关于安全系统的调优:

1、关闭selinux安全策略

sed -i s#SELINUX=enforcing#SELINUX=disabled#g /etc/sysconfig/selinux


for oldboy in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "crond|network|sshd|rsyslog"`;do chkconfig $oldboy off;done

这条命令的意思是排除crond|network|sshd|rsyslog这四个服务,其他的全部关闭

最小化原则:

1)安装系统最小化原则

2)开启程序服务最小化原则

3)操作最小化原则

4)登录最小化原则,平时没有需求不用root登录,要用普通用户登录

5)权限最小化原则

6)配置参数合理,不要最大化。


关于ssh服务器端的安全调优,更改/etc/ssh/sshd_config配置文件

Port 12345                       改端口,默认是22端口

PermitRootLogin no               禁止root登录

UseDNS no                        不使用DNS

PermitEmptyPasswords no          禁止空密码登录

GSSAPIAuthentication no          linux下ssh远程连接服务慢解决方案

更改之后重新加载

/etc/init.d/sshd restart


sudo                            授权

visudo                          可以编辑授权      98行


修改中文显示(默认的字符集的路径:/etc/sysconfig/il8n)

LANG="zh_CN.GB18030"            中文字符集

用source使其生效  source /etc/sysconfig/il8n


时间同步

作业:ntp服务器的配置


加大服务器文件描述符

ulimit -n                    查看文件描述符

ulimit -HSn   65535          加大文件描述符至65535     临时性的

echo '*  -  nofile   65535' >> /etc/security/limits.conf   永久生效 



调整内核参数文件       /etc/sysctl.conf         sysctl -p   生效

下面以常见生产环境linux的内核优化为例讲解,仅供大家参考:

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 400065000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。

net.ipv4.ip_conntrack_max = 25000000

net.ipv4.netfilter.ip_conntrack_max=25000000

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180

net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60

net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120


隐藏系统和内核版本号

>/etc/issue

cat /dev/null > /etc/isssue


锁定关键系统文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

解锁系统文件命令

chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab   改变文件属性

lsattr 文件名               查看某个文件是否加锁


linux基础优化总结:

1、不用root,添加普通用户,通过sudo授权管理

2、更改默认的远程连接ssh服务端口及禁止root用户远程连接

3、定时自动更新服务器时间

4、配置yum更新源,从国内更新源下载安装rpm包

5、关闭selinux及iptables

6、调整文件描述符的数量,进程及文件的打开都会消耗文件描述符

7、精简开机自启动服务(crond,sshd,network,rsyslog)

8、linux内核参数优化/etc/sysctl.conf,执行sysctl -p生效

9、更改字符集,支持中文,但建议还是用英文字符集,防止乱码问题

10、锁定关键系统文件

11、定时自动清理/var/spool/clientmquene/目录垃圾文件,防止inodes节点被占满(开启sendmail的前提下)

12、清空/etc/issue,去除系统及内核版本登录前的屏幕显示