1.关闭selinux

2.关闭防火墙

3.关闭NetworkManager

4.为系统运维管理员创建普通用户,并配置sudo(vi  sudo)

5.清空泄漏系统版本信息的文件

6.基础优化sshd服务

vim /etc/ssh/sshd_config 

egrep -n 'GSSAPIA|UseDNS' /etc/ssh/sshd_config(查看是否修改了)

7.修改系统YUM源,添加系统epel源
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #修改系统YUM源

curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo #添加系统epel源
yum repolist  #查看系统YUM源和epel源

8.安装系统常用软件
yum install -y tree vim wget bash-completion bash-completion-extras lrzsz net-tools sysstat iotop iftop htop unzip nc nmap telnet bc psmisc

9.优化linux内核参数

cat >>/etc/sysctl.conf<<EOF

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

sysctl –p #从指定的文件加载系统参数

 
10.密码策略修改
 cp     /etc/login.defs    etc/login.defs-bak
vi  /etc/login.defs
修改参数

PASS_MAX_DAYS:90

PASS_MIN_DAYS:0

PASS_MIN_LENS:8

PASS_WARN_AGE:7

 
11.帐号锁定
cp    /etc/pam.d/sshd  /etc/pam.d/sshd-bak
vi  /etc/pam.d/sshd
添加参数
Auth required  pam_tally2.so  deny=5 unlock_time=300
 
12.登录超时设置
cp   /etc/profiles  /etc/profiles-bak
vi /etc/profile
文件最后一行添加内容export TMOUT=600
 
13禁止root登录
cp    /etc/ssh/sshd_config     /etc/ssh/sshd_config –bak
vi  /etc/ssh/sshd_config
 
创建一个普通用户

修改内容如下:

Permitrootlogin no

 
14.限制远程登录

/etc/hosts.allow中添加内容如下(允许放行地址)

sshd:192.168.23.11:allow

/etc/hosts.deny中添加内容如下:

sshd:ALL

15.防火墙添加端口

firewall-cmd --permanent --add-port=3000/tcp

firewall-cmd --reload

16.清空防火墙规则

查看防火墙状态

firewall-cmd --state

停止firewall

systemctl stop firewalld.service

禁止firewall开机启动

systemctl disable firewalld.service 

17.清除防火墙规则
iptables -F

(flush 清除所有的已定规则)

iptables -X

(delete 删除所有用户“自定义”的链(tables))

iptables -Z

(zero 将所有的chain的计数与流量统计都归零)
 

参考文献:

链接:https://www.jianshu.com/p/2bc4b944181c

链接:https://www.jianshu.com/p/c70aec2b9122



 




												


											
CentOS 7的Linux系统优化加固的更多相关文章
	

    
								
  1. linux系统优化基础
		
    linux系统优化基础 tags: linux 优化 kingle---### 1, 查看centos版本:cat etc/redhat-release 看看centos架构信息:uname -m 查 ...
    
		
    2. 
						
  2. CentOS(十)--与Linux文件和目录管理相关的一些重要命令②
		
    在结束了第二期的广交会实习之后,又迎来了几天休闲的日子,继续学习Linux.在上一篇随笔 Linux学习之CentOS(十七)--与Linux文件和目录管理相关的一些重要命令① 中,详细记录了与Lin ...
    
		
    3. 
						
  3. 在CentOS/RHEL/Scientific Linux 6下安装 LAMP
		
    LAMP 是服务器系统中开源软件的一个完美组合.它是 Linux .Apache HTTP 服务器.MySQL 数据库.PHP(或者 Perl.Python)的第一个字母的缩写代码.对于很多系统管理员 ...
    
		
    4. 
						
  4. Linux系统优化及基础命令
		
    1.Linux系统优化及基础命令 2. vim编辑器 vim 操作命令 在命令模式下操作 pageup 往上翻页(重要指数****)pagedown 往下翻页(重要指数****)H 移动到屏幕首行gg ...
    
		
    5. 
						
  5. Linux学习之CentOS(三)--初识linux的文件系统以及用户组等概念
		
    Linux学习之CentOS(三)--初识linux的文件系统以及用户组等概念 进入到了Linux学习之CentOS第三篇了,这篇文章主要记录下对linux文件系统的初步认识,以及用户组.用户权限.文 ...
    
		
    6. 
						
  6. Linux学习之CentOS(二)--初识linux的一些常用命令
		
    Linux学习之CentOS(二)--初识linux的一些常用命令 在VM上安装完了CentOS6.4以后,看着linux系统成功跑起来,心里小激动了一把......但是前方学习的道路还很遥远...  ...
    
		
    7. 
						
  7. linux安全加固浅谈
		
    难易程度:★★★阅读点:linux;python;web安全;文章作者:xiaoye文章来源:i春秋关键字:网络渗透技术 前言linux被越来越多的企业使用,因此掌握一些基本的linux安全加固是有必 ...
    
		
    8. 
						
  8. Centos 7(Linux)环境下安装PHP(编译添加)相应动态扩展模块so(以openssl.so为例)
		
    https://blog.csdn.net/shinesun001/article/details/54312402 在centos 7环境下搭建好Lnmp环境之后,发现安装的php有好多扩展都没有安 ...
    
		
    9. 
						
  9. Centos安装自定义布局才能自己划分各个区的大小ctrl+z ,fg ,route -n ,cat !$ ,!cat ,XShell 设置, ifconfig  CentOS远程连接  Linux中的输入流 第一节课
		
    Centos安装自定义布局才能自己划分各个区的大小ctrl+z ,fg ,route -n ,cat !$ ,!cat ,XShell 设置, ifconfig  CentOS远程连接  Linux中 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. k8s版jenkins--master/slave模式实现CI/CD---带solo开源博客项目--带maven、djk、git工具
			
    k8s环境: 192.168.0.91 master 192.168.0.92 node 192.168.0.96 gitlab 192.168.0.98 harbor k8s集群安装请参照:http ...
    
			
    2. 
						
  2. MySQL普通索引性能试验
			
    首先使用如下node.js脚本创建两张表,并为这两张表各自生成10000条数据: var fs = require('fs'); var nameS = "赵钱孙李周吴郑王冯陈褚卫蒋沈韩杨朱 ...
    
			
    3. 
						
  3. 任务调度之Quartz.Net基础
			
    最近公司要求将之前的系统设计文档补上,于是大家就都被分配了不同的任务,紧锣密鼓的写起了文档来.发现之前项目中使用了Quartz.Net来做一些定时任务的调度,比如定时的删除未支付的订单,定时检查支付状 ...
    
			
    4. 
						
  4. GWAS中的名称概念
			
    基因: 是指决定生物某一遗传性状的染色体DNA片段 基因型: `基因型`又称`遗传型`,是某一生物个体全部基因组合的总称.它反应生物体的遗传构成,即从双亲获得的全部基因的总和.遗传学中具体使用的基因型 ...
    
			
    5. 
						
  5. TCP/IP学习笔记6--TCP/IP模型
			
    "五月的风慢慢地吹过湖面,泛起波浪层层,一只鸟儿飞过来,在我面前婉转歌唱" TCP/IP是当今计算机网络世界使用最为广泛的协议.该方面的知识对于那些想做网络编程的人来说是只至关重要 ...
    
			
    6. 
						
  6. [转帖]进程上下文频繁切换导致load average过高
			
    进程上下文频繁切换导致load average过高 2016年6月26日admin发表评论阅读评论 http://www.361way.com/linux-context-switch/5131.ht ...
    
			
    7. 
						
  7. URI和URL的关系与区别
			
    首先给大家举个例子,有一家公司的总经理,某天,给了我一张名片,上面写了他的头衔,北京XXX公司总经理 张三,还有他的办公室地址,北京市海淀区长安街35号北京XXX公司总经理办公室,那么,我以后给我的朋 ...
    
			
    8. 
						
  8. STM32之串口编程步骤
			
    串口编程步骤(非中断)如下: 使能GPIO时钟 使能串口时钟 配置TXD为复用功能+推挽   (站在STM32芯片角度) 配置RXD为复用功能+上拉   ( 站在STM32芯片角度) 设置数据帧 OV ...
    
			
    9. 
						
  9. k8s 证书反解
			
    k8s证书反解 1.将k8s配置文件(kubelet.kubeconfig)中client-certificate-data:内容拷贝 2.echo "client-certificate- ...
    
			
    10. 
						
  10. 20191031:Python取反运算详解
			
    20191031:Python取反运算详解 取反运算:~3 == 4 1.对于数字 3 =======>转换为二进制表示为011 2.对011取反为100 3.为什么表示-4 a.计算机用补码表 ...
    
			
    11.