目录
一、Linux系统环境初始化
1、关闭 firewalld 防火墙工具(根据实际情况作出策略安全限制等)
2、关闭selinux安全防护模块
3、建立国内yum源,加快安装速度
4、关闭不必要的启动项,加快系统启动速度
5、备份MBR分区
6、统一主机名、网卡名等参数
7、修改内核参数ulimit -a 中open files
二、Linux系统安全加固措施
1、将非登录用户shell设置为nologin
2、锁定长期不使用的账号(锁定用户)
3、删除无用账号
4、chattr锁定配置文件(重要文件passwd、shadow、fstab等加 i 权限,不让删除)
5、设置密码复杂性规则(长度、特殊字符、失效时间等)密码策略
6、修改history,记录历史命令,尽量缩短记录历史命令的条数
7、禁止su root,切换超级管理员
8、设置sudo权限,禁用不安全命令
9、给GRUB设置密码
10、只允许BIOS从硬盘启动,关闭除了硬盘启动外的(光驱、udisk 、网络)
11、给BIOS设置密码
12、限制root只在安全终端登录
13、禁止普通用户登录
14、改掉常见服务端口
15、做好日志权限管理
16、内核参数调整
三、Linux系统内核优化
可以通过/etc/sysctl.conf控制和配置Linux内核及网络设置。
1、避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
2、开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
3、开启SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1
4、开启并记录欺骗,源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
5、处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
6、开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
7、确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
8、不充当路由器
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
9、开启execshild
kernel.exec-shield = 1
kernel.randomize_va_space = 1
10、IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1
11、优化LB使用的端口
12、增加系统文件描述符限制
fs.file-max = 65535
13、允许更多的PIDs (减少滚动翻转问题); may break some programs 32768
kernel.pid_max = 65536
14、增加系统IP端口限制
net.ipv4.ip_local_port_range = 2000 65000
15、增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608
16、增加Linux自动调整TCP缓冲区限制
# 最小,默认和最大可使用的字节数
# 最大值不低于4MB,如果你使用非常高的BDP路径可以设置得更高
17、Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000