创建用户
- 建工作组xxxx
#groupadd xxxx
- 添加用户
#adduser -g xxxx xxxx
- 修改用户密码
#passwd xxxx
输入2次密码
- 查看用户属性
#id xxxx
- 安全整改要求,将用户加入wheel组,即允许su到root用户
#usermod -G wheel xxxx
修改主机名和HOSTS文件
主机名字不要为localhosts
编辑/etc/sysconfig/network 文件,给主机启用一个全网唯一的名字
vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=xxx
- 将整个集群的名字加入到Hosts文件
vi /etc/hosts
字符集配置(可选)
#vi /etc/sysconfig/i18n
替换为以下内容:
LANG="zh_CN.GB18030"
LANGUAGE="zh_CN.GB18030:zh_CN.GB2312:zh_CN"
SUPPORTED="zh_CN.GB18030:zh_CN:zh:en_US.UTF-8:en_US:en"
SYSFONT="latarcyrheb-sun16"
以下是执行让其生效
#source /etc/sysconfig/i18n
修改SSH端口
此步骤参考openssh升级
#vi /etc/ssh/sshd_config
#port 22
去掉#号,改为port 30022
#service sshd restart //重启ssh服务
/etc/init.d/sshd stop && /etc/init.d/sshd start
打开文件数配置
- 编辑vi /etc/rc.d/rc.local,在最后插入以下内容:
#vi /etc/rc.d/rc.local
插入以下内容:
echo 655360 > /proc/sys/fs/file-max
- 编辑vi /etc/security/limits.conf,在最后插入以下内容:
#vi /etc/security/limits.conf
添加如下的行
root soft nproc 65536
root hard nproc 65536
root soft nofile 65536
root hard nofile 65536
ccssoft soft nproc 65536
ccssoft hard nproc 65536
ccssoft soft nofile 65536
ccssoft hard nofile 65536
说明:* 代表针对所有用户
noproc 是代表最大进程数
nofile 是代表最大文件打开数
修改后重新连ssh
#vi /etc/security/limits.d/90-nproc.conf
#添加以下行
ccssoft soft nproc unlimited
vi /etc/pam.d/login
加入:
session required /lib64/security/pam_limits.so
注意核实是否存在:/lib64/security/pam_limits.so 这个文件
- 注:rhel7的修改还可能需要修改:
#vi /etc/systemd/system.conf
DefaultLimitNOFILE=1024000
DefaultLimitNPROC=1024000
NTP时钟同步
- 方法1,启用ntpd服务,缺点是启用后有安全漏洞的风险,需要不断升级整改
vi /etc/ntp.conf
添加
server 132.122.132.33
--手工校正
ntpdate 132.122.132.33
--服务打开
chkconfig ntpd on
--服务重启
/etc/init.d/ntpd restart
--查看服务情况
/usr/sbin/ntpq -p
- 方法2 使用crontab任务同步时钟,建议采取此方式
#crontab –e
编辑如下:
0 12 * * * /usr/sbin/ntpdate -u 132.122.132.33
关闭SELINUX和防火墙
- 关闭防火墙(视情况而定)
ptables -F
service iptables stop
chkconfig iptables off
- 关闭selinux 服务
编辑selinux配置文件/etc/selinux/config修改 为SELINUX=disabled
setenforce 0
getenforce (查看是否已经关闭)
- 修改telnet回显信息,
- 修改文件/etc/issue 和/etc/issue.net中的内容,执行如下两条命令:
#echo " Authorized users only. All activity may be monitored and reported " > /etc/issue
#echo " Authorized users only. All activity may be monitored and reported " > /etc/issue.net
可根据实际需要修改该文件的内容,但是不要出现系统敏感信息,如redhat,suse等。
- 重启服务(注意,本来没有启动的,不需要启动该服务)
#/etc/init.d/xinetd restart
卸载红帽订阅服务
- 没有购买服务的情况下,可以卸载红帽的订阅服务
#rpm -e subscription-manager-firstboot
# rpm -e subscription-manager-gui-1.16.8-8.el6.x86_64
# rpm -e subscription-manager
关闭和卸载X窗口模式
- 关闭X窗口
此设置可以减少操作系统本身内存和CPU的占用
vi /etc/inittab
改成命令行模式:
id:3:initdefault:
执行 init 3即可关闭桌面
- 回退可以修改配置id:5:initdefault:
执行指令 init 5 ;start x 即可
- 卸载相关的组
查看安装的组,卸载
#yum grouplist
# yum groupremove "打印客户端
# yum groupremove “打印服务器”
# yum groupremove "X Window System"
#...
TCP内核参数调整
加大TCP并发连接数
vi /etc/sysctl.conf
//在文件最后追加如下类容:
net.core.rmem_default = 256960
net.core.rmem_max = 513920
net.core.wmem_default = 256960 net.core.wmem_max = 513920
net.core.netdev_max_backlog = 262144 net.core.somaxconn = 3240000
net.ipv4.tcp_max_orphans = 65536
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 5
net.ipv4.tcp_keepalive_time =15
net.ipv4.tcp_keepalive_probes=3
net.ipv4.tcp_keepalive_intvl=5
net.ipv4.tcp_max_tw_buckets=6000
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_retries2=5
# for 8G
#net.ipv4.tcp_mem = 524288 699050 1048576
net.ipv4.tcp_mem = 786432 2097152 3145728
net.ipv4.tcp_rmem = 4096 4096 16777216
net.ipv4.tcp_wmem = 4096 4096 16777216
net.ipv4.ip_local_port_range = 1024 65535
fs.file-max = 2390251
kernel.pid_max=655350
kernel.threads-max=6553500
vm.max_map_count= 655350
#使配置立即生效可使用如下命令: #/sbin/sysctl -p
关闭部份不用到的服务
报未识别的服务为正常,可能未安装此服务,可忽略
- 打印服务
service cups stop
chkconfig cups off
- ftp服务
/etc/rc.d/init.d/vsftpd stop
chkconfig vsftpd off
- snmp服务
service snmpd stop
chkconfig snmpd off
- apache服务
service httpd stop
chkconfig httpd off
- 蓝牙服务
/etc/init.d/bluetooth stop
chkconfig bluetooth off
- 邮件服务
service sendmail stop
chkconfig sendmail off
- firstboot服务
service firstboot stop
chkconfig firstboot off
- IPV6防火墙服务
service ip6tables stop
chkconfig ip6tables off
service cups stop
chkconfig cups off
/etc/rc.d/init.d/vsftpd stop
chkconfig vsftpd off
service snmpd stop
chkconfig snmpd off
service httpd stop
chkconfig httpd off
/etc/init.d/bluetooth stop
chkconfig bluetooth off
service sendmail stop
chkconfig sendmail off
service firstboot stop
chkconfig firstboot off
service ip6tables stop
chkconfig ip6tables off
service rpcbind stop
chkconfig rpcbind off
service postfix stop
chkconfig postfix off
service nfslock stop
chkconfig nfslock off
service ntpd stop
chkconfig ntpd off
----------------------
vnc服务
一般情况下不建议使用VNC服务,使用完需要及时关掉服务
- 优化界面
#cd /root/.vnc
#vi xstartup
//把最后一行改为: gnome-session&
- 启动VNC服务
#vncserver
第一次要设置密码;可以重复开多个server,可以在不同用户下启动属于特定用户的VNC
#vncpasswd //修改vnc密码
停止VNC服务
#vncserver -kill :1 (注意kill后面有空格)
#vncserver -kill :2
…………
- vnc客户端
vnc客户端