CentOS 65安全加固及性能優(yōu)化

CentOS6.5安全加固及性能優(yōu)化經常玩Linux系統(tǒng)的朋友多多少少也知道些系統(tǒng)參數(shù)優(yōu)化和怎樣增強系統(tǒng)安全性，系統(tǒng)默認的一些參數(shù)都是比較保守的，所以我們可以通過調整系統(tǒng)參數(shù)來提高系統(tǒng)內存、CPU、內核資源的占用，通過禁用不必要的服務、端口，來提高系統(tǒng)的安全性，更好的發(fā)揮系統(tǒng)的可用性。通過自己對Linux了解，對系統(tǒng)調優(yōu)做了如下小結：操作系統(tǒng)：CentOS6.5_x64最小化安裝1、 主機名設置[root@localhost~]# vi/etc/sysconfig/networkHOSTNAME=[root@localhost~]# hostname#臨時生效2、 關閉SELinux[root@localhost~]# vi/etc/selinux/configSELINUX=disabled[root@localhost~]# setenforce #臨時生效[root@localhost~]# getenforce #查看selinux狀態(tài)3、 清空防火墻并設置規(guī)則[root@localhost~]# iptables -F #青楚防火墻規(guī)則[root@localhost~]# iptables -L #查看防火墻規(guī)則[root@localhost~]# iptables -A INPUT -p tcp —dport 80 -j ACCEPT[root@localhost~]# iptables -A INPUT -p tcp —dport 22 -j ACCEPT[root@localhost~]# iptables -A INPUT -p tcp —dport 53 -j ACCEPT[root@localhost~]# iptables -A INPUT -p udp —dport 53 -j ACCEPT[root@localhost~]# iptables -A INPUT-pudp--dport 123-jACCEPT[root@localhost~]# iptables -A INPUT-picmp-jACCEPT[root@localhost~]# iptables -P INPUTDROP[root@localhost~]# /etc/init.d/iptablessave#根據(jù)需求開啟相應端口

[root@1ocalhost~]#cat/etc/sysconf1g/iptables#Generatedby1ptables-savevl.4.7onSunDec1510:17:412013liter:INPUTDROP[0:0':FORWARDACCEPTL。：。]INPUTINPUTINPUTINPUTINPUTINPUTpppppcccINPUTINPUTINPUTINPUTINPUTINPUTpppppccccddAT-T-r-uupppppmcccddcr-T-r-uuiACCEPTACCEPTACCEPTACCEPT-jACCEPT11111oo□oopppppddddd-A-A-A-ACOMMIT#Completedon5unDec1510:17:4120134、 添加普通用戶并進行sudo授權管理[root@localhost~]#useradduser[root@localhost~]#echo"123456〃|passwd—stdinuser#設置密碼[root@localhost~]#vi/etc/sudoers#或visudo打開，添加user用戶所有權限root ALL=(ALL) ALLuser ALL=(ALL) ALL5、 禁用root遠程登錄[root@localhost~]#vi/etc/ssh/sshd_configPermitRootLoginnoPermitEmptyPasswordsno #禁止空密碼登錄UseDNSno#關閉DNS查詢6、關閉不必要開機自啟動服務[root@localhostchkconfiqauditd 0:off1:offblk-availabiliry 0:offcrond 0:off1:offip6tab7eslvm2-monitornetfsnetworkpostfixudev-postLroot?I[root@localhostchkconfiqauditd 0:off1:offblk-availabiliry 0:offcrond 0:off1:offip6tab7eslvm2-monitornetfsnetworkpostfixudev-postLroot?IocaIhost[root^localhost[root@localhost[root@1ocalhost[rooWJocalhost[rooWlocalhost[roowlocalhostcrondnetworkpostfixrs^slog[root^localhost0:off1:off0:off1:on0:off1:off0:off1:off0:off1:off0:off1:off0:off1:off0:off1:on~J#chkconflgchkconfig-]#chkconfigchkconf1g~J#chkconf1g-]#chkconfigchkconf1q0:off1:off0:off1:off0:off1:off0:off1:off0:off1:off12122222222trT門nnnffn門rTnSO0OOOOOOOO□4344444444opoO0OOOOOOOe r3233333333gaudirdottblk-availabilityip6tablesoff'IvmZ-monitoroffnetfsoffudev-postoff--stjgrep3:2:on 3:on2:on 3:on2:on 3:on2:on 3:on2:on 3:onoffooooonnnnnnnnnnOO0OOOOOOOnnnn

OOOO-

5555f4—fffff4—ffofonofofafofofofofofof65666666666fffffQfofofofof66666of

6:7、刪除不必要的系統(tǒng)用戶[root(&localhost-]#awk-F':(print$1}/etc/passwdrootbindaemonadm1Psyncshutdownhaltmailuucpoperatorgamesvcsasaslauthpostf1Xsshdntp_ _oot^localhost~>oot(&localhostntp_ _oot^localhost~>oot(&localhost~>oot@localhost~>oot(&localhost~oot@localhost~oot^localhost~'root^localhost~######userdeIuserdeluserdeluserdeluserdeluserdeluserdeladm1haltuucpoperatorgames8、關閉重啟ctlaltdelete組合鍵[root@localhost~]#vi/etc/init/control-alt-delete.conf#exec/sbin/shutdown-rnow〃Control-Alt-Deletepressed〃#注釋掉9、調整文件描述符大小[root@localhost ~]# ulimit-n#默認是10241024[root@localhost ~]# echo"ulimit-SHn102400〃>> /etc/rc.local #設置開機自動生效10、 去除系統(tǒng)相關信息[root@localhost~]#echo"WelcometoServer">/etc/issue[root@localhost~]#echo"WelcometoServer">/etc/redhat-release11、 修改history記錄[root@localhost ~]# vi /etc/profile #修改記錄10個HISTSIZE=1012、 同步系統(tǒng)時間[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime#設置Shanghai時區(qū)[root@localhost~]#ntpdate；hwclock-w#同步時間并寫入blos硬件時間[root@localhost~]#crontab-e #設置任務計劃每天零點同步一次0****/usr/sbin/ntpdate;hwclock-w13、 內核參數(shù)優(yōu)化[root@localhost~]#vi/etc/sysctl.conf #末尾添加如下參數(shù)net.ipv4.tcp_syncookies=1 #1是開啟SYNCookies，當出現(xiàn)SYN等待隊列溢出時，啟用Cookies來處，理，可防范少量SYN攻擊，默認是0關閉net.ipv4.tcp_tw_reuse=1 #1是開啟重用，允許講TIME_AITsockets重新用于新的TCP連接，默認是0關閉net.ipv4.tcp_tw_recycle=1 #TCP失敗重傳次數(shù)，默認是15，減少次數(shù)可釋放內核資源net.ipv4.ip_local_port_range=409665000#應用程序可使用的端口范圍

6.net.ipv4.tcp_max_tw_buckets=5000#系統(tǒng)同時保持TIME_WAIT套接字的最大數(shù)量，如果超出這個數(shù)字，TIME_WATI套接字將立刻被清除并打印警告信息，默認1800007.net.ipv4.tcp_max_syn_backlog=4096#進入SYN寶的最大請求隊列，默認是10248.dev_max_backlog=10240#允許送到隊列的數(shù)據(jù)包最大設備隊列，默認3009.net.core.somaxconn=2048#listen掛起請求的最大數(shù)量，默認12810.net.core.wmem_default=8388608#發(fā)送緩存區(qū)大小的缺省值11.net.core.rmem_default=8388608#接受套接字緩沖區(qū)大小的缺省值（以字節(jié)為單位）12.net.core.rmem_max=16777216#最大接收緩沖區(qū)大小的最大值13.net.core.wmem_max=16777216#發(fā)送緩沖區(qū)大小的最大值14.net.ipv4.tcp_synack_retries=2#SYN-ACK握手狀態(tài)重試次數(shù)，默認515.net.ipv4.tcp_syn_retries=2#向外SYN握手重試次數(shù)，默認416.net.ipv4.tcp_tw_recycle=1#開啟TCP連接中TIME_WAITsockets的快速回收，默認是0關閉17.net.ipv4.tcp_max_orphans=3276800#系統(tǒng)中最多有多少個TCP套接字不被關聯(lián)到任何一個用戶文件句柄上，如果超出這個數(shù)字，孤兒連接