AA8j的博客

linux系统安全加固账号加固密码长度与有效期默认配置：cat /etc/login.defs |grep PASS_ |grep -v '#'#------------------PASS_MAX_DAYS 99999# 密码有效期PASS_MIN_DAYS 0# 修改密码的最短期限PASS_MIN_LEN 5# 密码最短长度PASS_WARN_AGE 7# 密码过期提醒#------------------加固方案：cp -a /etc/login.defs /etc

日志分析系统性能分析一般认为用户态CPU和内核态CPU花费的时间小于70%时是良好状态。下面的命令可以用来监控系统性能并作出相应调整：命 令说 明nice启动程序时指定进程优先级。renice调整现有进程的优先级。netstat显示各种网络相关信息，包括网络连接情况、路由表、接口状态(Interface Statistics)、masquerade 连接、多播成员 (Multicast Memberships)等。实际上，netstat 用于显示与IP、TC

shell 脚本shell 环境echo $SHELL# 查看当前系统运行的shellcat /etc/shells# 查看已安装shellbash --version# 查看bash版本编写shell首行要添加所运行的shell环境：#!/bin/bashecho 'hello world!'运行方式：/bin/sh first.sh# 直接运行# 或者给文件添加可执行权限管道与重定向管道符位于管道符号”|”左边的命令输出的结果，将作为右侧命令的输入

firewalldfirewalld防火墙最大的优点在于支持动态更新以及加入了防火墙的“Zone”概念，firewalld防火墙支持IPV4和IPV6地址。可以通过字符管理工具firewall-cmd和图形化管理工具firewall-config进行管理。区域firewalld防火墙为了简化管理，将所有网络流量分为多个区域（zone）。其中默认区域为public区域，trusted区域默认允许所有流量通过，是一个特殊的区域。区域名称默认配置说明Trusted允许所有的传入流量

iptablesiptables规则表与规则链规则表表名作用raw表确定是否对该数据包进行状态跟踪mangle表为数据包设置标记nat表修改数据包中的源、目标ip地址或端口filter表确定是否放行该数据包（过滤）规则链链名作用INPUT处理入站数据包OUTPUT处理出站数据包FORWARD处理转发数据包POSTROUTING在进行路由选择后处理数据包PREROUTING在进行路由选择前处

Nginx安装与配置安装yum install -y epel-releaseyum install nginx# 安装 EPEL源和nginx服务配置文件Nginx服务名称：nginxNginx服务的默认站点：/usr/share/nginx/htmlNginx服务的主配置文件：/etc/nginx/nginx.conf全局配置I/O事件配置HTTP配置全局配置包括Nginx的运行用户、工作进程数、错误日志、PID存放位置等基本设置。user nginx

Web 服务器的搭建Apache服务器搭建安装Apacheyum install -y httpd systemctl start httpd.service# /etc/httpd/conf：该目录存放Apache服务器的配置文件# /var/www/html：该目录是Apache服务器的默认站点根目录# /etc/httpd/logs: Apache服务器的日志文件目录浏览器输入localhost测试部署网站：cp exam /var/www/html/exam#

DNS 服务器的配置与管理DNS 记录类型类型解释A主机记录，域名向ip地址转换的记录；PTR反向指针记录，ip地址向域名转换的记录；NS代表域内的dns服务器；MX邮件交换记录，代表域内的邮件服务器；CNAME别名记录，域名的别名；SOA起始授权机构，start of authority用于标示域内主DNS服务器。DNS 服务器的安装与配置安装DNS 并启动相关服务yum install bind# 安装bind程序包s

DHCP 服务器的配置与管理基本配置yum install dhcpvi /etc/dhcp/dhcpd.conf# 编辑配置文件####################ddns-update-style interim;# 配置网段和子网掩码subnet 192.168.10.0 netmask 255.255.255.0{ range 192.168.10.60 192.168.137.254; # 配置分配范围 option routers 192

SSH 远程管理及安全配置配置服务端服务监听选项vim /etc/ssh/sshd_configPort 22# 监听端口为22ListenAddress 192.168.10.1# 监听地址为192.168.10.1UseDNS yes# 禁用DNS反向解析修改之后重启：systemctl restart sshd用户登录控制vim /etc/ssh/sshd_config#################LoginGraceTime 2m# 登录验证时间

FTP用户分类系统用户系统本机用户。Linux一般不会对实体用户进行限制，因此实体用户可以针对整个文件系统进行工作。但通常不希望他们通过FTP方式远程访问系统。虚拟用户只能采用FTP方式使用系统的用户，不能直接使用Shell登录系统，即虚拟用户，访问服务器时需要验证。大多数FTP用户是这类用户。匿名用户对于公共性质的服务器可以提供匿名用户访问，用户名：anonymous。但在使用匿名用户时，应对其进行尽可能多的限制，权限较低，如：同时连接的用户数量受限，访问的文件数目受限，不能

文件共享服务器NFS开启NFSrpm -qa | grep nfs# 首先要确认服务是否已经安装，可以利用rpm命令进行查询。systemctl status nfs# 查看NFS服务运行状态systemctl start nfs# 启动NFS服务systemctl enable nfs# 开机自启配置NFS配置文件路径：/etc/exports配置文件格式：<输出目录> 客户端（选项）参数值内容说明rw/ro该目录共享的权限是可读写

包管理工具与软件安装打包压缩解压缩tartar [主选项+辅助选项] [文件或目录]选项说明-c创建新的tar 包-t列出tar 包文件的列表-x从tar 包中释放文件-r把备份文件追加到已备份文件的末尾-f备份文件或设备，必选项-v显示命令执行的详细信息-z用gzip 来压缩/解压缩文件-j用bzip2 来压缩/解压缩文件-C指定文件解压后的存放路径zipzip -r files.zip files

服务与进程管理Linux 运行级别运行级别说明0关机模式。poweroff.target1单用户模式，仅用于 root 用户对系统进行维护时。rescue.target2多用户模式（没有 NFS）。multi-user.target3完全多用户模式，即多用户文本界面模式，是标准的运行级别。multi-user.target4特定运行级别，基本不用的用户模式。multi-user.target5X11，Linux 系统的图形界面运行级别。gra

网络配置与管理主机名配置配置文件主机名保存在/etc/hostname文件中，可以通过查看这个文件获取当前主机名。hostnamehostname [新主机名]# 临时设置主机名hostnamectlhostnamectl set-hostname 新主机名# 永久设置主机名网卡信息配置网卡配置文件网卡配置文件位于/etc/sysconfig/network-scripts目录下,一块网卡对应一个配置文件。其中ifcfg-ens33为当前网卡配置文件，常用配置项的含义

高级文件系统管理磁盘配额只在指定的文件系统（分区）内有效针对指定的用户账号、组账号进行限制满足条件内核支持磁盘配额grep CONFIG_QUOTA /boot/config-2.6.32-279.el6.i686 CONFIG_QUOTA=y CONFIG_QUOTA_NETLINK_INTERFACE=y # CONFIG_QUOTA_DEBUG is not set CONFIG_QUOTA_TREE=y CONFIG_QUOTACTL=y 1.启用磁盘配额方

文件系统管理磁盘分区与文件系统挂载磁盘表示方法IDE接口的硬盘：hda1、hda2…hdb1、hdb2…SATA接口硬盘：sdb1、sdb2…sdb1、sdb2…MBR 分区表最多可以分为四个主分区（含扩展分区：只能有一个，将剩余的所有空间包含在内）。主分区和扩展分区的编号：1-4为主分区和扩展分区的编号。扩展分区不能直接使用，必须在扩展分区上建立逻辑分区并格式化后才能使用。逻辑分区编号从5开始。fdisk 分区磁盘分区命令fdisk /dev/sdb# 对磁盘进行分

文件目录权限管理命令chmod更改文件权限。chmod +w,g+rwx,o-rwx 1.txt# g:文件属组 o:其他用户 a：所有用户chmod +730 1.txt# 4：读 2：写 1：执行# 特殊权限：chmod 4755 files# 赋予 SUID(u+s) 权限（二进制文件）# 执行者对于该程序需要具有x的可执行权限；# 本权限仅在执行程序过程中有效；# 执行者将具有该程序所有者的权限；# 通俗讲就是给他所有者的执行权限chmod 2755 files

用户与组管理命令用户管理命令useradduseradd [选项] 用户名useradd stu1# 会增加用户、用户组、用户主目录和邮箱地址4个内容参数说明-d指定用户主目录-g指定用户组-m若主目录不存在，则创建-M不创建主目录-s指定登录时使用的 Shell 类型，默认为/bin/bash，如果为/bin/nologin 就是虚拟用户-c设置对该账号的注释说明文字，useradd -c "tom-sing office 02

目录解释目录目录解释/binbin 是 Binaries (二进制文件) 的缩写, 这个目录存放着最经常使用的命令。/boot这里存放的是启动 Linux 时使用的一些核心文件，包括一些连接文件以及镜像文件。/devdev 是 Device(设备) 的缩写, 该目录下存放的是 Linux 的外部设备，在 Linux 中访问设备的方式和访问文件的方式是相同的。/etcetc 是 Etcetera(等等) 的缩写,这个目录用来存放所有的系统管理所需要的配置文件和子