linux系统基础优化_下


用户安全

1、服务器最小化安全的原则
2、安装系统的时候,不需要的服务和包尽量不要安装,安装的越多越容易出错,漏洞也就多
3、开机启动的程序,也不要那么多,多了没用还消耗服务器
4、登录最小化,不用root登录,普通用户登录,需要root权限了 su - 或者sudo
5、权限最小化,配置文件的权限都要分配合理,权限尽量最小
6、配置参数合理,


windows的管理员都知道是administrator 默认远程端口是3389,你都知道的,黑客就更不要说了,很多黑客也利用3389进行爆破,获得密码权限

小技巧(windows用户管理里面,来宾用户改成administrator,administrator改成普通一个用户)用来迷惑黑客


linux远程配置文件

[root@web-172 ~]# ll /etc/ssh/sshd_config 
-rw-------. 1 root root 3879 Nov 23  2013 /etc/ssh/sshd_config

切记,修改系统和一些其他软件的配置文件一定要提前备份一份

[root@web-172 ~]# vi /etc/ssh/sshd_config 
Port 34567(切记如果开启了防火墙,记得把防火墙给关闭,或者修改防火墙允许的ssh端口)
PermitRootLogin no(禁止root远程登录,可以本地接显示器登录)
PermitEmptyPasswords no(禁止空密码登录)
[root@web-172 ssh]# vimdiff sshd_config sshd_config.bak(查看修改了那些内容)
改完了以后 重启sshd生效
[root@web-172 ssh]# /etc/init.d/sshd restart (用这个可以补全命令)
[root@web-172 ~]# netstat -an|grep "22"(查看22端口谁在连接使用)
tcp        0     52 172.16.13.143:22            172.16.13.128:49328         ESTABLISHED 
unix  3      [ ]         STREAM     CONNECTED     9922


#Linux为什么安全,就是因为权限分配的好

sudo权限

[root@web-172 ~]# visudo 
98gg 定位行 vi编辑器里面
yy 复制 p 粘贴
root    ALL=(ALL)       ALL
user    ALL=(ALL)       /usr/sbin/useradd
切换普通用户 创建用户不可以 sudo权限创建
[root@web-172 ~]# su - user
[user@web-172 ~]$ sudo useradd aa
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.
[sudo] password for user: (授权) 输入密码是自己的密码
[user@web-172 ~]$ tail -1 /etc/passwd
aa:x:501:501::/home/aa:/bin/bash


环境变量

echo $PATH
[root@web-172 ~]# mkdir /zabbix/
[root@web-172 ~]# vi /zabbix/zabbix
echo linux zabbix 3.0
[root@web-172 ~]# chmod a+x /zabbix/zabbix 
[root@web-172 ~]# /zabbix/zabbix 
linux zabbix 3.0
临时生效
[root@web-172 ~]# PATH=/zabbix/:$PATH      
[root@web-172 ~]# zabbix 
linux zabbix 3.0
永久生效
[root@web-172 ~]# echo 'PATH=/zabbix/:$PATH' >> /etc/profile  
[root@web-172 ~]# source /etc/profile
[root@web-172 ~]# tail -1 /etc/profile
PATH=/zabbix/:$PATH


字符集

字符集就是一套文字符号及其编码

常见的

GBK

UTF-8

GB2312

[root@web-172 ~]# cat /etc/sysconfig/i18n (查看系统字符集)
LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
[root@web-172 ~]# echo $LANG(查看当前字符集)
en_US.UTF-8
中文支持
cat /etc/sysconfig/l18n 里面是修改中文字符集
添加
LANG="zh_CN.GB18030" (中文字符集)
source /etc/sysconfig/il8n (生效配置文件)
echo $LANG(查看当前语言环境)


时间同步(建议把时间同步写到crond任务计划里面去)

[root@web-172 ~]# date
Sat Jan  2 10:06:44 CST 2016
[root@web-172 ~]# ntpdate time.nist.gov
 2 Jan 21:02:41 ntpdate[2151]: step time server 128.138.141.172 offset 39333.956437 sec
[root@web-172 ~]# date
Sat Jan  2 21:02:44 CST 2016
[root@web-172 ~]#


文件描述符(linux每打开一个文件或者进程,一个用户来访问都是需要文件描述符的)

[root@web-172 ~]# ulimit -n
1024
[root@web-172 ~]# ulimit -HSn 65535
[root@web-172 ~]# ulimit -n
65535
[root@web-172 ~]# echo '*    -     nofile     65535' >>/etc/security/limits.conf 
[root@web-172 ~]# logout(重新登录下)
[root@web-172 ~]# ulimit -n
65535


定时清理垃圾文件(防止inodes节点占满,造成linux文法创建文件)

[root@web-172 ~]# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda3        19G  1.6G   17G   9% /
tmpfs           145M     0  145M   0% /dev/shm
/dev/sda1       194M   29M  155M  16% /boot
[root@web-172 ~]# df -i
Filesystem      Inodes IUsed   IFree IUse% Mounted on
/dev/sda3      1253376 55487 1197889    5% /
tmpfs            36977     1   36976    1% /dev/shm
/dev/sda1        51200    38   51162    1% /boot


修改或清楚系统版本信息

[root@web-172 ~]# cat /etc/issue
CentOS release 6.5 (Final)
Kernel \r on an \m
[root@web-172 ~]# cat /dev/null > /etc/issue

锁定系统关键文件

(加锁)

[root@web-172 ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 
[root@web-172 ~]# useradd bb
useradd: cannot open /etc/passwd
(解锁)
[root@web-172 ~]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab 
[root@web-172 ~]# useradd bb
修改命令名字,让黑客找不到命令
[root@web-172 ~]# mv /usr/bin/chattr /usr/bin/chatt
[root@web-172 ~]# chattr +i /etc/passwd
-bash: /usr/bin/chattr: No such file or directory
[root@web-172 ~]# chatt +i /etc/passwd
[root@web-172 ~]# chatt -i /etc/passwd
lasttr /etc/passwd  (查看文件是不是加锁了)


小结

1、配置ip,主机名,dns,能够上网,解析域名
2、添加普通用户,通过sudo授权管理或su -
3、更改默认远程端口,禁止root远程登录
4、定时更新时间
5、配置yum源,换成国外的
6、关闭selinux 及iptables 配置
7、调整文件描述符数量  进程和文件的打开都是消耗描述符
8、定时清理垃圾文件 (/var/spool/clientmquene/目录的垃圾文件)防止inodes节点被占满
9、精简开机启动服务(crond,sshd,network,rsyslog)
10、linux内核优化/etc/sysctl.conf 执行sysctl -p生效
11、更改字符集,建议还是用英文字符集
12、锁定关键配置文件
13、清空/etc/issue/ 系统版本信息

作者个人博客:www.021soso.com

百度云盘搜索:http://pan.yunpanos.com   (一直用的搜索视频教程的网站,所以推荐给大家)


你可能感兴趣的:(linux系统基础优化_下)