CentOS6.x系统安装后的基本优化与安全设置

前端之家收集整理的这篇文章主要介绍了CentOS6.x系统安装后的基本优化与安全设置前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。


CentOS6.x系统安装后的基本优化与安全设置

一. 关闭SELinux功能

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。

** SELinux有三种状态: **

  1. enforcing - SELinux security policy is enforced.

  2. permissive - SELinux prints warnings instead of enforcing.

  3. disabled - No SELinux policy is loaded.

它的配置文件在:/etc/selinux/config和/etc/sysconfig/selinux,只不过/etc/sysconfig/selinux是连接到/etc/selinux/config的

[root@yangwen~]#ls-l/etc/sysconfig/selinux
lrwxrwxrwx.1rootroot17Nov1716:28/etc/sysconfig/selinux../selinux/config

用sed命令修改配置文件,使其永久关闭

方法1:

[root@yangwen~]#grep"^SELINUX="/etc/selinux/configSELINUX=enforcing[root@yangwen~]#sed-i's#SELINUX=enforcing#SELINUX=disabled#g'/etc/selinux/config[root@AnSheng~]#grep"^SELINUX="/etc/selinux/configSELINUX=disabled

方法2:

[root@yangwen~]#grep"^SELINUX="/etc/selinux/configSELINUX=enforcing[root@AnSheng~]#sed-i"s#$(awk-F"[=]+"'NR==7{print$2}'/etc/selinux/config)#$(awk'NR==6{print$2}'/etc/selinux/config)#g"/etc/selinux/config[root@AnSheng~]#grep"^SELINUX="/etc/selinux/configSELINUX=disabled

查看及修改SELinux当前状态

[root@yangwen~]#getenforce
Enforcing[root@yangwen~]#setenforce---命令直接回车可以看见帮助
usage:setenforce[Enforcing|Permissive|1|0][root@yangwen~]#setenforce0[root@AnSheng~]#getenforce
Permissive

生产场景Linux服务器不能随便重启,若要不重启关闭selinux,首先修改selinux配置问津改为disabled,然后再用setenforce修改当前状态,这样不重启也可以关闭selinux了。

二. 精简系统开机启动项和Windows系统一样,在Linux服务器运行的过程中,也会有很多无用的软件服务默认就在运行,这些服务占用了很多系统资源,而且也带来了安全隐患,因此要关闭掉。

建议企业环境新装Linux系统之后必须自动开启的服务:

  1. sshd 远程连接Linux服务器,,需要这个服务程序,必须开启,否则无法远程连接Linux服务器(必须开启)

  2. rsyslog 是操作系统的一种机制,守护程序通常使用这些机制将各种信息写到各个系统日志文件(必须开启)

  3. network 激活/关闭启动时的各个网口(必须)应考虑开启

  4. crond 周期的运行用户调度的任务,配置更简单,有周期执行任务时,要开启

将来根据服务器的业务使用场景可以进行调整,所以调整就是增加,上面的四个服务中只能增加不能减少,关闭系统所有开机自启动服务的方法:

[root@yangwen~]#chkconfig--list|grep"3:on"|awk'{print$1}'|sed's#^#chkconfig#g'|sed's#$#off#g'|bash

[root@yangwen~]#chkconfig--list|grep3:on|awk'{print$1}'|sed-r's#(.*)#chkconfig\1off#g'|bash

方法3:

[root@yangwen~]#chkconfig--list|grep3:on|grep-vE"crond|sshd|network|rsyslog"|awk'{print$1}'|sed-r's#(.*)#chkconfig\1off#g'|bash

方法4:

[root@yangwen~]#fornamein`chkconfig--list|grep3:on|grep-vE"crond|sshd|network|rsyslog"|awk'{print$1}'`;dochkconfig$nameoff;done

方法5:

[root@yangwen~]#fornin`chkconfig--list|grep3:on|awk'{print$1}'`;dochkconfig--level3$noff;done

启动需要的服务

[root@yangwen~]#fornincrondnetworkrsyslogsshd;dochkconfig--level3$non;done

检查开机自启动的服务器

[root@yangwen~]#chkconfig--list|grep3:on
crond0:off1:off2:off3:on4:off5:off6:off
network0:off1:off2:off3:on4:off5:off6:off
rsyslog0:off1:off2:off3:on4:off5:off6:off
sshd0:off1:off2:off3:on4:off5:off6:off

三. 关闭iptables防火墙

[root@yangwen~]#/etc/init.d/iptablesstop
iptables:SettingchainstopolicyACCEPT:filter[OK]iptables:Flushingfirewallrules:[OK]iptables:Unloadingmodules:[OK]

或者

[root@yangwen~]#serviceiptablesstop

关闭开机自启动

[root@yangwen~]#chkconfigiptablesoff

检查

[root@yangwen~]#/etc/init.d/iptablesstatus
iptables:Firewallisnotrunning.[root@AnSheng~]#chkconfig--listiptables
iptables0:off1:off2:off3:off4:off5:off6:off

四. Linux最小化原则最小化原则:既多一事不如少一事,具体为:

1) 安装Linux系统最小化,既选包最小化,yum安装软件最小化;

2) 开机自启动程序服务最小化,既无用的服务不启动(少开一扇窗)

3) 操作命令最小化原则,rm �Cf test.txt,不用rm �Crf test

4) 登陆Linux最小化,禁止root从远程终端登录,平时没有需求不用root,用普通用户登录

5) 文件及目录的权限设置最小化。

6) 各种网络服务,系统配置参数合理,不要最大化。

五. 更改ssh服务端远程登录的配置SSHD的配置文件在/etc/ssh/目录下

ssh_config:客户端

sshd_config:服务端

[root@yangwen]#vimsshd_config

修改内容

Port61482#更改SSH远程连接的端口PermitRootLoginno#设置是否允许root通过ssh登录,这个选项从安全角度来讲应设成"no"。PermitEmptyPasswordsno#设置是否允许用口令为空的帐号登录。UseDNSno#关闭UseDNS加速SSH登录GSSAPIAuthenticationno#是否允许使用基于GSSAPI的用户认证.默认值为"no".仅用于SSH-2.[root@AnShengssh]#/etc/init.d/sshdrestart
Stoppingsshd:[OK]Startingsshd:[OK]

当前连接不重启不会中断,占用的连接没断开不会断开

六. 通过sudo管理权限让一个用户可以拥有原本他没有执行这个命令的权限,这个命令的权限可能是其他用户的,它可以用其他用户执行,用sudo执行的权限都是需要当前执行sudo用户的密码。

sudo 是一种程序,用于提升用户的权限,在linux中输入sodu就是调用这个程序提升权限,是一个命令解析器,sudo cd是错误的,因为cd是内置的,不是系统里面的,sudo可以运行系统带的命令,但无法用系统中一个软件中的命令

创建一个普通用户

[root@yangwen~]#useraddAnSheng

非交互式设置密码

[root@yangwen~]#echo"123456"|passwd--stdinAnSheng
ChangingpasswordforuserAnSheng.
passwd:allauthenticationtokensupdatedsuccessfully.#把echo的输出通过―stdin参数传输为zhanghui这个用户的密码
[root@yangwen~]#su-AnSheng[AnSheng@AnSheng~]$whoami
AnSheng

提示

1)超级管理员用户切换到普通用户不需要密码,普通用户切换普通用户需要密码,普通用户切换超级管理员用户也需要密码

2)普通用户的权限比较小,只能做基本的信息查看,无法更改(就像臣子进皇宫,我在皇宫里面无论做什么都需要向皇上请示,只有授权了才可以访问)

3)#超级管理员 $普通用户

[root@yangwen~]#visudo#在98行下面添加以下内容AnShengALL=(ALL)ALL#如果是命令使用下面的方式:AnShengALL=(ALL)/bin/touch(多个权限用“,”分开,ALL所有权限,NOPASSWD:ALL免密码)

查看设置sudo用户的权限

[root@yangwen~]#su-AnSheng[AnSheng@AnSheng~]$sudo-l

WetrustyouhavereceivedtheusuallecturefromthelocalSystem
Administrator.Itusuallyboilsdowntothesethreethings:#1)Respecttheprivacyofothers.
#2)Thinkbeforeyoutype.
#3)Withgreatpowercomesgreatresponsibility.[sudo]passwordforAnSheng:#输入密码MatchingDefaultsentriesforAnShengonthishost:
requiretty,!visiblepw,always_set_home,env_reset,env_keep="COLORSDISPLAYHOSTNAMEHISTSIZEINPUTRCKDEDIRLS_COLORS",env_keep+="MAILPS1
PS2QTDIRUSERNAMELANGLC_ADDRESSLC_CTYPE",env_keep+="LC_COLLATELC_IDENTIFICATIONLC_MEASUREMENTLC_MESSAGES",env_keep+="LC_MONETARY
LC_NAMELC_NUMERICLC_PAPERLC_TELEPHONE",env_keep+="LC_TIMELC_ALLLANGUAGELINGUAS_XKB_CHARSETXAUTHORITY",secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

UserAnShengmayrunthefollowingcommandsonthishost:(ALL)ALL

七. 修改系统字符集什么是字符集?

简单来说字符集就是一套文字符号及其编码,常用的字符集有GBK和UTF-8

Linux默认字符集路径:/etc/sysconfig/i18n

[root@yangwen~]#echo$LANG#查看当前语言[root@AnSheng~]#locale-a|grepzh#查看已安装语言包,如果没有中文语言包就安装中文语言包[root@AnSheng~]#LANG="zh_CN.gb18030"#修改当前字符集[root@AnSheng~]#source/etc/sysconfig/i18n#让其生效[root@AnSheng~]#vi/etc/sysconfig/i18n#修改字符集[root@AnSheng~]#source/etc/sysconfig/i18n#让其永久生效,Linux字符集和远程连接设置的字符集要对应。[root@AnSheng~]#cp/etc/sysconfig/i18n/etc/sysconfig/i18n.oldboy.ori[root@AnSheng~]#vi/etc/sysconfig/i18n[root@AnShengsysconfig]#source/etc/sysconfig/i18n[root@AnShengsysconfig]#echo$LANGzh_CN.UTF-8[root@AnShengsysconfig]#cat/etc/sysconfig/i18n#LANG="en_US.UTF-8"LANG="zh_CN.UTF-8"SYSFONT="latarcyrheb-sun16"

八. 设置Linux系统时间每五分钟同步一次[root@yangwen~]#crontab-l[root@yangwen~]#echo'*/5****/usr/sbin/ntpdatetime.nist.gov/dev/null2&1'>/var/spool/cron/root[root@yangwen~]#crontab-l*/5****/usr/sbin/ntpdatetime.nist.gov/dev/null2&1

九. 修改文件描述符文件描述符在形式上是一个非负整数。实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表。当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。

[root@yangwen~]#echo'*-nofile65535'>/etc/security/limits.conf[root@yangwen~]#ulimit-n
65535#需要退出重新登陆下

还有一种方法就是直接把ulimit -SHn 65535命令加入到/etc/rc.local,然后每次重起生效。

[root@yangwen~]#cat/etc/rc.localEOF#-Susethe`soft'resourcelimit#-Husethe`hard'resourcelimit#-nthemaximumnumberofopenfiledescriptorsulimit-HSn65535#-sthemaximumstacksizeulimit-s65535
EOF

十. 隐藏Linux版本信息显示清空/etc/issue

[root@yangwen~]#>/etc/issue[root@yangwen~]#cat/etc/issue[root@yangwen~]#cat/dev/null/etc/issue

十一. 配置国内yum源本次以阿里云的yum源为例

[root@yangwen~]#cd/etc/yum.repos.d/[root@yangwenyum.repos.d]#mkdirrepo[root@yangwenyum.repos.d]#mv*repo
mv:cannotmove`repo'toasubdirectoryofitself,`repo/repo'[root@yangwenyum.repos.d]#wget-O/etc/yum.repos.d/epel.repohttp://mirrors.aliyun.com/repo/epel-6.repo
--2015-11-2621:31:23--http://mirrors.aliyun.com/repo/epel-6.repo
Resolvingmirrors.aliyun.com...115.28.122.210,112.124.140.210
Connectingtomirrors.aliyun.com|115.28.122.210|:80...connected.
HTTPrequestsent,awaitingresponse...200OK
Length:1083(1.1K)[application/octet-stream]
Savingto:“/etc/yum.repos.d/epel.repo”

100%[==========================================================================================================]1,083--.-K/sin0s

2015-11-2621:31:23(196MB/s)-“/etc/yum.repos.d/epel.repo”saved[1083/1083][root@yangwenyum.repos.d]#wget-O/etc/yum.repos.d/CentOS-Base.repohttp://mirrors.aliyun.com/repo/Centos-6.repo
--2015-11-2621:31:29--http://mirrors.aliyun.com/repo/Centos-6.repo
Resolvingmirrors.aliyun.com...115.28.122.210,awaitingresponse...200OK
Length:2572(2.5K)[application/octet-stream]
Savingto:“/etc/yum.repos.d/CentOS-Base.repo”

100%[==========================================================================================================]2,572--.-K/sin0s

2015-11-2621:31:30(489MB/s)-“/etc/yum.repos.d/CentOS-Base.repo”saved[2572/2572][root@yangwenyum.repos.d]#yumcleanall#清楚缓存Loadedplugins:fastestmirror,security
Cleaningrepos:baseepelextrasupdates
CleaningupEverything
Cleaninguplistoffastestmirrors[root@AnShengyum.repos.d]#yummakecache#重新生成缓存

猜你在找的CentOS相关文章