Centos6基础优化与安全小结
【1】 尽量不用root登陆管理系统,而以普通用户身份登陆,通过sudo授权管理
- # useradd tacks //添加一个普通用户
- # passwd tacks //然后设置普通用户密码
- # visudo //相当于编辑/etc/sudoers
- //在第98行下面 填上你想要的普通用户属于sudo
- //用户或者组 授权角色 授权命令
- //例如 tacks ALL=(ALL) ALL
- //通过sudo授权管理以后
- //用户执行授权的特殊权限格式为 "sudo 命令"
【2】更改默认的远程连接ssh服务端口,禁止root用户远程连接,甚至更改ssh服务只监听内网ip
【3】定时自动更新服务器的时间,使其与互联网时间同步
【4】关闭SElinux及iptables服务,避免影响到其它服务的使用
- //查看到selinux的状态
- # getenforce
- //假设selinux是正在运行的,我们可以使用setenforce 命令设置临时关闭,不用重启生效。
- # setenforce 0
- //关闭iptables服务
- # /etc/init.d/iptables stop
- //查看是否关闭
- # chkconfig --list | grep iptables
【5】精简必要的开机自启动服务(例如crond,sshd,network,rsyslog,sysstat)
sshd 远程连接linxu服务器时候需要这个服务程序
rsyslog 日志相关软件 这是操作系统守护程序的一种机制
crond 用于周期性执行系统及用户配置的任务计划
network 系统启动的时候网络接口 激活与关闭
sysstat 用于检测系统性能及效率的一组工具,用来判断系统运行是否正常,提高运行效率,安全运行服务器的得力助手
方法1.执行ntsysv命令 然后设置
方法2.执行setup命令 然后再system service 设置
【6】更改系统字符集“zh_CN.UTF-8”
- # cat /etc/sysconfig/i18n
- # echo $LANG
【7】利用chattr锁定关键系统文件(/etc/passwd , /etc/shadow, /etc/group , /etc/gshadow , /etc/inittab)
上锁以后,如果需要修改操作,必须先解锁
- //上锁
- # chattr +i /etc/passwd
- //解锁
- # chattr -i /etc/passwd
【8】清空/etc/issue , /etc/issue.net 去除系统及内核版本登陆前的屏幕显示
- # > /etc/issue
- # > /etc/issue.net
【9】调整linux 系统文件描述符的数量,对于高并发的服务器,1024这个值远远不够,需要调整
- # echo '* - nofile 65535' >>/etc/security/limits.conf
- # tail -1 /etc/security/limits.conf
- 重启后生效
- # ulimit -n (显示文件描述符的大小)
【10】为grub引导菜单加密码防止别人通过修改grub进行内核启动