带来一篇CentOS 6.5 宁静加固及功能优化
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!经由过程修正CentOS6.5的体系默许设置,对体系举行宁静加固,举行体系的功能优化。情况:
体系硬件:vmwarevsphere(CPU:2*4核,内存2G)
体系版本:Centos-6.5-x86_64(最小化装置)
步调:
1.封闭SELinux
#vim/etc/selinux/config
翻开文件,修正并保留
SELINUX=disabled#克制
假如必要失效,必要设置为Enforcing
SELINUX=Enforcing#失效
#getenforce #检察selinux形态
2.清空防火墙并设置划定规矩
2.1扫除及检察
#清绝后,先同意一切毗连
#/sbin/iptables-PINPUTACCEPT #清空一切划定规矩前把policyDROP该为INPUT,避免喜剧产生,没法近程毗连
#清空划定规矩
#/sbin/iptables-F #清空一切划定规矩
#/sbin/iptables-X #清空一切划定规矩
#/sbin/iptables-Z #计数器置0
##/etc/init.d/iptablesstatus #检察防火墙信息
2.2设置划定规矩,依据需求开启响应端口
#iptables-AINPUT-ilo-jACCEPT #同意来自于lo接口的数据包,假如没有此划定规矩,你将不克不及经由过程127.0.0.1会见当地办事
#iptables-AINPUT-ptcp--dport22-jACCEPT #TCP22=近程登录协定端口
#iptables-AINPUT-ptcp--dport80-jACCEPT #TCP80=超文本办事器(Http),Executor,RingZero端口
#iptables-AINPUT-ptcp-s10.122.78.75-jACCEPT #承受一切来自内网IP,10.241.121.15的TCP哀求
#iptables-AINPUT-picmp-micmp--icmp-type8-jACCEPT #承受ping
#iptables-AINPUT-mstate--stateESTABLISHED-jACCEPT #确保一般和内部通讯
#别的划定规矩,依据需求设定
#iptables-AINPUT-ptcp--dport53-jACCEPT #TCP53=DNS,Bonk(DOSExploit)端口
#iptables-AINPUT-pudp--dport53-jACCEPT #TCP53=DNS,Bonk(DOSExploit)端口
#iptables-AINPUT-pudp--dport123-jACCEPT#UDP123=收集工夫协定(NTP),NetController端口
#iptables-AINPUT-picmp-jACCEPT
#屏障
#iptables-PINPUTDROP #屏障上述划定规矩觉得的一切哀求
2.3保留设置
#/etc/init.d/iptablessave
2.4重启办事
#/etc/init.d/iptablesrestart
2.5检察形态
#/etc/init.d/iptablesstatus
3.增加一般用户并举行sudo受权办理
#useradduser
#echo"123456"|passwd--stdinuser#设置暗码
#vim/etc/sudoers#或visudo翻开,增加user用户一切权限
rootALL=(ALL)ALL
userALL=(ALL)ALL
4.禁用root近程登录
#vim/etc/ssh/sshd_config
PermitRootLoginno
PermitEmptyPasswordsno#克制空暗码登录
UseDNSno#封闭DNS查询
5.封闭不用要开机自启动办事
6.删除不用要的体系用户
7.封闭重启ctl-alt-delete组合键
#vim/etc/init/control-alt-delete.conf
#exec/sbin/shutdown-rnow"Control-Alt-Deletepressed"#正文失落
8.调剂文件形貌符巨细
#ulimit–n#默许是1024
1024
#echo"ulimit-SHn102400">>/etc/rc.local#设置开机主动失效
9.往除体系相干信息
#echo"WelcometoServer">/etc/issue
#echo"WelcometoServer">/etc/redhat-release
10.修正history纪录
#vim/etc/profile#修正纪录10个
HISTSIZE=10
11.同步体系工夫
#cp/usr/share/zoneinfo/Asia/Shanghai/etc/localtime#设置Shanghai时区
#ntpdatecn.pool.ntp.org;hwclock–w#同步工夫并写进blos硬件工夫
#crontab–e#设置义务企图天天零点同步一次
0****/usr/sbin/ntpdatecn.pool.ntp.org;hwclock-w
12.内核参数优化
#vim/etc/sysctl.conf#开端增加以下参数
net.ipv4.tcp_syncookies=1#1是开启SYNCookies,当呈现SYN守候行列溢出时,启用Cookies来处,理,可提防大批SYN打击,默许是0封闭
net.ipv4.tcp_tw_reuse=1#1是开启重用,同意讲TIME_AITsockets从头用于新的TCP毗连,默许是0封闭
net.ipv4.tcp_tw_recycle=1#TCP失利重传次数,默许是15,削减次数可开释内核资本
net.ipv4.ip_local_port_range=409665000#使用步伐可以使用的端口局限
net.ipv4.tcp_max_tw_buckets=5000#体系同时坚持TIME_WAIT套接字的最年夜数目,假如超越这个数字,TIME_WATI套接字将立即被扫除并打印告诫信息,默许180000
net.ipv4.tcp_max_syn_backlog=4096#进进SYN宝的最年夜哀求行列,默许是1024
net.core.netdev_max_backlog=10240#同意送到行列的数据包最年夜装备行列,默许300
net.core.somaxconn=2048#listen挂起哀求的最年夜数目,默许128
net.core.wmem_default=8388608#发送缓存区巨细的缺省值
net.core.rmem_default=8388608#承受套接字缓冲区巨细的缺省值(以字节为单元)
net.core.rmem_max=16777216#最年夜吸收缓冲区巨细的最年夜值
net.core.wmem_max=16777216#发送缓冲区巨细的最年夜值
net.ipv4.tcp_synack_retries=2#SYN-ACK握手形态重试次数,默许5
net.ipv4.tcp_syn_retries=2#向外SYN握手轻试次数,默许4
net.ipv4.tcp_tw_recycle=1#开启TCP毗连中TIME_WAITsockets的疾速接纳,默许是0封闭
net.ipv4.tcp_max_orphans=3276800#体系中最多有几个TCP套接字不被联系关系就任何一个用户文件句柄上,假如超越这个数字,孤儿毗连将当即复位并打印告诫信息
net.ipv4.tcp_mem=94500000915000000927000000
net.ipv4.tcp_mem:低于此值,TCP没有内存压力;
net.ipv4.tcp_mem:在此值下,进进内存压力阶段;
net.ipv4.tcp_mem:高于此值,TCP回绝分派socket。内存单元是页,可依据物理内存巨细举行调剂,假如内存充足年夜的话,可得当往上调。上述内存单元是页,而不是字节。
至此CentOS6.5_x64最小化装置体系基础优化调剂终了,必要重启下体系。
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
带来一篇CentOS 6.5 宁静加固及功能优化
现在的linux操作系统如redhat,难点,红旗等,都是用这么一个内核,加上其它的用程序(包括X)构成的。 眼看这个学期的Linux课程已经告一段落了,我觉得有必要写一遍心得体会来总结一下这学期对着门课程的学习。 生成新的unispimsp.ksc。”另外得到回复后如果问题解决,向帮助过你的人发个说明,让他们知道问题是怎样解决的。 查阅经典工具书和Howto,特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40%的问题同样可以解决。 其次,Linux简单易学,因为我们初学者只是学的基础部分,Linux的结构体系非常清晰,再加上老师循序渐进的教学以及耐心的讲解,使我们理解起来很快,短期内就基本掌握了操作和运行模式。 眼看这个学期的Linux课程已经告一段落了,我觉得有必要写一遍心得体会来总结一下这学期对着门课程的学习。 对于英语不是很好的读者红旗 Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些Linux版本的免费下载,这里要说的是并不适合Linux初学者。 学习Linux,应该怎样学,主要学些什么,一位Linux热心学习者,一段学习Linux的风云经验,历时十二个小时的思考总结,近十位网络Linux学习者权威肯定,为您学习Linux指明方向。 熟悉系统的基本操作,Linux的图形界面直观,操作简便,多加上机练习就可熟悉操作,在Linux下学习办公软件等常用软件。
页:
[1]