一、关闭防火墙iptables:
(1)关闭
/etc/init.d/iptables stop
(2)检查
/etc/init.d/iptables status
(3)设置开机不自动启动
chkconfig iptables off
(4)检查
chkconfig --list iptables
二、关闭selinux(安全):
说明:永久生效,需要重启计算机。
(1)检查配置文件
cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
(2)修改配置文件
sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config
(3)不重启系统的临时生效办法
setenforce 0 #设置Permissive模式
getenforce #查生效情况
(4)参数说明
# enforcing - SELinux security policy is enforced. 正常开启
# permissive - SELinux prints warnings instead of enforcing. 打印警告,但是也是禁止了。
# disabled - No SELinux policy is loaded. 禁止状态。
三、更改yum源:
(1)创建备份目录
mkdir -p /etc/yum.repos.d/{default,back} ###记住,每次操作之前一定要备份!备份!备份!重要的事说三遍
(2)备份所有默认的配置文件
\mv /etc/yum.repos.d/*repo /etc/yum.repos.d/default
(3)获取yum源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
(4)备份yum源
\cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/default
四、精简开机自启动服务:
(1)只保留重要的基础服务,其余全部关闭
chkconfig --list|egrep -v "sysstat|crond|sshd|network|rsyslog"|awk '{print "chkconfig "$1,"off"}'|bash
(2)检查
chkconfig --list|grep 3:on
五、修改Linux服务器字符集:
(1)检查配置文件
cat /etc/sysconfig/i18n
里面默认应该有以下2行内容:
LANG="en_US.UTF-8" ###默认每次提示为英文,如果不熟悉英语的小伙伴可以进行下列操作
SYSFONT="latarcyrheb-sun16"
(2)备份配置文件
cp /etc/sysconfig/i18n{,.back}
(3)修改(此步选做)
说明:可以将字符集修改为中文的,也可以不修改。
echo 'LANG="zn_CN.UTF-8"' > /etc/sysconfig/i18n
echo 'SYSFONT="latarcyrheb-sun16"' >> /etc/sysconfig/i18n
(4)生效
source /etc/sysconfig/i18n
(5)检查
echo $LANG
六、内核优化:
(1)修改配置文件/etc/sysctl.conf,添加如下内容(直接一次性复制以下所有内容,在命令行里粘贴执行即可)
cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
EOF
(2)生效
sysctl -p
七、时间同步:(工作中时间同步很重要,非常重要!)
(1)配置
echo '#time sync by oldboy at 2018-04-26' >> /var/spool/cron/root
echo '*/5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >> /var/spool/cron/root
###一般以阿里云时间服务器为基准,以下地址可自己选择:
ntp1.aliyun.com
ntp2.aliyun.com
ntp3.aliyun.com
ntp4.aliyun.com
ntp5.aliyun.com
ntp6.aliyun.com
ntp7.aliyun.com
(2)检查
crontab -l
(3)备份
\cp /var/spool/cron/root{,.back}
八、加大文件描述:
(1)配置
echo '* - nofile 65535 ' >>/etc/security/limits.conf
(2)检查
tail -1 /etc/security/limits.conf
(3)备份
\cp /etc/security/limits.conf{,.back}
九、下载安装系统基础软件:
yum install -y lrzsz nmap tree dos2unix nc ###一些基础软件会在集群架构中经常用到
十、配置hosts文件:
说明:期中集群架构的域名解析均使用内网IP,基础服务共涉及差不多9台服务器
(1)修改
cat >/etc/hosts<<EOF
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
172.16.1.5 lb01
172.16.1.6 lb02
172.16.1.7 web01
172.16.1.8 web02
172.16.1.9 web03
172.16.1.51 db01
172.16.1.31 nfs01
172.16.1.41 backup
172.16.1.61 m01
EOF
(2)备份
\cp /etc/hosts{,.back}
十一、处理/etc/bashrc以及/root/.bashrc:
(1)备份配置文件
\cp /etc/bashrc{,.back}
(2)处理/etc/bashrc
编辑配置文件/etc/bashrc(vim /etc/bashrc),
把这个文件的第36行注释掉,
然后在刚刚注释掉的第36行下面另起一行,添加以下内容:
[ "$PS1" = "\\s-\\v\\\$ " ] && PS1="[\[\e[34;1m\]\u@\H\[\e[0m\] \[\e[31;1m\]\w\[\e[0m\] \[\e[32;1m\]\t\[\e[0m\]]\\$ "
注意,上面那一行很长,必须要一点不差的复制粘贴进去,并且中间不能出现回车,只能有空格,一定要注意检查!!!
使之生效:source /etc/bashrc
查看效果:按组合键ctrl+d,然后重新登录系统。
###咯,差不多就上面这样,我一老师写的,感觉挺方便的,不用随时pwd看路径和位置,在企业中尤其管用
(3)处理/etc/bashrc
修改配置文件/root/.bashrc(vim /root/.bashrc),
在最后一行alias下面添加以下2行内容:
alias grep='grep --color'
alias egrep='egrep --color'
保存并退出;
使之生效:. /root/.bashrc
注意:此处的点号(.)是一个命令,此命令等价于source命令。
十二、添加一个用户:
(1)添加
useradd oldboy
(2)检查
id oldboy
(3)设置密码
echo 123456|passwd --stdin oldboy
十三、提权给新建的用户(解释一下,因为root 用户知道的人太多了,都知道是超级管理员,为了企业的安全,重新设置一个用户)
将oldboy添加到sudo管理,以后oldboy就相当于管理员
(1)备份
\cp /etc/sudoers{,.back}
(2)修改
echo "oldboy ALL=(ALL) NOPASSWD: ALL " >> /etc/sudoers
(3)检查
tail -1 /etc/sudoers
(4)生效
visudo -c
###此时的oldboy权限相当于root用户
十四、优化SSH远程连接:
(1)备份配置文件
cp /etc/ssh/sshd_config{,.back}
(2)修改配置文件
编辑ssh服务的配置文件(vim /etc/ssh/sshd_config),在第12行下面添加如下内容:
####Start by oldboy#2018-04-26###
Port 52113 ###同样为了安全,更改登录端口
PermitRootLogin no
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
####End by oldboy#2018-04-26###
(3)检查
grep -A 5 -i 'Start by oldboy' /etc/ssh/sshd_config
(4)重启ssh服务
/etc/init.d/sshd restart
(5)检查
netstat -lntup | grep ssh
(6)配置说明
####Start by oldboy#2018-04-26###
Port 52113 #使用大于10000的端口号
PermitRootLogin no #禁止root远程登录
PermitEmptyPasswords no #禁止空密码登录
UseDNS no #不使用dns解析
GSSAPIAuthentication no #连接慢的解决配置
####End by oldboy#2018-04-26###
十五、xshell连接
########################################################################################################
企业中:如果学习的话上面优化差不多了,当然企业实战中还可以做隐藏Linux版本信息展示;锁定关键系统文件,防止被提权篡改;为grub菜单加密码;禁ping等