linux 服务器 生产环境初始化环境

【1、删除部分不需要的用户和组：】
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
userdel adm
userdel lp
userdel news
userdel uucp
userdel games
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip


【2、防止DOS攻击:】
vim /etc/security/limits.conf
加入以下配置:
*               hard   core            0
*               hard    rss             10000
*               hard    nproc           20
以上根据需求而论！



【3、修改root帐户密码越复杂越好:】
[root@localhost  ~]# passwd
Changing password for user root.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.


【4、禁止IP伪装】
vim /etc/host.conf
在里面加上：
nospoof on


【5、禁止ping 用户使用ping不做任何反映】

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 禁止ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 解除禁止ping操作


【6、远程5分钟无操作自动注销:】
vim /etc/profile
最后添加:
export TMOUT=300   ---5分钟自动注销下来
找到
HISTSIZE=1000
修改为:
HISTSIZE=100 --减少日记字节为100KB,太大内容过多容易漏重要信息.


【7、修改SSH 端口】
vim /etc/ssh/sshd_config
Port 22 修改 18888
PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器!
MaxAuthTries 2 两次不行就切断重新SSH启动登入
proteal  2

【8,关闭无用的端口】
vi /etc/sysconfig/iptables


【9，关闭selinux 】
sed –i ‘s/SELINUX=enforcing/SELINUX=disabled/g’ /etc/selinux/config


【4、更新yum源及必要软件安装】
yum安装软件，默认获取rpm包的途径从国外官方源，改成国内的源。
国内较快的两个站点：搜狐镜像站点、网易镜像站点
法1：自己配置好安装源配置文件，然后上传到linux。
法2：使用镜像站点配置好的yum安装源配置文件

[root@c64 ~]# cd /etc/yum.repos.d/
[root@c64 yum.repos.d]# /bin/mv CentOS-Base.repo CentOS-Base.repo.bak
[root@c64 yum.repos.d]# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
接下来执行如下命令，检测yum是否正常

[root@c64 yum.repos.d]# yum clean all  #清空yum缓存
[root@c64 yum.repos.d]# yum makecache  #建立yum缓存



【5、定时自动更新服务器时间】

[root@c64 ~]# echo '*/5 * * * * /usr/sbin/ntpdate time.windows.com >/dev/null 2 >&1' >>/var/spool/cron/root
[root@c64 ~]# echo '*/10 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root


【6，禁止CTRL+ALT+DEL 重启】
编辑/etc/inittab

注释 ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

【7,服务详情】

amd：自动安装NFS（网络文件系统）守侯进程
apmd:高级电源管理
Arpwatch：记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库
atd 运行用户用At命令调度的任务。也在系统负荷比较低时 运行批处理任务。
Autofs：自动安装管理进程automount，与NFS相关，依赖于NIS
Bootparamd：引导参数服务器，为LAN上的无盘工作站提供引导所需的相关信息
crond：Linux下的计划任务
Dhcpd：启动一个DHCP（动态IP地址分配）服务器
Gated：网关路由守候进程，使用动态的OSPF路由选择协议
gpm gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了
鼠标的支持。它也支持控制台鼠标的拷贝，粘贴操作以及弹出式菜单。
Httpd：WEB服务器
Inetd：支持多种网络服务的核心守候程序
Innd：Usenet新闻服务器
keytable 该程序的功能是转载您在/etc/sysconfig/keyboards里说明的键盘
映射表，该表可以通过kbdconfig工具进行选 择。您应该使该程序
处于激活状态。
ldap LDAP代表Lightweight Directory Access Protocol， 实现了目录
访问协议的行业标准。
Linuxconf：允许使用本地WEB服务器作为用户接口来配置机器
Lpd：打印服务器
Mars-nwe：mars-nwe文件和用于Novell的打印服务器
mcserv Midnight Commander服务进程允许远程机器上的用户通过Midnight
Commander文件管理器操作本机文件。服务进程用PAM来验证用户，
需要给出“用户名/口令”以通过验证
named：DNS服务器
netfs：安装NFS、Samba和NetWare网络文件系统
network：激活已配置网络接口的脚本程序
nfs：打开NFS服务
nscd：nscd(Name Switch Cache daemon)服务器，用于NIS的一个支持服务，它高速缓存用户口令和组成成员关

系
Pcmcia pcmcia主要用于支持笔记本电脑。
portmap：RPC portmap管理器，与inetd类似，它管理基于RPC服务的连接
postgresql：一种SQL数据库服务器
random 保存和恢复系统的高质量随机数生成器，这些随机数是系统一些随
机行为提供的
routed：路由守候进程，使用动态RIP路由选择协议
rstatd：一个为LAN上的其它机器收集和提供系统信息的守候程序
ruserd：远程用户定位服务，这是一个基于RPC的服务，它提供关于当前记录到LAN上一个机器日志中的用户信

息
rwalld：激活rpc.rwall服务进程，这是一项基于RPC的服务，允许用户给每个注册到LAN机器上的其他终端写消

息
rwhod：激活rwhod服务进程，它支持LAN的rwho和ruptime服务
sendmail：邮件服务器sendmail
smb：Samba文件共享/打印服务
snmpd：本地简单网络管理候进程
squid：激活代理服务器squid
syslog：一个让系统引导时起动syslog和klogd系统日志守候进程的脚本
Webmin webmin是基于web的集系统管理与网络管理于一身的强大管理工具。
利用webmin的强大功能，用户可以通过web浏览器来方便地设置自
己的服务器、dns、samba、nfs、本地/远程文件系统以及许多其他的
系统配置。
xfs：X Window字型服务器，为本地和远程X服务器提供字型集
xntpd：网络时间服务器
ypbind：为NIS（网络信息系统）客户机激活ypbind服务进程
yppasswdd：NIS口令服务器
ypserv：NIS主服务器
gpm：管鼠标的
identd：AUTH服务，