本文根据讲义笔记整理
1、如何最小化安装系统
简化安装策略:
请只安装需要的东西,根据需要安装,不要安装
发展包、基本网络包、基本APP包
在Centos6.x上的设置:
在Centos7.x上的设置:
2、网络设置的问题和经验
1 )、服务器IP地址的配置
/etc/sys配置/网络脚本/if CFG-eth0/1/2…。
重新启动网卡的命令:
服务网络重新启动或/etc/init.d /网络重新启动
2 )、网关/主机名配置
/etc /系统配置/网络
3 ) DNS的配置
/etc/resolv.conf
4 )、主机文件配置
/etc /主机
3、selinux、iptables策略设置
1 )、selinux配置(关闭selinux的方法) )。
cat /etc/selinux/config
SELINUX的状态:
加密接通状态
持久性警报的状态
禁用关闭状态
命令行关闭: setenforce 0
2 ) iptables配置
/etc /系统配置/iptables
推荐配置:
iptables-p输入接受
iptables -F
可用输入- ptcp-mtcp--端口80-j接受
iptables-a输入- s 1.1.1.0/24-ptcp-mtcp--端口22-j接受
iptables-a输入- s 2.2.2.2/32-ptcp-mtcp--端口22-j接受
iptables-a输入- I以太H1-j接受
启用输入- I lo-j接受程序
iptables-a输入-状态- -状态相关,可建立- j接受
iptables-a输入- ptcp-mtcp-- TCP -标志迷你,同步,RST,PSH,ACK,urg无一- j拖放
iptables-a输入- ptcp-mtcp-- TCP -标志精细,同步精细,同步拖放
iptables-a输入- ptcp-mtcp-- TCP -标志同步、rst同步、rst-j删除
iptables-a输入- ptcp-mtcp-- TCP -标志精细,rst精细,rst-j下拉
iptables-a输入- ptcp-mtcp-- TCP -标志精细,ack精细- j下拉
iptables-a输入- ptcp-mtcp-- TCP -标志路径,ack psh-j下拉
iptables-a输入- ptcp-mtcp-- TCP -标志确认,urg urg-j拖放
可用输入下拉列表
可用输出接受程序
Iptables-P正向降落
4、ssh登录系统战略
1 )、登录策略
备份: CP/ETC/SSH/SSHD _ config SSHD _ config _ bak )运维必备规则
vi /etc/ssh/sshd_config
#SSH链接默认端口,将默认的22个端口更改为1万个以上的端口号,以防止它们受到扫描和攻击。
端口22221
无需使用DNS反向查找,即可提高ssh连接速度
用户号
关闭GSSAPI认证可以提高ssh连接速度
GSSAPIAuthentication no
禁止超级用户帐户登录
权限登录号
2 )用户权限策略
只要禁止root用户远程登录系统,只允许普通用户登录系统,执行需要管理员权限的sudo即可,可以避免root用户之间的登录。
如何允许用户登录和设置sudo?
/etc/sudoers文件
userlist主机列表=操作列表标签列表命令列表
一般配置:
Martin all=(根) NOPASSWD: /幸福的龙猫/mv,/幸福的龙猫/chmod
5、更新yum源和必要的软件安装
常用的几种yum酱
epel来源: https://联邦项目. org/wiki/epel
repoforge来源: http://repo forge.org /用户/
6、定时自动更新服务器时间
1、在crontab中设定时间同步
推荐的时间服务器: ntp.sjtu.edu.cn
/usr/s幸福的龙猫/ntpdate NTP.sjtu.edu.cn/var/log/NTP.log 21; /s幸福的龙猫/hwclockw
2、设置NTP服务器
关注两个文件:
/etc/NTP/NTP服务器. conf
/etc/ntp.conf
7、简化启动自动启动服务
推荐在线服务器打开的服务
克隆,网络,系统日志,固态硬盘,iptables,udev-post,系统启动
如何打开快捷方式:
先关闭一切
fors Ervin--列表| grep : on|awk ' {打印$1} `; o chkconfig----第3级$服务器; 完蛋
接下来,启动所需的服务。
crondnetworksyslogsshdiptablesudev -后期系统`; o chkconfig---- 3级$服务器; 完蛋
8、删除不需要的系统用户和组
可删除的系统用户和组
# #删除不需要的用户
美国南方航空公司
美国石油公司
用户同步
串级关闭
美国英雄队
美国环球网
美国通用汽车公司
串行视频
美国航空公司
美国消费者协会
美国足球俱乐部
# #删除不需要的组
组管理员
集团控股有限公司
集团新闻
组UCP
组成员
9、定期自动清理垃圾文件
如何查找大文件: dush/*
防止/var/spool /客户端队列/目录和I节点已满
十、重要的文件安全政策
章节I /章节/章节
字符I/ETC /阴影
字符I/ETC /密码
chattr i /etc/grub.conf
11、内核参数的简单优化
1、关注ulimit命令
关注配置文件
[根@ centos 01警报脚本] # LS/ETC /安全性/限制。
limits.conf limits.d/
值得注意的是,ulimitc,-f,-n,-u
12、系统故障诊断的关注点
1 )、应用tail -f /var/log/messages #日志查询
2 )、tail -f /var/log/secure #登录登录查询
3 )、dmesg #系统日志查询
4 )、/var/tmp、/tmp #容易攻击点位查询
5 )、规划crontab -l、/etc/crontab #任务查询(始终攻击对象)
本文来自“厚德舞台”博客,谢绝转载!