系统基本优化

1 ssh登陆的优化

vim /etc/ssh/sshd_config

42 PermitRootLogin no     允许root登录

65 PermitEmptyPasswords no   允许空密码登录

80 GSSAPIAuthentication no    sshp

122 UseDNS no              DNS搜索

关闭ssh服务X11转发功能
#vi /etc/ssh/sshd_config
设置下面为no
X11Forwarding no

 

2 历史记录，登陆时间，字符集 主机操作的时间 等待自动退出

echo 'HISTSIZE=5' >>/etc/profile

echo 'TMOUT=300' >>/etc/profile

echo 'HISTFILESIZE=5' >>/etc/profile

\cp /etc/sysconfig/i18n /etc/sysconfig/i18n.$(date +%y%m%d)

echo 'LANG="en_US.UTF-8"' >/etc/sysconfig/i18n

vi /etc/profile

HISTTIMEFORMAT="%F %T "     主机操作的时间

vi /etc/profile
TMOUT=300         300秒不操作，自动退出

 

3 操作记录

记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间，来源IP，以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容：
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令：
#touch /var/log/useraudit.log
#chmod 777 /var/log/useraudit.log
#chattr +a /var/log/useraudit.log

 

4 关闭系统不使用的服务
为了增强系统的安全性，关闭一些系统不使用的系统服务。
Chkconfig nfslock off
Chkconfig portmap off
Chkconfig ip6tables off
chkconfig iptables off
chkconfig xinetd off
chkconfig avahi-daemon off
chkconfig avahi-dnsconfd off

chkconfig avahi-daemon off ## Avahi服务

 

5 修改root 名称

将root管理员名称修改为gly
创建gly用户
#useradd -u 0 -g 0-o gly
给gly设置密码
#passwd gly
锁定root用户
#passwd -l root

 

6 禁止Ctrl+Alt+Delete重新启动机器命令
#vi /etc/inittab文件
将“ca：：ctrlaltdel：/sbin/shutdown -t3 -r now”一行注释掉。

 

7 禁用USB口
/sbin/modprobe -r usb-uhci 禁用USB口
/sbin/modprobe -a usb-uhci 启用USB口

 

8 修改文件权限
chmod 600 /etc/passwd
chmod -R 700 /etc/rc*
chmod -R 700 /etc/init.d/

 

9 添加登录提示
/etc/issue 从本地登陆显示的信息
/etc/issue.net 从网络登陆显示的信息
/etc/motd 登录成功后显示的信息
在这三个文件中添加下面信息：
Warning: Your login and access has been monitored, illegal operations will be severely punished or legal proceedings.

 

10 ulimit 优化

[root@hexudong ~]# ulimit -n

1024      系统的进程比它还多，所以就不够用了。

ulimit -HSn 65536  临时加大，重新登陆就没有了

echo "*               _       nofile          65535" >>/etc/security/limits.conf

source 一下

domain  类型  选项 值

一但1024不够用，进程就起不来了。

对内核而言，，所有打开文件都通过文件描述符引用。

查看系统允许打开的最大文件数

#cat /proc/sys/fs/file-max

查看每个用户允许打开的最大文件数

ulimit -a

/etc/rc.local

unlimit �Cn 4096

修改打开文件数

cat /proc/sys/fs/file-max

系统句柄文件数

 

11   查看SELinux状态：

1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态

SELinux status: enabled

2、getenforce ##也可以用这个命令检查

关闭SELinux：

1、临时关闭（不用重启机器）：

setenforce 0 ##设置SELinux 成为permissive模式

##setenforce 1 设置SELinux 成为enforcing模式

2、修改配置文件需要重启机器：

修改/etc/selinux/config 文件

将SELINUX=enforcing改为SELINUX=disabled

重启机器即可

 

12 优化开机启动

crontab network rsyslog ssh

定时任务   网络  日志   远程连接

for oldboy in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level  345 $oldboy off; done

关闭所有3 启动的服务

for oldboy in crond network rsyslog sshd;do chkconfig --level 3 $oldboy on;done

开启需要的服务

chkconfig --list | grep "3:on" |awk '{print $1}'| grep -vE "crond|network|sshd|rsyslog"

查看命令行模式除了这4个服务其他开启启动的服务

for oldboy in `chkconfig --list | grep "3:on"|awk '{print $1}'| grep -vE "crond|network|sshd|rsyslog|xinetd"`;do chkconfig $oldboy off;done

除了这5个服务，其他服务全部开机关闭。

chkconfig xinetd --level 3 on   启动某一个服务

chkconfig --list | grep "3:on"

 

13 锁定解锁文件

[root@localhost ~]# chattr +i /etc/passwd /etc/shadow

[root@localhost ~]# lsattr /etc/passwd /etc/shadow

----i-------- /etc/passwd

----i-------- /etc/shadow

解锁文件并查看状态

[root@localhost ~]# chattr -i /etc/passwd /etc/shadow

[root@localhost ~]# lsattr /etc/passwd /etc/shadow

------------- /etc/passwd

------------- /etc/shadow

本文出自 “晴空” 博客，谢绝转载！