centos-5.x/6.x安装后的几点优化 安全
wget http://py.10isp.com/cdn/centos5.sh bash centos5.sh wget http://py.10isp.com/cdn/centos6.sh bash centos6.sh
1. 解决使用putty远程访问centos出现乱码的问题
putty配置 [window]→[Appearance]→[Font settings]→[Change]→[Fixedsys CHINESE_GB2312] [window]→[Translation]→[Remote character set]→[UTF-8] 如果经常使用,把这些设置保存在session里面。
打开putty,登录成功后,在shell中输入:
export LC_ALL='zh_CN.utf8'
2. 检查系统是否正常
# more /var/log/messages (检查有无系统内核级错误信息)
# dmesg (检查硬件设备是否有错误信息)
# ifconfig(检查网卡设置是否正确)
# ping 10isp.com (检查网络是否正常,dns是否配置正确cat etc/resolv.conf) 关闭不需要的服务
# ntsysv以下的服务按需要开启.
apmd(高级电源管理)
auditd(审核信息,将消息写入控制台以及 audit_warn 电子邮件别名。用于存放内核生成的系统审查记录,这些记录会被一些程序使用。特别是对于SELinux用户来说。)
cpuspeed(监测系统空闲百分比,降低或加快CPU时钟速度和电压从而在系统空闲时将能源消耗降为最小,而在系统繁忙时最大化加快系统执行速度。)
crond(自动计划任务)
mdmonitor mdmpd(RAID相关设备的守护程序。)
messagebus(事件监控服务,在必要时向所有用户发送广播信息,如服务器将要重启。)
network(激活已配置网络接口的脚本程序)
readahed_early readahead_later(开机内存载入优化)
smartd(监控你的硬盘是否出现故障。)
sshd(OpenSSH服务器守护进程。远程服务进程)
syslog(系统日志)
yum-updatesd(RPM操作系统自动升级和软件包管理守护进程。)
3. 配置yum更换yum的升级列表 centos 5.x
cd /etc/yum.repos.d/ mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo yum makecache yum -y update
centos 6.x
yum install -y wget cd /etc/yum.repos.d/ mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo yum makecache yum -y update
添加Epel源 1、备份(如有配置其他epel源)
mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup
2、下载新repo 到/etc/yum.repos.d/
epel(RHEL 6)
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
epel(RHEL 5)
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo
4. 更新所有系统中的程序,包括内核
# yum upgrade(yum update 排除升级内核,方法有两个:)
修改yum的配置文件 vi /etc/yum.conf, 在[main]的最后添加exclude=kernel*
2.直接在yum的命令行执行如下的命令:
yum --exclude=kernel* update
5. 定时校正服务器时间#修改系统的时区
rm -rf /etc/localtime ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime yum -y install ntp ntpdate tiger.sina.com.cn
5.x加入一行:
echo "*/15 * * * * root /sbin/ntpdate tiger.sina.com.cn >> /time.txt" >> /etc/crontab
6.x加入一行
echo "*/15 * * * * root ntpdate tiger.sina.com.cn >> /time.txt" >> /etc/crontab
根据需要来配置更新的时间,上面的命令为每15分钟同步一次并记录到文件time.txt中
6. 停止网卡对ipv6的支持
#vi /etc/modprobe.conf ← 修改相应配置文件,添加如下行到文尾: alias net-pf-10 off alias ipv6 off 上述操作重启后生效 ps:centos6 在/etc/modprobe.d/dist.conf结尾添加 alias net-pf-10 off alias ipv6 off
7. 让系统运行在init 3的模式下
#vi /etc/inittab ###表示当前缺省运行级别为5(initdefault);id:5:initdefault: ← 将此处的5修改为3。
8. 使用 yum 程序安装所需开发包(以下为标准的 RPM 包名称)
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel openldap openldap-devel nss_ldap openldap-clients openldap-servers
9. Linux SSH 安全策略二:更改 SSH 端口默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:
# 编辑 /etc/ssh/ssh_config
#vi /etc/ssh/ssh_config
# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):Port 22 Port 18439
# 编辑 /etc/ssh/sshd_config
#vi /etc/ssh/sshd_config
#加入新的 Port 值Port 22 Port 18439
# 保存后,重启 SSH 服务:service sshd restart
这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。 如果连接失败,而用 Port 22 连接后再重新配置。
端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。
防火墙里添加20002端口为例外
sed -i 's/# Port 22/Port 20002/g' /etc/ssh/ssh_config sed -i 's/#Port 22/Port 20002/g' /etc/ssh/sshd_config service sshd restart netstat -anlp | grep ssh
10.禁用selinux (建议开启,但权限需要单独配置)
#vi /etc/selinux/config
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config