1 ssh登陆的优化
vim /etc/ssh/sshd_config
42 PermitRootLogin no 允许root登录
65 PermitEmptyPasswords no 允许空密码登录
80 GSSAPIAuthentication no sshp
122 UseDNS no DNS搜索
关闭ssh服务X11转发功能
#vi /etc/ssh/sshd_config
设置下面为no
X11Forwarding no
2 历史记录,登陆时间,字符集 主机操作的时间 等待自动退出
echo 'HISTSIZE=5' >>/etc/profile
echo 'TMOUT=300' >>/etc/profile
echo 'HISTFILESIZE=5' >>/etc/profile
\cp /etc/sysconfig/i18n /etc/sysconfig/i18n.$(date +%y%m%d)
echo 'LANG="en_US.UTF-8"' >/etc/sysconfig/i18n
vi /etc/profile
HISTTIMEFORMAT="%F %T " 主机操作的时间
vi /etc/profile
TMOUT=300 300秒不操作,自动退出
3 操作记录
记录登录用户的数据
/var/log/useraudit.log文件记录登录用户的时间,来源IP,以及在系统中运行了什么命令。
#vi /etc/profile
在最后添加下面内容:
export HISTORY_FILE=/var/log/useraudit.log
export PROMPT_COMMAND='{ h=`history 1`;w=`who am i`;echo -e $(date "+%Y-%m-%d %H:%M:%S") --- $w ---$h;} >> $HISTORY_FILE'
然后执行命令:
#touch /var/log/useraudit.log
#chmod 777 /var/log/useraudit.log
#chattr +a /var/log/useraudit.log
4 关闭系统不使用的服务
为了增强系统的安全性,关闭一些系统不使用的系统服务。
Chkconfig nfslock off
Chkconfig portmap off
Chkconfig ip6tables off
chkconfig iptables off
chkconfig xinetd off
chkconfig avahi-daemon off
chkconfig avahi-dnsconfd off
chkconfig avahi-daemon off ## Avahi服务
5 修改root 名称
将root管理员名称修改为gly
创建gly用户
#useradd -u 0 -g 0-o gly
给gly设置密码
#passwd gly
锁定root用户
#passwd -l root
6 禁止Ctrl+Alt+Delete重新启动机器命令
#vi /etc/inittab文件
将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。
7 禁用USB口
/sbin/modprobe -r usb-uhci 禁用USB口
/sbin/modprobe -a usb-uhci 启用USB口
8 修改文件权限
chmod 600 /etc/passwd
chmod -R 700 /etc/rc*
chmod -R 700 /etc/init.d/
9 添加登录提示
/etc/issue 从本地登陆显示的信息
/etc/issue.net 从网络登陆显示的信息
/etc/motd 登录成功后显示的信息
在这三个文件中添加下面信息:
Warning: Your login and access has been monitored, illegal operations will be severely punished or legal proceedings.
10 ulimit 优化
[root@hexudong ~]# ulimit -n
1024 系统的进程比它还多,所以就不够用了。
ulimit -HSn 65536 临时加大,重新登陆就没有了
echo "* _ nofile 65535" >>/etc/security/limits.conf
source 一下
domain 类型 选项 值
一但1024不够用,进程就起不来了。
对内核而言,,所有打开文件都通过文件描述符引用。
查看系统允许打开的最大文件数
#cat /proc/sys/fs/file-max
查看每个用户允许打开的最大文件数
ulimit -a
/etc/rc.local
unlimit �n 4096
修改打开文件数
cat /proc/sys/fs/file-max
系统句柄文件数
11 查看SELinux状态:
1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态
SELinux status: enabled
2、getenforce ##也可以用这个命令检查
关闭SELinux:
1、临时关闭(不用重启机器):
setenforce 0 ##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
2、修改配置文件需要重启机器:
修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled
重启机器即可
12 优化开机启动
crontab network rsyslog ssh
定时任务 网络 日志 远程连接
for oldboy in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 345 $oldboy off; done
关闭所有3 启动的服务
for oldboy in crond network rsyslog sshd;do chkconfig --level 3 $oldboy on;done
开启需要的服务
chkconfig --list | grep "3:on" |awk '{print $1}'| grep -vE "crond|network|sshd|rsyslog"
查看命令行模式除了这4个服务其他开启启动的服务
for oldboy in `chkconfig --list | grep "3:on"|awk '{print $1}'| grep -vE "crond|network|sshd|rsyslog|xinetd"`;do chkconfig $oldboy off;done
除了这5个服务,其他服务全部开机关闭。
chkconfig xinetd --level 3 on 启动某一个服务
chkconfig --list | grep "3:on"
13 锁定解锁文件
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
----i-------- /etc/passwd
----i-------- /etc/shadow
解锁文件并查看状态
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
[root@localhost ~]# lsattr /etc/passwd /etc/shadow
------------- /etc/passwd
------------- /etc/shadow
本文出自 “晴空” 博客,谢绝转载!