CentOS 6.5安全加固及性能优化

说明:经常玩Linux系统的朋友多多少少也知道些系统参数优化和怎样增强系统安全性,系统默认的一些参数都是比较保守的,所以我们可以通过调整系统参数来提高系统内存、CPU、内核资源的占用,通过禁用不必要的服务、端口,来提高系统的安全性,更好的发挥系统的可用性。通过自己对Linux了解,对系统调优做了如下小结:

操作系统:CentOS 6.5_x64最小化安装

1、主机名设置

  1. [[email protected]~]# vi /etc/sysconfig/network 
  2. HOSTNAME=test.com 
  3. [[email protected]~]# hostname test.com  #临时生效 

2、关闭SELinux

  1. [[email protected]~]# vi /etc/selinux/config 
  2. SELINUX=disabled 
  3. [[email protected]~]# setenforce #临时生效 
  4. [[email protected]~]# getenforce #查看selinux状态 

3、清空防火墙并设置规则

  1. [[email protected]~]# iptables -F   #清楚防火墙规则 
  2. [[email protected]~]# iptables -L   #查看防火墙规则 
  3. [[email protected]~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
  4. [[email protected]~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
  5. [[email protected]~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT 
  6. [[email protected]~]# iptables -A INPUT -p udp --dport 53 -j ACCEPT 
  7. [[email protected]~]# iptables -A INPUT -p udp --dport 123 -j ACCEPT 
  8. [[email protected]~]# iptables -A INPUT -p icmp -j ACCEPT 
  9. [[email protected]~]# iptables -P INPUT DROP 
  10. [[email protected]~]# /etc/init.d/iptables save 

#根据需求开启相应端口

CentOS 6.5安全加固及性能优化

4、添加普通用户并进行sudo授权管理

  1. [[email protected]~]# useradd user 
  2. [[email protected]~]# echo "123456" | passwd --stdin user  #设置密码 
  3. [[email protected]~]# vi /etc/sudoers  #或visudo打开,添加user用户所有权限 
  4. root    ALL=(ALL)       ALL 
  5. user    ALL=(ALL)       ALL 

5、禁用root远程登录

  1. [[email protected]~]# vi /etc/ssh/sshd_config 
  2. PermitRootLoginno 
  3. PermitEmptyPasswords no #禁止空密码登录 
  4. UseDNSno #关闭DNS查询 

6、关闭不必要开机自启动服务

CentOS 6.5安全加固及性能优化

7、删除不必要的系统用户

CentOS 6.5安全加固及性能优化

8、关闭重启ctl-alt-delete组合键

  1. [[email protected] ~]# vi /etc/init/control-alt-delete.conf 
  2. #exec /sbin/shutdown -r now "Control-Alt-Deletepressed"  #注释掉 

9、调整文件描述符大小

  1. [[email protected] ~]# ulimit –n #默认是1024 
  2. 1024 
  3. [[email protected] ~]# echo "ulimit -SHn 102400">> /etc/rc.local   #设置开机自动生效 

10、去除系统相关信息

  1. [[email protected] ~]# echo "Welcome to Server" >/etc/issue 
  2. [[email protected] ~]# echo "Welcome to Server" >/etc/redhat-release 

11、修改history记录

  1. [[email protected] ~]# vi /etc/profile  #修改记录10个 
  2. HISTSIZE=10 

12、同步系统时间

  1. [[email protected] ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime  #设置Shanghai时区 
  2. [[email protected] ~]# ntpdate cn.pool.ntp.org ;hwclock–w  #同步时间并写入blos硬件时间 
  3. [[email protected] ~]# crontab –e     #设置任务计划每天零点同步一次 
  4. 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w 

13、内核参数优化

  1. [[email protected] ~]# vi /etc/sysctl.conf    #末尾添加如下参数 
  2. net.ipv4.tcp_syncookies = 1            #1是开启SYN Cookies,当出现SYN等待队列溢出时,启用Cookies来处,理,可防范少量SYN攻击,默认是0关闭 
  3. net.ipv4.tcp_tw_reuse = 1             #1是开启重用,允许讲TIME_AIT sockets重新用于新的TCP连接,默认是0关闭 
  4. net.ipv4.tcp_tw_recycle = 1            #TCP失败重传次数,默认是15,减少次数可释放内核资源 
  5. net.ipv4.ip_local_port_range = 4096 65  #应用程序可使用的端口范围 
  6. net.ipv4.tcp_max_tw_buckets = 5     #系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认180 
  7. net.ipv4.tcp_max_syn_backlog = 4096    #进入SYN宝的最大请求队列,默认是1024 
  8. net.core.netdev_max_backlog =  10240  #允许送到队列的数据包最大设备队列,默认300 
  9. net.core.somaxconn = 2048              #listen挂起请求的最大数量,默认128 
  10. net.core.wmem_default = 8388608        #发送缓存区大小的缺省值 
  11. net.core.rmem_default = 8388608        #接受套接字缓冲区大小的缺省值(以字节为单位) 
  12. net.core.rmem_max = 16216           #最大接收缓冲区大小的最大值 
  13. net.core.wmem_max = 16216           #发送缓冲区大小的最大值 
  14. net.ipv4.tcp_synack_retries = 2        #SYN-ACK握手状态重试次数,默认5 
  15. net.ipv4.tcp_syn_retries = 2           #向外SYN握手重试次数,默认4 
  16. net.ipv4.tcp_tw_recycle = 1            #开启TCP连接中TIME_WAIT sockets的快速回收,默认是0关闭 
  17. net.ipv4.tcp_max_orphans = 3276800     #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超出这个数字,孤儿连接将立即复位并打印警告信息 
  18. net.ipv4.tcp_mem = 94500 915 927 
  19. net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力; 
  20. net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段; 
  21. net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket。内存单位是页,可根据物理内存大小进行调整,如果内存足够大的话,可适当往上调。上述内存单位是页,而不是字节。 

至此CentOS 6.5_x64最小化安装系统基本优化调整完毕,需要重启下系统。

本文出自 ““企鹅”那点事儿” 博客。

更多相关文章
  • 美国国防部下属的电子邮件服务器上月25日被黑客袭击,造成约4000名雇员的"非保密"电子邮件系统和网络浏览器“停工”11天进行抢修.据悉,受影响的雇员都来自参谋长联席会议(美军总参谋部).   美方强调,7月份发生的袭击活动未造成机密信息泄露.调查人员发现,黑客使用社交媒体系统来 ...
  • 1. 添加到map view的子视图不会随地图的移动而移动,map view会固定其子视图的位置.如果要添加随着地图移动的子视图,可以使用annotations和overlays.annotation用来显示由一个经纬度定义的位置,而overlay则是由多个点所定义或者包含了许多连续的图形.   2 ...
  • 一.MIME TYPE描述 多用途互联网邮件扩展(MIME,Multipurpose Internet Mail Extensions)是一个互联网标准,它扩展了电子邮件标准,使其能够支持非ASCII字符.二进制格式附件等多种格式的邮件消息. 内容类型(Content-Type),这个头部领域用于指 ...
  • Android代码 1:查看是否有存储卡插入string status=environment.getexternalstoragestate(); if(status.equals(enviroment.media_mounted)) {    说明有sd卡插入} 2:让某个activity透明o ...
  • 粉色的蒲公英.橙色的叶子.还有黄色的雪花莲,科学家们在让我们看到狗眼中的世界后又让我们看到了蜥蜴和蜜蜂眼中的世界.研究人员们开发出了一种新的软件,它能够将数码照片转换成动物眼中的样子,这款软件不仅可以用来分析动物眼中的色彩与图案,还能够揭示捕食者是怎样捕食的而弱小的生物又是怎样子伪装自己的.这款由埃 ...
  • 在学习ASP.NET MVC之前首先了解什么 是MVC ? MVC不是一种语言,严格来说也不算一个技术,而是开发时所使用的一种架构(框架),它就像是一种开发观念,或是一个设计样式. MVC让软件开发的过程大致切割为三个主要单元,分别为:Model(模型).View(视图).Controller(控制 ...
一周排行
  • 问题描述 Given two integers representing the numerator and denominator of a fraction, return the fraction in str ...
  • 最近几个月一直忙于单林单域多站点的200多台域控.DHCP和WSUS的升级项目中,操作系统由Windows Server 2003 R2升级到Windows Server 2008 R2.在这个过程中遇到过很多问题, ...
  • SQL(Structure Query Language)语言是数据库的核心语言. SQL的发展是从1974年开始的,其发展过程如下:1974年--由Boyce和Chamberlin提出,当时称SEQUEL.1976 ...
  • /* Name: Copyright: Author: Date: 4 2 Description: 拓扑排序之变量序列 假设有n个变量(1
  • 购买搜索关键词,借助百度的推广平台,很多中小企业获得了成功.现在,一些推广企业扛着移动互联网的大旗,借机推出"手机搜索"服务,然后在高档宾馆一次次地举办推广会,怂恿中小企业抢注"手机搜索 ...
  • 易网科技讯 北京时间1月14日消息 据marketwatch网站报道,在谷歌突然宣布因遭到一系列攻击可能退出中国后,竞争对手百度股价周三大涨近14%,同时谷歌股价跌约0.6%. 当地时间周二晚上,谷歌在官方博客上表示 ...
  • 易网科技讯 北京时间5月17日消息,化妆品电商平台聚美优品在美国纽交所正式挂牌上市,首日收盘价为24.18美元,较发行价22美元上涨9.91%,按收盘价计算,聚美优品市值34.33亿美元.不过,这一数字与开盘价27. ...
  • 人生若只如初见, 何事秋风悲画扇. 等闲变却故人心, 却道故人心易变. 这一年,不知不觉也就这样过去了,不悲不喜.既没有像刚来时的迷惘,也没有低落消沉. 因为年轻,所以有一颗不服输的心!当朋友告诉我,对于女生学习计算 ...
  • 单击一下代码框  然后点文件  有个高级保存选项  改成utf-8  就可以显示中文了
  •   linux脚本(shell)编程  啊,昨天上网看到一篇讲 linux/unix shell 的文章,想想自己最后写这东西也是一年前的事了,想想都快忘光了.  还是整理一下,做一次回顾,以后说不定还用得上:帖出来 ...