禁用SElinux和ctrlaltdel
#sed -i 's/^\SELINUX=.*/SELINUX=diaabled/' /etc/selinux/config
#sed -i '/^ca::ctrlaltdel/c#ca::ctrlaltdel:/sbin/shutdown -t3 -r now' /etc/inittab
#reboot
原因:很多系统服务和SELinux是不兼容的,为了防止出现权限问题而导致应用无法启动的问题,我们本着容易排查问题的思路将SELinux关闭,这也算是行业内通用的做法吧。
Ctrl+Alt+del键的组合会导致系统重启,为了防止误操作发生重启线上服务器时间,我们第一选择就是禁用这个选项
2.修改/etc/login.defs的登录配置文件
#sed -i 's/99999/90/g' /etc/login.defs
#sed -i 's/PASS_MIN_LEN\t5/PASS_MIN_LEN\t8/g' /etc/login.defs
#sed -i 's/PASS_WARN_AGE\t7/PASS_WARN_AGE\t10/g' /etc/login.defs
#sed -i 's/077/027/g' /etc/login.defs
第一个参数是针对PASS_MAX_DAYS密码有效期这个参数设定的,默认是99999,我们改为90,单位是天;
第二个参数是密码最小长度,默认是5,我们改成8;
第三个参数PASS_WARN_AGE表示密码过期之前的提醒时间,我们改成10天;
第四个参数是针对UMASK,表示权限掩码初始化值(注:此处可以参考文章:http://blog.sina.com.cn/s/blog_6a58bdf40102v2zj.html)
3.修改/etc/profile里面的终端超时时间
#sed '/HISTSIZE/a\ TMOUT=120' -i /etc/profile
将终端超时时间设置为120s,如果对操作要求有更加严格的要求可以按照企业需要自行设定
4.修改配置文件开启pam验证
具体设置可以参考文章:http://blog.csdn.net/wuweilong/article/details/39722875
5.修改配置文件/etc/ssh/sshd_config完成ssh的安全配置
#sed -i '/#Port 22/a\Port 36789' /etc/ssh/sshd_config
#sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
第一项是禁止默认的22端口登录,改为其他端口ssh登录,增加安全性;
第二点是禁止root直接登录
6.时间同步
#echo “0 0,8,16 * * * /usr/sbin/ntpdate X.X.X.X;/usr/sbin/hwclock --systohc”>>/etc/crontab
#echo "/usr/sbin/ntpdate X.X.X.X;/usr/sbin/hwclock --systohc" >> /etc/rc.local
第一点是设置定时任务在每天的0、8、16点同步时间服务器(如果没有联网,可以选择在企业内部搭建ntp服务器);
第二点是将时间同步写入到开机启动项,防止服务器在重启发生时间不一致的问题
7.内核参数优化
#修改配置文件etc/sysctl.conf
fs.file-max = 65500
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 20000 65000
#修改配置文件/etc/security/limit.conf:
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
以上是在工作和查阅资料当中了解到的一些基本配置,后续会逐渐完善补充。