一、关闭SELinux功能

selinux功能太严苛,还是关闭了吧

法一:修改配置文件,永久生效

[root@web01 ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config   [root@web01 ~]# grep SELINUX=disabled /etc/selinux/config SELINUX=disabled

法二:临时关闭SELinux

[root@web01 ~]# getenforce Enforcing[root@web01 ~]# setenforce 0[root@web01 ~]# getenforce Permissive

二、精简系统开机自启动程序

系统运行过程中,很多无用的软件在后台启动,这些服务浪费了资源,而且也带来了安全隐患,因此要关闭。

需要保留的服务主要有

  • network:系统启动时,若想连接网络,必须要开启这个服务;
  • ssh:远程连接linux服务器是需要用到这个服务程序,所以必须要开启;
  • rsyslog:日志相关软件,排错很重要;
  • crontab:计划任务,生产场经常用到的软件;
  • sysstat:sysstat是一个软件包,包含监测系统性能及小路的一组工具,对于收集系统性能很有帮助;

法一:完全关闭所有服务,再开启需要保留的

[root@web01 ~]# LANG=en
[root@web01 ~]# :on|awk  $n off;done
[root@web01 ~]# chkconfig --list|grep :on
####没有结果,表示全部关闭了####
[root@web01 ~]#  $n on;done
[root@web01 ~]# chkconfig --list|grep :on
crond              :off    :off    :on    :on    :on    :on    :off
network            :off    :off    :on    :on    :on    :on    :off
rsyslog            :off    :off    :on    :on    :on    :on    :off
sshd               :off    :off    :on    :on    :on    :on    :off
sysstat            :off    :on    :on    :on    :on    :on    :off

法二:直接将所有启动的服务打印出来,去除需要开启的服务,其他服务全部关闭

[root@web02 ~]# :on|awk '{print $1}'|egrep -v "crond|network|sshd|rsyslog|sysstat");do chkconfig $n off;done
[root@web02 ~]# chkconfig --list|grep :on
crond              :off    :off    :on    :on    :on    :on    :off
network            :off    :off    :on    :on    :on    :on    :off
rsyslog            :off    :off    :on    :on    :on    :on    :off
sshd               :off    :off    :on    :on    :on    :on    :off
sysstat            :off    :on    :on    :on    :on    :on    :off

三、更改ssh服务端远程登陆的配置

ssh服务是知名服务,如果使用默认配置,容易被人暴力破解,在配置文件底部添加如下内容。

[root@web02 ~]# vim /etc/ssh/sshd_config
_______________split________________
Port 55525                    #修改默认端口
PermitRootLogin no                #禁止root远程登陆 
PermitEmptyPasswords no            #禁止密码为空的用户远程登陆
UseDNS no                     #禁用域名反向解析,启用会导致ssh连接慢的问题
GSSAPIAuthentication no            #解决linux之间使用ssh远程连接慢的问题ListenAddress 192.168.127.0:55525      #只监听内网ssh连接______________split_________________

四、调整系统的字符集设置

防止中文乱码,调整字符集,支持中文

[root@web01 ~]# echo $LANG
en_US.UTF-
[root@web01 ~]# cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
[root@web01 ~]# cp /etc/sysconfig/i18n  /etc/sysconfig/i18n.ori
[root@web01 ~]#echo ‘LANG=”zh_CN.UTF-”’>/etc/sysconfig/i18n
[root@web01 ~]#source /etc/sysconfig/i18n                #使其生效
[root@web01 ~]#echo $LANG
zh_CN.UTF-8[root@web01 ~]# LANG=en                          #临时修改英文字符集

五、服务器时间同步

[root@web01 ~]# ntpdate time.nist.gov
 May :: ntpdate[]: step time server 132.163.97.3 offset 87738.066880 sec
[root@web01 ~]# echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root
[root@web01 ~]# crontab -l
*/ * * * * /usr/sbin/ntpdate time.nist.gov >/dev/>&

六、设置登陆超时及历史命令记录数

[root@web01 ~]# echo 'export TMOUT=300' >>/etc/profile
[root@web01 ~]# echo 'export HISTSIZE=5' >>/etc/profile
[root@web01 ~]# echo 'export HISTFILESIZE=5' >>/etc/profile
[root@web01 ~]# tail - /etc/profile
export TMOUT=300        #连接系统超过300秒,没有操作,自动退出系统
export HISTSIZE=5        #命令行的历史记录数量变量
export HISTFILESIZE=5      #历史记录文件的命令行数量(~/。bash_history)[root@web01 ~]# source /etc/profile

七、调整linux系统文件描述符数量

文件描述符是由无符号整数表示的句柄,进程使用它来标识打开的文件。文件描述符与包括相关信息(如文件的打开模式、文件的位置类型、文件的初始类型等)的文件对象相关联,这些信息被称为文件的上下文。

对于内核而言,所有打开的文件都是通过文件描述符引用的,当打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。当读写一个文件时,使用open或creat返回的文件描述符标识该文件,并将其作为参数传递给read或write。

[root@web01 ~]# ulimit -n
1024                          #默认1024
[root@web01 ~]# echo '*    -    nofile    65535' >>/etc/security/limits.conf
[root@web01 ~]# tail - /etc/security/limits.conf
*    -    nofile
[root@web01 ~]# ulimit -n
65535  #调整为65535

八、linux服务器内核参数优化

[root@web01 ~]# cat>>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2   #
net.ipv4.tcp_tw_reuse =
net.ipv4.tcp_tw_recycle =
net.ipv4.tcp_syncookies =
net.ipv4.tcp_keepalive_time =
net.ipv4.ip_local_port_range =
net.ipv4.tcp_max_syn_backlog =
net.ipv4.tcp_max_tw_buckets =
net.ipv4.route.gc_timeout =
net.ipv4.tcp_syn_retries =
net.ipv4.tcp_synack_retries =
net.core.somaxconn =
net.core.netdev_max_backlog =
net.ipv4.tcp_max_orphans = 16384#########以下为iptables防火墙优化,如果防火墙未开启,会提示报错,可以忽略################
net.nf_conntrack_max =
net.netfilter.nf_conntrack_max =
net.netfilter.nf_conntrack_tcp_timeout_established =
net.netfilter.nf_conntrack_tcp_timeout_time_wait =
net.netfilter.nf_conntrack_tcp_timeout_close_wait =
net.netfilter.nf_conntrack_tcp_timeout_fin_wait =
EOF[root@web01 maildrop]# sysctl -p  #手动生效

九、定时清理邮件服务器临时目录垃圾文件

centos默认安装postfix(5为sendmail),因此邮件临时存放地/var/spool/postfix/maildrop/(5为/var/spool/clientmqueue/),需要经常清理,不然容易被垃圾文件填满,导致系统的inode数量不够用。

[root@web01 maildrop]# find /var/spool/postfix/defer/ -type f|xargs rm -f  #可以放在脚本里,每天定时任务运行

十、隐藏linux版本信息

linux在本地登陆时,会显示系统的版本和内核

[root@web01 ~]# cat /etc/issue
CentOS release 6.5 (Final)
Kernel \r on an \m

[root@web01 ~]# >/etc/issue
[root@web01 ~]# cat /etc/issue

十一、锁定关键系统文件,防止被提权篡改

[root@web01 maildrop]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab  #上锁
[root@web01 maildrop]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab  #解锁

十二、升级具有典型漏洞的软件版本

如:openssl openssh bash

[root@web01 maildrop]# rpm -qa openssl openssh bash
openssl-.el6.x86_64
bash--.el6_4.x86_64
openssh-.3p1-.el6.x86_64
[root@web01 maildrop]# yum install openssl openssh bash -y
[root@web01 maildrop]# rpm -qa openssl openssh bash
openssl-.el6.x86_64
openssh-.3p1-.el6_9.x86_64
bash--.el6.x86_64

十三、配置yum更新源

[root@web01 maildrop]# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
[root@web01 maildrop]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

本文非原创,摘自老男孩书籍,整理于此,权为记忆。

centos6基础优化的更多相关文章

  1. CentOS6.X 系统安装后的基础优化

    特别说明:克隆之后的网卡修改 1 编辑eth0的配置文件:vi /etc/sysconfig/network-scripts/ifcfg-eth0, 删除HWADDR地址那一行及UUID的行如下: H ...

  2. Centos6.5 64linux系统基础优化(二)

    1  操作的最小化原则 1)安装系统最小化 2)开启程序服务最小化原则 3)操作最小化原则 4)登陆最小化原则;平时没有需求不用root登陆,要用普通登陆. 2  更改ssh服务默认端口及常规配置 # ...

  3. Linux实战教学笔记06:Linux系统基础优化

    第六节 Linux系统基础优化 标签(空格分隔):Linux实战教学笔记-陈思齐 第1章 基础环境 第2章 使用网易163镜像做yum源 默认国外的yum源速度很慢,所以换成国内的. 第一步:先备份 ...

  4. Linux基础优化与安全归纳总结

    一名运维工程师在运维岗位上时间久了,就会发现Linux优化的重要性,同时会给运维工作带来很多的便利性.本人逐渐认识到了这一点,所以特意在工作闲暇之余,通过阅读Linux相关书籍及向同事.同行高手咨询, ...

  5. CentOS7.5基础优化与常用配置

    目录 最小化全新安装CentOS7基础优化 配置yum源 安装常用软件 关闭防火墙 关闭SELinux 优化ulimit 历史命令记录改为1万条 把命令提示符改为绿色 添加vim配置文件 添加一个普通 ...

  6. centos 6.x 系统基础优化简版

    Centos 6.x 系统基础优化 1.更换国内yum源 删除系统带的centos官方yum源 rm -rf /etc/yum.repos.d/* 使用国内阿里云源 curl -o /etc/yum. ...

  7. Linux学习之六-Linux系统的基础优化

    Linux系统的基础优化 何谓'优化'.顾名思义,优化就是采取某些措施使某个东西或者某事物变得更加优异,出色.对于Linux而言,在初期安装好系统之后,也需要对其进行一定的基础优化,可分为安全上的优化 ...

  8. 系统基础优化 vim

    系统基础优化 vim 1系统基础优化 (CPU-lscpu 内存-free 磁盘-df 负载-w/uptime) 1.1 系统基础优化 准备工作:如何查看系统的信息 (1)cat /etc/redha ...

  9. Linux 基础优化

    1.操作的最小化原则 1)安装系统最小化 一般情况下安装OS时,软件安装包组(Package Group)的选择: base--------------------------基本环境 editors ...

随机推荐

  1. 算法复习周------“动态规划之‘最长公共子序列’”&&《计蒜课》---最长公共子串题解

    问题描述: 这个问题其实很容易理解.就是给你两个序列X={x1,x2,x3......xm} Y={y1,y2,y3......ym},要求找出X和Y的一个最长的公共子序列. 例:Xi={A, B, ...

  2. Educational Codeforces Round 14E. Xor-sequences(矩阵快速幂)

    传送门 题意 给定序列,从序列中选择k(1≤k≤1e18)个数(可以重复选择),使得得到的排列满足\(x_i与x_{i+1}\)异或的二进制表示中1的个数是3的倍数.问长度为k的满足条件的序列有多少种 ...

  3. Python机器学习算法 — 关联规则(Apriori、FP-growth)

    关联规则 -- 简介 关联规则挖掘是一种基于规则的机器学习算法,该算法可以在大数据库中发现感兴趣的关系.它的目的是利用一些度量指标来分辨数据库中存在的强规则.也即是说关联规则挖掘是用于知识发现,而非预 ...

  4. P4949 最短距离(树链剖分+树状数组+基环树)

    传送门 一个中午啊-- 本来打算用仙人掌搞的,后来发现直接基环树就可以了,把多出来的那条边单独记录为\((dx,dy,dw)\),剩下的树剖 然后最短路径要么直接树上跑,要么经过多出来的边,分别讨论就 ...

  5. .NET Core 跨平台物联网开发:上报属性(三)

    系列教程目录 (一) 连接阿里云IOT (二) 设置委托事件 (三) 上报属性 (四)  SDK文档 属性.方法.委托.类 http://pan.whuanle.cn/index.php?dir=up ...

  6. javascript---DOM大编程

    编程练习 制作一个表格,显示班级的学生信息. 要求: 1. 鼠标移到不同行上时背景色改为色值为 #f2f2f2,移开鼠标时则恢复为原背景色 #fff 2. 点击添加按钮,能动态在最后添加一行 3. 点 ...

  7. 题解报告:NYOJ 题目139 我排第几个(康托展开)

    描述 现在有"abcdefghijkl”12个字符,将其所有的排列中按字典序排列,给出任意一种排列,说出这个排列在所有的排列中是第几小的? 输入 第一行有一个整数n(0<n<=1 ...

  8. how-to-fix-fs-re-evaluating-native-module-sources-is-not-supported-graceful

    http://stackoverflow.com/questions/37346512/how-to-fix-fs-re-evaluating-native-module-sources-is-not ...

  9. Java8特性之Lambda、方法引用以及Stream流

    Java 8 中的 Streams API 详解:https://www.ibm.com/developerworks/cn/java/j-lo-java8streamapi/ Java笔记——Jav ...

  10. SpringMvc如何将Url 映射到 RequestMapping (二)

    昨天简单分析了Springmvc 中 RequestMapping 配置的url和请求url之间的匹配规则.今天详细的跟踪一下一个请求url如何映射到Controller的对应方法上 一.入口 org ...