centos-5.x安装后的几点优化 安全 2011-04-26更新

1. 解决使用putty远程访问centos出现乱码的问题
编辑 vi /etc/sysconfig/i18n这个文件，不管你装的是中文版,还是英文版.删掉原来的配置,把下面的拷贝过去
LANG="zh_CN.GB18030"
SUPPORTED="zh_CN.GB18030:zh_CN:zh:en_US.UTF-8:en_US:en"
SYSFONT="latarcyrheb-sun16"
注:I18N 是 internationalization 的缩写形式，意即在 i 和 n 之间有 18 个字母，本意是指 软件的“国际化”。
I18N支持多种语言，但是同一时间只能是英文和一种选定的语言，例如英文中文、英文 德文、英文 韩文等等。
更好的解决方法

http://moneypy.blog.51cto.com/745631/335048

2. 检查系统是否正常
# more /var/log/messages （检查有无系统内核级 错误信息）
# dmesg （检查硬件设备是否有错误信息）
# ifconfig（检查网卡 设置是否正确）
# ping 4.4.4.4 （检查网络是否正常，dns是否配置正确cat etc/resolv.conf）
关闭不需要的 服务
# ntsysv
以下的服务按需要开启.

apmd
(高级电源管理)
auditd
(审核信息，将消息写入控制台以及 audit_warn 电子邮件别名。用于存放内核生成的系统审查记录，这些记录会被一些程序使用。特别是对于SELinux 用户来说。)
cpuspeed
(监测系统空闲百分比，降低或加快CPU时钟 速度和电压从而在系统空闲时将能源消耗降为最小，而在系统繁忙时最大化加快系统执行速度。)
crond
(自动计划任务)
mdmonitor
mdmpd
(RAID相关设备的守护程序。)
messagebus
(事件监控 服务，在必要时向所有用户发送广播信息,如 服务器将要重启。)
network
(激活已配置网络接口的脚本程序)
readahed_early
readahead_later
(开机内存载入优化)
smartd
(监控你的硬盘是否出现故障。)
sshd
(OpenSSH服务器守护进程。远程服务进程)
syslog
(系统日志)
yum-updatesd
(RPM操作系统自动升级和 软件包管理守护进程。)

3. 配置yum
更换yum的升级列表
cd /etc/yum.repos.d
mv CentOS-Base.repo  CentOS-Base.repo.save
wget http://centos.ustc.edu.cn/CentOS-Base.repo.5
mv CentOS-Base.repo.5 CentOS-Base.repo

4. 更新所有系统中的程序，包括内核
# yum upgrade

(yum update 排除升级内核，方法有两个:)
1.修改yum的配置文件 vi /etc/yum.conf，
在[main]的最后添加exclude=kernel*
2.直接在yum的 命令行执行如下的命令：
yum --exclude=kernel* update

5. 定时校正服务器时间

#修改系统的时区

rm -rf /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

# yum install ntp
# vi /etc/crontab
加入一行：

*/15 * * * * ntpdate tiger.sina.com.cn

 

*/15 * * * * root /sbin/ntpdate tiger.sina.com.cn >> /time.txt

每15分钟同步一次并记录

6. 停止网卡对ipv6的支持
#vi /etc/modprobe.conf ← 修改相应配置文件，添加如下行到文尾：
alias net-pf-10 off
alias ipv6 off
上述操作重启后生效

7. 让系统运行在init 3的模式下
#vi /etc/inittab
###表示当前缺省运行级别为5(initdefault)；
id:5:initdefault: ← 将此处的5修改为3。

8. 使用 yum 程序安装所需开发包
（以下为标准的 RPM 包名称）
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel openldap openldap-devel nss_ldap openldap-clients openldap-servers

9. Linux SSH 安全策略二：更改 SSH 端口
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法：
# 编辑 /etc/ssh/ssh_config
vi /etc/ssh/ssh_config  
# 在 Host * 下 ，加入新的 Port 值。以 18439 为例（下同）：
Port 22  
Port 18439
# 编辑 /etc/ssh/sshd_config
vi /etc/ssh/sshd_config  
#加入新的 Port 值
Port 22  
Port 18439
# 保存后，重启 SSH 服务：
service sshd restart  
这里我设置了两个端口，主要是为了防止修改出错导致 SSH 再也登不上。
更改你的 SSH 客户端(例如：Putty)的连接端口，测试连接，如果新端口能连接成功，则再编辑上面两个文件，删除 Port 22 的配置。
如果连接失败，而用 Port 22 连接后再重新配置。
端口设置成功后，注意同时应该从 iptables 中， 删除22端口，添加新配置的 18439，并重启 iptables。
如果 SSH 登录密码是弱密码，应该设置一个复杂的密码。

10.禁用selinux （建议开启，但权限需要单独配置）

vi /etc/selinux/config

SELINUX=disable  禁用SeLinux

SELINUX=enforcing  使用SeLinux