linux系统基础优化_下

用户安全

1、服务器最小化安全的原则
2、安装系统的时候，不需要的服务和包尽量不要安装，安装的越多越容易出错，漏洞也就多
3、开机启动的程序，也不要那么多，多了没用还消耗服务器
4、登录最小化，不用root登录，普通用户登录，需要root权限了 su - 或者sudo
5、权限最小化，配置文件的权限都要分配合理，权限尽量最小
6、配置参数合理，

windows的管理员都知道是administrator 默认远程端口是3389，你都知道的，黑客就更不要说了，很多黑客也利用3389进行爆破，获得密码权限

小技巧（windows用户管理里面，来宾用户改成administrator，administrator改成普通一个用户）用来迷惑黑客

linux远程配置文件

[root@web-172 ~]# ll /etc/ssh/sshd_config 
-rw-------. 1 root root 3879 Nov 23  2013 /etc/ssh/sshd_config

切记，修改系统和一些其他软件的配置文件一定要提前备份一份

[root@web-172 ~]# vi /etc/ssh/sshd_config 
Port 34567（切记如果开启了防火墙，记得把防火墙给关闭，或者修改防火墙允许的ssh端口）
PermitRootLogin no（禁止root远程登录，可以本地接显示器登录）
PermitEmptyPasswords no（禁止空密码登录）
[root@web-172 ssh]# vimdiff sshd_config sshd_config.bak（查看修改了那些内容）
改完了以后 重启sshd生效
[root@web-172 ssh]# /etc/init.d/sshd restart (用这个可以补全命令)
[root@web-172 ~]# netstat -an|grep "22"（查看22端口谁在连接使用）
tcp        0     52 172.16.13.143:22            172.16.13.128:49328         ESTABLISHED 
unix  3      [ ]         STREAM     CONNECTED     9922

#Linux为什么安全，就是因为权限分配的好

sudo权限

[root@web-172 ~]# visudo 
98gg 定位行 vi编辑器里面
yy 复制 p 粘贴
root    ALL=(ALL)       ALL
user    ALL=(ALL)       /usr/sbin/useradd
切换普通用户 创建用户不可以 sudo权限创建
[root@web-172 ~]# su - user
[user@web-172 ~]$ sudo useradd aa
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
[sudo] password for user: (授权) 输入密码是自己的密码
[user@web-172 ~]$ tail -1 /etc/passwd
aa:x:501:501::/home/aa:/bin/bash

环境变量

echo $PATH
[root@web-172 ~]# mkdir /zabbix/
[root@web-172 ~]# vi /zabbix/zabbix
echo linux zabbix 3.0
[root@web-172 ~]# chmod a+x /zabbix/zabbix 
[root@web-172 ~]# /zabbix/zabbix 
linux zabbix 3.0
临时生效
[root@web-172 ~]# PATH=/zabbix/:$PATH      
[root@web-172 ~]# zabbix 
linux zabbix 3.0
永久生效
[root@web-172 ~]# echo 'PATH=/zabbix/:$PATH' >> /etc/profile  
[root@web-172 ~]# source /etc/profile
[root@web-172 ~]# tail -1 /etc/profile
PATH=/zabbix/:$PATH

字符集

字符集就是一套文字符号及其编码

常见的

GBK

UTF-8

GB2312

[root@web-172 ~]# cat /etc/sysconfig/i18n (查看系统字符集)
LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
[root@web-172 ~]# echo $LANG（查看当前字符集）
en_US.UTF-8
中文支持
cat /etc/sysconfig/l18n 里面是修改中文字符集
添加
LANG="zh_CN.GB18030" (中文字符集)
source /etc/sysconfig/il8n (生效配置文件)
echo $LANG（查看当前语言环境）

时间同步（建议把时间同步写到crond任务计划里面去）

[root@web-172 ~]# date
Sat Jan  2 10:06:44 CST 2016
[root@web-172 ~]# ntpdate time.nist.gov
 2 Jan 21:02:41 ntpdate[2151]: step time server 128.138.141.172 offset 39333.956437 sec
[root@web-172 ~]# date
Sat Jan  2 21:02:44 CST 2016
[root@web-172 ~]#

文件描述符（linux每打开一个文件或者进程，一个用户来访问都是需要文件描述符的）

[root@web-172 ~]# ulimit -n
1024
[root@web-172 ~]# ulimit -HSn 65535
[root@web-172 ~]# ulimit -n
65535
[root@web-172 ~]# echo '*    -     nofile     65535' >>/etc/security/limits.conf 
[root@web-172 ~]# logout（重新登录下）
[root@web-172 ~]# ulimit -n
65535

定时清理垃圾文件（防止inodes节点占满，造成linux文法创建文件）

[root@web-172 ~]# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda3        19G  1.6G   17G   9% /
tmpfs           145M     0  145M   0% /dev/shm
/dev/sda1       194M   29M  155M  16% /boot
[root@web-172 ~]# df -i
Filesystem      Inodes IUsed   IFree IUse% Mounted on
/dev/sda3      1253376 55487 1197889    5% /
tmpfs            36977     1   36976    1% /dev/shm
/dev/sda1        51200    38   51162    1% /boot

修改或清楚系统版本信息

[root@web-172 ~]# cat /etc/issue
CentOS release 6.5 (Final)
Kernel \r on an \m
[root@web-172 ~]# cat /dev/null > /etc/issue

锁定系统关键文件

（加锁）

[root@web-172 ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 
[root@web-172 ~]# useradd bb
useradd: cannot open /etc/passwd
（解锁）
[root@web-172 ~]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 
[root@web-172 ~]# useradd bb
修改命令名字，让黑客找不到命令
[root@web-172 ~]# mv /usr/bin/chattr /usr/bin/chatt
[root@web-172 ~]# chattr +i /etc/passwd
-bash: /usr/bin/chattr: No such file or directory
[root@web-172 ~]# chatt +i /etc/passwd
[root@web-172 ~]# chatt -i /etc/passwd
lasttr /etc/passwd  (查看文件是不是加锁了)

小结

1、配置ip，主机名，dns，能够上网，解析域名
2、添加普通用户，通过sudo授权管理或su －
3、更改默认远程端口，禁止root远程登录
4、定时更新时间
5、配置yum源，换成国外的
6、关闭selinux 及iptables 配置
7、调整文件描述符数量  进程和文件的打开都是消耗描述符
8、定时清理垃圾文件 （/var/spool/clientmquene/目录的垃圾文件）防止inodes节点被占满
9、精简开机启动服务（crond，sshd,network,rsyslog）
10、linux内核优化/etc/sysctl.conf 执行sysctl －p生效
11、更改字符集，建议还是用英文字符集
12、锁定关键配置文件
13、清空/etc/issue/ 系统版本信息

作者个人博客：www.021soso.com

百度云盘搜索：http://pan.yunpanos.com   （一直用的搜索视频教程的网站，所以推荐给大家）