centos-5.x/6.x安装后的几点优化 安全

wget http://py.10isp.com/cdn/centos5.sh

bash centos5.sh

wget http://py.10isp.com/cdn/centos6.sh

bash centos6.sh

1. 解决使用putty远程访问centos出现乱码的问题
putty配置
[window]→[Appearance]→[Font settings]→[Change]→[Fixedsys CHINESE_GB2312]
[window]→[Translation]→[Remote character set]→[UTF-8]

如果经常使用,把这些设置保存在session里面。

打开putty,登录成功后,在shell中输入:

export LC_ALL='zh_CN.utf8'

2. 检查系统是否正常 
# more /var/log/messages (检查有无系统内核级错误信息)
# dmesg (检查硬件设备是否有错误信息)
# ifconfig(检查网卡设置是否正确)
# ping 10isp.com (检查网络是否正常,dns是否配置正确cat etc/resolv.conf)
关闭不需要的服务
# ntsysv
以下的服务按需要开启.
apmd
(高级电源管理)
auditd
(审核信息,将消息写入控制台以及 audit_warn 电子邮件别名。用于存放内核生成的系统审查记录,这些记录会被一些程序使用。特别是对于SELinux用户来说。)
cpuspeed
(监测系统空闲百分比,降低或加快CPU时钟速度和电压从而在系统空闲时将能源消耗降为最小,而在系统繁忙时最大化加快系统执行速度。)
crond
(自动计划任务)
mdmonitor
mdmpd

(RAID相关设备的守护程序。)
messagebus
(事件监控服务,在必要时向所有用户发送广播信息,如服务器将要重启。)
network
(激活已配置网络接口的脚本程序)
readahed_early
readahead_later

(开机内存载入优化)
smartd
(监控你的硬盘是否出现故障。)
sshd
(OpenSSH服务器守护进程。远程服务进程)
syslog
(系统日志)
yum-updatesd
(RPM操作系统自动升级和软件包管理守护进程。)

3. 配置yum
更换yum的升级列表

centos 5.x

cd /etc/yum.repos.d/
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-5.repo
yum makecache
yum -y update

centos 6.x

yum install -y wget
cd /etc/yum.repos.d/
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
yum makecache
yum -y update

添加Epel源

1、备份(如有配置其他epel源)

mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup

mv /etc/yum.repos.d/epel-testing.repo /etc/yum.repos.d/epel-testing.repo.backup

2、下载新repo 到/etc/yum.repos.d/

epel(RHEL 6)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo

epel(RHEL 5)

wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-5.repo

 

4. 更新所有系统中的程序,包括内核
# yum upgrade

(yum update 排除升级内核,方法有两个:)
1.修改yum的配置文件 vi /etc/yum.conf,
在[main]的最后添加exclude=kernel*
2.直接在yum的命令行执行如下的命令:
yum –exclude=kernel* update

5. 定时校正服务器时间

#修改系统的时区

rm -rf /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
yum -y install ntp
ntpdate tiger.sina.com.cn

5.x加入一行:
echo "*/15 * * * * root /sbin/ntpdate tiger.sina.com.cn >> /time.txt" >> /etc/crontab

6.x加入一行
echo "*/15 * * * * root ntpdate tiger.sina.com.cn >> /time.txt" >> /etc/crontab
根据需要来配置更新的时间,上面的命令为每15分钟同步一次并记录到文件time.txt中

6. 停止网卡对ipv6的支持
#vi /etc/modprobe.conf ← 修改相应配置文件,添加如下行到文尾:
alias net-pf-10 off
alias ipv6 off
上述操作重启后生效

ps:centos6

在/etc/modprobe.d/dist.conf结尾添加

alias net-pf-10 off
alias ipv6 off

7. 让系统运行在init 3的模式下
#vi /etc/inittab
###表示当前缺省运行级别为5(initdefault);
id:5:initdefault: ← 将此处的5修改为3。

8. 使用 yum 程序安装所需开发包
(以下为标准的 RPM 包名称)
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel openldap openldap-devel nss_ldap openldap-clients openldap-servers

9. Linux SSH 安全策略二:更改 SSH 端口
默认的 SSH 端口是 22。强烈建议改成 10000 以上。这样别人扫描到端口的机率也大大下降。修改方法:
# 编辑 /etc/ssh/ssh_config 
#vi /etc/ssh/ssh_config
# 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):
Port 22  
Port 18439
# 编辑 /etc/ssh/sshd_config 
#vi /etc/ssh/sshd_config
#加入新的 Port 值
Port 22  
Port 18439
# 保存后,重启 SSH 服务:
service sshd restart
这里我设置了两个端口,主要是为了防止修改出错导致 SSH 再也登不上。
更改你的 SSH 客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除 Port 22 的配置。
如果连接失败,而用 Port 22 连接后再重新配置。
端口设置成功后,注意同时应该从 iptables 中, 删除22端口,添加新配置的 18439,并重启 iptables。
如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。

防火墙里添加20002端口为例外
sed -i 's/# Port 22/Port 20002/g' /etc/ssh/ssh_config
sed -i 's/#Port 22/Port 20002/g' /etc/ssh/sshd_config
service sshd restart
netstat -anlp | grep ssh

10.禁用selinux (建议开启,但权限需要单独配置)
#vi /etc/selinux/config

SELINUX=disable  禁用SeLinux
SELINUX=enforcing  使用SeLinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

11.修改系统主机名
/etc/sysconfig/network
/etc/hosts
重启成效
知识共享许可协议
作品采用知识共享署名-相同方式共享 3.0 Unported许可协议进行许可。
永久连接: http://py.10isp.com/?p=30
标签:
« »

One Response to centos-5.x/6.x安装后的几点优化 安全

  1. Pingback: 2.远程系统 | 潘焱