系统运维安全设置

最新推荐文章于 2022-09-10 19:12:21 发布
最新推荐文章于 2022-09-10 19:12:21 发布
阅读量101 收藏
点赞数
原文链接:https://my.oschina.net/shuiyuantao/blog/638057
版权

  1. 禁用SElinux和ctrlaltdel

#sed -i 's/^\SELINUX=.*/SELINUX=diaabled/' /etc/selinux/config
#sed -i '/^ca::ctrlaltdel/c#ca::ctrlaltdel:/sbin/shutdown -t3 -r now' /etc/inittab
#reboot

原因:很多系统服务和SELinux是不兼容的,为了防止出现权限问题而导致应用无法启动的问题,我们本着容易排查问题的思路将SELinux关闭,这也算是行业内通用的做法吧。

Ctrl+Alt+del键的组合会导致系统重启,为了防止误操作发生重启线上服务器时间,我们第一选择就是禁用这个选项

2.修改/etc/login.defs的登录配置文件

#sed -i 's/99999/90/g' /etc/login.defs
#sed -i 's/PASS_MIN_LEN\t5/PASS_MIN_LEN\t8/g' /etc/login.defs
#sed -i 's/PASS_WARN_AGE\t7/PASS_WARN_AGE\t10/g' /etc/login.defs
#sed -i 's/077/027/g' /etc/login.defs

第一个参数是针对PASS_MAX_DAYS密码有效期这个参数设定的,默认是99999,我们改为90,单位是天;

第二个参数是密码最小长度,默认是5,我们改成8;

第三个参数PASS_WARN_AGE表示密码过期之前的提醒时间,我们改成10天;

第四个参数是针对UMASK,表示权限掩码初始化值(注:此处可以参考文章:http://blog.sina.com.cn/s/blog_6a58bdf40102v2zj.html

3.修改/etc/profile里面的终端超时时间

#sed '/HISTSIZE/a\ TMOUT=120' -i /etc/profile

将终端超时时间设置为120s,如果对操作要求有更加严格的要求可以按照企业需要自行设定

4.修改配置文件开启pam验证

具体设置可以参考文章:http://blog.csdn.net/wuweilong/article/details/39722875

5.修改配置文件/etc/ssh/sshd_config完成ssh的安全配置

#sed -i '/#Port 22/a\Port 36789' /etc/ssh/sshd_config
#sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config

第一项是禁止默认的22端口登录,改为其他端口ssh登录,增加安全性;

第二点是禁止root直接登录

6.时间同步

#echo “0 0,8,16 * * * /usr/sbin/ntpdate X.X.X.X;/usr/sbin/hwclock --systohc”>>/etc/crontab
#echo "/usr/sbin/ntpdate X.X.X.X;/usr/sbin/hwclock --systohc" >> /etc/rc.local

第一点是设置定时任务在每天的0、8、16点同步时间服务器(如果没有联网,可以选择在企业内部搭建ntp服务器);

第二点是将时间同步写入到开机启动项,防止服务器在重启发生时间不一致的问题

7.内核参数优化

#修改配置文件etc/sysctl.conf
fs.file-max = 65500
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 20000 65000
#修改配置文件/etc/security/limit.conf:
*       soft    nproc   65535
*       hard    nproc   65535
*       soft    nofile  65535
*       hard    nofile  65535

以上是在工作和查阅资料当中了解到的一些基本配置,后续会逐渐完善补充。





转载于:https://my.oschina.net/shuiyuantao/blog/638057

chengtao6423
关注
软件系统运维管理方案
11-13
【软件系统运维管理方案】 本方案旨在为局信息化系统提供全面的安全运维服务,确保系统稳定、可靠、安全,同时提供高效的技术支持与服务流程。服务范围涵盖了局内所有的硬件设备,如计算机终端、打印机、服务器、...
网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全
03-14
网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全运维管理系统方案网络安全...
运维安全配置
weixin_34323858的博客
06-01 132
目录 运维安全配置 Nginx安全 1、隐藏Nginx版本号 2、禁用目录列出 3、禁止不安全的HTTP方法(如DELETE、HEAD、TRACE、OPTIONS) 4、缩减权限 5、禁止特定IP访问 6、限制蜘蛛抓取频率 ...
服务运维安全配置2
diaozhi5610的博客
11-24 107
4.我们还有两个参数没有介绍:MaxClients和MaxRequestPerchild;MaxClients指定Apache在同一时间内最多允许有多少客户端能够与其连接,如果超过MaxClients个连接,客户端将会得到一个“服务器繁忙”的错误页面。我们看到默认情况下MaxClients设置为15,这对一些中型站点和大型站点显然是远远不够的!也许您需要同时允许512个客户端连接才能满足...
运维-基础篇-操作系统的基础配置
lzy852645640的博客
09-10 1256
运维
运维(一)硬件信息以及系统安装、xshell必要配置
weixin_37673331的博客
03-17 809
服务器的种类: 硬件服务器 1) 机架式服务器 1U 2U 4U 8U unit—服务器的高度 1.75英寸=4.45CM 2) 刀片式服务器 更加稳定 运算处理速度更快 3) 塔式服务器 虚拟服务器(云服务器) 1) 阿里云服务器 2) 亚马逊AWS 3) 腾讯云 linux系统的发展(GNU GPL) Raid卡 将多块硬盘进行整合 对raid卡进行配置 raid0 raid1 raid...
linux echo 改密码,linux自动修改密码长度和有效期的脚本
weixin_31530761的博客
04-29 348
#!/bin/bashrq=`date +%Y%m%d`echo "The login.defs was copy to the /etc/login.defs.bak$rq"echo "####################################"cp /etc/login.defs /etc/login.defs.bak$rqecho "update password length...
系统运维安全管理办法_7.系统运维安全管理规定
weixin_39564831的博客
12-19 650
系统运维安全管理规定第一章总则第一条为加强国铁吉讯科技有限公司的信息安全管理工作,防范计算机信息技术风险,保障本单位信息系统安全、稳定运行,保障信息化建设的稳步发展,参照国家有关规定,制定本规定。第二条本规定适用于系统运维过程的管理。第二章系统安全运行基本要求第三条计算机信息系统的使用科室应建立相应安全操作规程与规章制度。第四条计算机信息系统的运行场所应满足相应的安全等级要求。第五条计算机信息系统...
信息系统安全运维
热门推荐
程序员杂谈
06-12 1万+
安全运维定义 信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。 安全运维服务包括如下内容: 1) 确定安全运维所涉及的信息系统及关键技术设施...
网御运维安全网关V3.0-运维人员使用手册-v1.0-20190322更新.docx
04-17
- 安装完成后,通过桌面或开始菜单中的运维客户端图标,输入网御运维安全网关V3.0系统IP地址和端口号(如适用)进入登录界面。 ##### 登录认证 - **单因素认证登录**:包括用户名密码登录,支持静态账号密码认证、...
软件系统运维手册.doc
07-05
软件系统运维手册 软件系统运维手册是计算机领域中的一份重要文件,旨在指导和规范软件系统运维工作。本手册的主要内容包括服务器及数据库概述、系统服务程序的详细说明、服务器硬件维护和windows 2003系统的日常...
(完整)信息系统运维方案.pdf
06-16
1.3 网络、安全系统运维服务 这一服务关注网络连通性、性能和监控管理。通过对网络的监控,确保网络的高效运行,同时实施安全管理,预防潜在威胁,保障数据安全。 1.4 主机、存储系统运维服务 这部分主要涉及服务器...
系统部署之系统运维
limei4625的专栏
07-18 1193
系统准备上线了,鉴于系统组和网络组同事的磨叽性格,我提前两个月向系统组申请设备及配置相关中间件,并在同事的提醒下系统组通常会对你所申请的系统打折扣,比如8G内存他会只给你4个G,所以准备系统信息的时候尽量多写点,免了打折和后续再扩容的麻烦。这里简单陈述下在设备申请的注意事项: 1、首先对新系统所需要的设备及中间件有个清楚的思路,需要几台设备,是虚拟机还是PC机,linux系统还是aix系统,是否...
5253-微信小程序基于springboot汽车维修管理系统微信小程序springboot(源码+数据库+lun文).zip
09-15
系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。本系统主要针对计算机相关专业的正在做毕业设计的学生和需要项目实战练习的学习者,可作为毕业设计、课程设计、期末大作业。
基于Matlab界面GUI设计的身份证号码识别源码[Matlab界面GUI设计].zip
09-15
基于
1.开源数据库MySQL DBA运维实战 第1章 部署.学习笔记整理分享给需要的同学
最新发布
09-15
1.开源数据库MySQL DBA运维实战 第1章 部署.学习笔记整理分享给需要的同学
java写s7和plc通讯
09-15
java写s7和plc通讯
基于 Flask 的书评系统.zip
09-15
这是一个基于 Flask 框架的书评系统项目。用户可以通过注册登录系统,对书籍进行搜索、发表评论以及查看其他用户的评论。项目利用 Goodreads 的第三方 API,引入更广泛的读者评分。此外,用户还可以通过应用程序的 API 以编程方式查询书籍详情和书评。项目具有注册、登录、注销、书籍导入、搜索、书籍页面展示、评论提交、Goodreads 评级数据展示和 aPI 访问等功能。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看ReadME.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
【前景培训教材】第二十一章 路测问题点分析.pdf
09-15
以下是对提供的参考资料的总结,按照要求结构化多个要点分条输出: 4G/5G无线网络优化与网规案例分析: NSA站点下终端掉4G问题:部分用户反馈NSA终端频繁掉4G,主要因终端主动发起SCGfail导致。分析显示,在信号较好的环境下,终端可能因节能、过热保护等原因主动释放连接。解决方案建议终端侧进行分析处理,尝试关闭节电开关等。 RSSI算法识别天馈遮挡:通过计算RSSI平均值及差值识别天馈遮挡,差值大于3dB则认定有遮挡。不同设备分组规则不同,如64T和32T。此方法可有效帮助现场人员识别因环境变化引起的网络问题。 5G 160M组网小区CA不生效:某5G站点开启100M+60M CA功能后,测试发现UE无法正常使用CA功能。问题原因在于CA频点集标识配置错误,修正后测试正常。 5G网络优化与策略: CCE映射方式优化:针对诺基亚站点覆盖农村区域,通过优化CCE资源映射方式(交织、非交织),提升RRC连接建立成功率和无线接通率。非交织方式相比交织方式有显著提升。 5G AAU两扇区组网:与三扇区组网相比,AAU两扇区组网在RSRP、SINR、下载速率和上传速率上表现不同,需根据具体场景选择适合的组网方式。 5G语音解决方案:包括沿用4G语音解决方案、EPS Fallback方案和VoNR方案。不同方案适用于不同的5G组网策略,如NSA和SA,并影响语音连续性和网络覆盖。 4G网络优化与资源利用: 4G室分设备利旧:面对4G网络投资压减与资源需求矛盾,提出利旧多维度调优策略,包括资源整合、统筹调配既有资源,以满足新增需求和提质增效。 宏站RRU设备1托N射灯:针对5G深度覆盖需求,研究使用宏站AAU结合1托N射灯方案,快速便捷地开通5G站点,提升深度覆盖能力。 基站与流程管理: 爱立信LTE基站邻区添加流程:未提供具体内容,但通常涉及邻区规划、参数配置、测试验证等步骤,以确保基站间顺畅切换和覆盖连续性。 网络规划与策略: 新高铁跨海大桥覆盖方案试点:虽未提供详细内容,但可推测涉及高铁跨海大桥区域的4G/5G网络覆盖规划,需考虑信号穿透、移动性管理、网络容量等因素。 总结: 提供的参考资料涵盖了4G/5G无线网络优化、网规案例分析、网络优化策略、资源利用、基站管理等多个方面。 通过具体案例分析,展示了无线网络优化中的常见问题及解决方案,如NSA终端掉4G、RSSI识别天馈遮挡、CA不生效等。 强调了5G网络优化与策略的重要性,包括CCE映射方式优化、5G语音解决方案、AAU扇区组网选择等。 提出了4G网络优化与资源利用的策略,如室分设备利旧、宏站RRU设备1托N射灯等。 基站与流程管理方面,提到了爱立信LTE基站邻区添加流程,但未给出具体细节。 新高铁跨海大桥覆盖方案试点展示了特殊场景下的网络规划需求。
信息化系统安全运维全方位服务方案
本文档是一份详细的信息化系统安全运维服务方案,针对XX局的信息化系统进行全方位的服务规划。方案首先概述了服务的范围和内容,涵盖了硬件设备如计算机终端、服务器、存储设备、网络设备及应用系统的日常运维、专业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值