臨時修改主機名
方法二#vim /etc/hostname ##修改hostname文件重啟系統生效
將localhost.localdomain改為自定的主機名
2、設置sudo給用戶
# vim /etc/sudoers ##編輯sudoers文件
可以添加單個用戶或者也可以添加組( wheel前面的% 表示wheel是組, 如果沒有%則表示wheel是普通用戶 )
用戶名 ALL=(ALL) NOPASSWD: ALL ##設置添加的用戶使用sudo命令不用密碼
註意:該文件是只讀文件,修改後需要wq!保存退出
3、用戶密碼策略設置(定期修改密碼、密碼複雜度設置)
一、設置口令生存期
#vim /etc/login.defs ##修改login.defs文件
PASS_MAX_DAYS 用戶密碼不過期最多的天數
PASS_MIN_DAYS 密碼修改之間最小的天數
PASS_MIN_LEN
PASS_WARN_AGE 口令失效前多少天通知用戶修改密碼
二、密碼複雜度設置
#vim /etc/pam.d/system-auth ##修改文件
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
參數含義如下所示:
difok:本次密碼與上次密碼至少不同字元數
minlen:密碼最小長度,此配置優先於login.defs中的PASS_MAX_DAYS
ucredit:最少大寫字母
lcredit:最少小寫字母
dcredit:最少數字
retry:重試多少次後返回密碼修改錯誤
註意:修改ssh相關配置文件前,記得做好備份。
4、設置雙網卡綁定
可以參考下一章
5、系統版本信息
#cat /etc/issue ##查看系統版本信息
# cat /etc/redhat-release ##查看系統版本信息
# uname -a ##查看內核信息
6、關閉selinux,firewalld設置
##修改selinux
#getenforce ##可以查看到selinux是否開啟
#setenforce (0|1) ##0臨時關閉,1臨時打開
# vim /etc/selinux/config ##修改config文件永久生效
SELINUX=disabled
##修改firewalld
#systemctl status firewalld ##查看狀態
#systemctl stop|start firewalld ##停止或關閉
#systemctl disable firewalld ##設置開機關閉
7、設置limit打開文件數大小
#vim /etc/security/limits.conf
* soft nproc 11000 #限制最多打開的軟體數
* hard nproc 11000 #限制打開軟體的最多進程數
* soft nofile 655350#限制最多打開的文件數
* hard nofile 655350#限制最多運行的進程數,一般設置為65535
8、遠程連接控制(關閉一些用戶的遠程訪問)
一、禁止root用戶遠程登錄
#vim /etc/ssh/ssh_config ##修改ssh_config文件
修改 PermitRootLogin yes 改為no
二、限制終端ip遠程登錄
#vim /etc/ssh/sshd_config ##修改sshd_config文件
Allowusers root@終端ip ##添加內容(root用來登入伺服器的用戶名)
#systemctl restart sshd ##重啟sshd服務
9、設置sysctl
#優化TCP
vi /etc/sysctl.conf
#禁用包過濾功能
net.ipv4.ip_forward = 0
#啟用源路由核查功能
net.ipv4.conf.default.rp_filter = 1
#禁用所有IP源路由
net.ipv4.conf.default.accept_source_route = 0
#使用sysrq組合鍵是瞭解系統目前運行情況,為安全起見設為0關閉
kernel.sysrq = 0
#控制core文件的文件名是否添加pid作為擴展
kernel.core_uses_pid = 1
#開啟SYN Cookies,當出現SYN等待隊列溢出時,啟用cookies來處理
net.ipv4.tcp_syncookies = 1
#每個消息隊列的大小(單位:位元組)限制 重要
kernel.msgmnb = 65536
#整個系統最大消息隊列數量限制 重要
kernel.msgmax = 65536
#單個共用記憶體段的大小(單位:位元組)限制,計算公式64G*1024*1024*1024(位元組)
kernel.shmmax = 68719476736
#所有記憶體大小(單位:頁,1頁 = 4Kb),計算公式16G*1024*1024*1024/4KB(頁)
kernel.shmall = 4294967296
#timewait的數量,預設是180000
net.ipv4.tcp_max_tw_buckets = 6000
#開啟有選擇的應答
net.ipv4.tcp_sack = 1
#支持更大的TCP視窗. 如果TCP視窗最大超過65535(64K), 必須設置該數值為1
net.ipv4.tcp_window_scaling = 1
#TCP讀buffer
net.ipv4.tcp_rmem = 4096 131072 1048576
#TCP寫buffer
net.ipv4.tcp_wmem = 4096 131072 1048576
#為TCP socket預留用於發送緩衝的記憶體預設值(單位:位元組)
net.core.wmem_default = 8388608
#為TCP socket預留用於發送緩衝的記憶體最大值(單位:位元組)
net.core.wmem_max = 16777216
#為TCP socket預留用於接收緩衝的記憶體預設值(單位:位元組)
net.core.rmem_default = 8388608
#為TCP socket預留用於接收緩衝的記憶體最大值(單位:位元組)
net.core.rmem_max = 16777216
#每個網路介面接收數據包的速率比內核處理這些包的速率快時,允許送到隊列的數據包的最大數目 重要
net.core.netdev_max_backlog = 262144
#web應用中listen函數的backlog預設會給我們內核參數的net.core.somaxconn限制到128,而nginx定義的
NGX_LISTEN_BACKLOG預設為511,所以有必要調整這個值
net.core.somaxconn = 262144
#系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。這個限制僅僅是為了防止簡單的DoS攻
擊,不能過分依靠它或者人為地減小這個值,更應該增加這個值(如果增加了記憶體之後)
net.ipv4.tcp_max_orphans = 3276800
#記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M記憶體的系統而言,預設值是1024,小記憶體
的系統則是128
net.ipv4.tcp_max_syn_backlog = 262144
#時間戳可以避免序列號的卷繞。一個1Gbps的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異
常”的數據包。這裡需要將其關掉
net.ipv4.tcp_timestamps = 0
#為了打開對端的連接,內核需要發送一個SYN並附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第
二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK包的數量
et.ipv4.tcp_synack_retries = 1
在內核放棄建立連接之前發送SYN包的數量
net.ipv4.tcp_syn_retries = 1
#開啟TCP連接中time_wait sockets的快速回收
net.ipv4.tcp_tw_recycle = 1
#開啟TCP連接復用功能,允許將time_wait sockets重新用於新的TCP連接(主要針對time_wait連接)重要
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 15
#表示當keepalive起用的時候,TCP發送keepalive消息的頻度(單位:秒) 重要
net.ipv4.tcp_keepalive_time = 30
#對外連接埠範圍
net.ipv4.ip_local_port_range = 2048 65000
#表示文件句柄的最大數量
fs.file-max = 102400
10、時間同步
#ntpdata ntp1.aliyun.com ##同步阿裡雲的伺服器時間
11、歷史記錄
#vim /etc/profile ##修改歷史命令保存記錄,預設值是1000,可以自定義修改
HISTSIZE=1000
# history -cw ## 清除所有歷史
# echo > .bash_history ## 清除保存的用戶操作歷史記錄該文件記錄了用戶所使用的命令和歷史信息
12、系統日誌存放日誌伺服器
#vim /etc/rsyslog.conf ##編輯rsyslog.conf文件
*.* @日誌伺服器ip ##添加內容,將系統日誌發送到日誌伺服器上
#systemctl restart rsyslog ##重啟syslog服務
13、修改ssh
一、ssh遠程登錄失敗處理(限制登錄次數)
#vim /etc/pam.d/sshd ##修改sshd文件
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600 ##表示登錄次數限制,3次鎖定5分鐘
二、修改ssh遠程埠號
#vim /etc/ssh/ssh_config ##修改ssh_config文件
Port 22 ##修改自定義埠,預設埠22
#iptable -I INPUT -p tcp --dport 埠 -j ACCEPT ##防火牆開放埠
#systemctl restart sshd ##重啟sshd服務修改生效
註意:修改ssh相關配置文件前,記得做好備份。
三、設置ssh超時時間
#vim /etc/profile或者#vim /etc/bashrc ##修改這兩個文件都可以
Export TMOUT=60(以秒為單位) ##添加內容
