一、最小化原則 (1)安裝最小化 (2)開機啟動服務最小化 (3)操作最小化 (4)許可權最小化 (5)配置參數合理,不要最大化 二、埠優化 遠程登錄的埠預設是22號埠,這是大家都知道的。所以為了安全著想,我們要修改伺服器遠程連接埠,這樣黑客就不好破解你的linux伺服器。同時,預設登錄的用戶 ...
一、最小化原則
(1)安裝最小化
(2)開機啟動服務最小化
(3)操作最小化
(4)許可權最小化
(5)配置參數合理,不要最大化
二、埠優化
遠程登錄的埠預設是22號埠,這是大家都知道的。所以為了安全著想,我們要修改伺服器遠程連接埠,這樣黑客就不好破解你的linux伺服器。同時,預設登錄的用戶名為root,我們可以修改配置,使遠程不能使用root登錄。方法,更改ssh服務遠程登錄的配置。
vim /etc/ssh/sshd_config #更改前先備份 Port 22 #修改埠(隨便改為其他的,自己記住) PermitRootLogin yes #yes改為no,不允許root登錄 PermitEmptyPasswords no #靜止空密碼登錄 UseDns no #不使用DNS service sshd restart 重啟ssh服務
臨時關閉防火牆
service iptables stop
永久關閉防火牆
chkconfig --level 35 iptables off
三、sudo讓普通用戶可以擁有定製的root許可權功能
sudo+命令 普通用戶使用root授予普通用戶的特定許可權
普通用戶模式下 sudo-l查看你擁有什麼許可權
visudo 修改sudo許可權(本質是修改/etc/sudoers)
四、內核的優化
vim /etc/sysctl.conf net.ipv4.tcp_fin_timeout=2 net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_tw_recycle=1 net.ipv4.tcp_syncookiies=1 net.ipv4.tcp_keepalive_time=600 net.ipv4.ip_local_port_range=4000 65000 net.ipv4.tcp_max_syn_backlog=16384 net.ipv4.tcp_max_tw_buckets=36000 net.ipv4.route.gc_timeout=100 net.ipv4.tcp_syn_retries=1 net.ipv4.tcp_synack_retries=1 net.core.somaxconn=16384 net.core.netdev_max_backlog=16384 net.ipv4.tcp_max_orphans=16384 net.nf_conntrack_max=25000000 net.netfilter.nf_conntrack_max=25000000 net.netfilter.nf_conntrack_tcp_timeout_established=180 net.netfilter.nf_conntrack_tcp_timeout_time_wait=120 net.netfilter.nf_conntrack_tcp_timeout_close_wait=60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
將以上的配置信息加入文件的最後即可。
五、防火牆的優化
也是以上的文件內,加入以下代碼
net.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_max = 25000000 net.netfilter.nf_conntrack_tcp_timeout_established = 180 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
sysctl -p使上面加入的代碼生效。
六、增加系統安全
隱藏系統版本:
[root@cai ~]# >/etc/issue [root@cai ~]# cat /dev/null
鎖定關鍵文件系統:
[root@cai ~]# chattr +i /etc/passwd /etc/gshadow /etc/inittab
七、linux優化總結
1)不用root,添加普通用戶,通過sudo授權管理(visudo)
2)更改預設的遠程連接ssh埠及靜止root遠程登錄
3)定時更新伺服器時間
4)配置yum更新源,從國內更新源下載安裝rpm包(阿裡雲比163要好一點)
5)關閉selinux及iptables(iptables工作場景如果wan ip一般要打開,高開發除外)
6)調整文件描述符數量
7)定時清理/var/spool/clientmqene/目錄垃圾文件,防止inodes節點被沾滿(centos6.5有預設清理不需要設置)
8)精簡開機自啟動服務(crond,ssh,network,syslog)
9)以上有
八linux系統安裝包安裝方式
以安裝apache為例
1)源碼編譯安裝apache:比較靈活,只編譯你想要的參數(中小公司常用)
2)yum或rpm安裝:簡單,但是不夠靈活
3)高級安裝結合了編譯和yum、rpm的雙重優點:通過源碼(根據自己業務需求)製作符合自己的rpm放入自己的yum倉庫中,然後在全網服務端通過yum實現批量部署、管理、升級。
