新装centos系统刚开始是不能工作的,需要进行初步基础优化
1、网络优化,修改ip地址,网关,主机名,DNS
vim /etc/sysconfig/network-scripts/ifcfg-eth0
vim /etc/sysconfig/network
vim /etc/resolv.conf
service network restart
2、关闭selinux,防火墙优化,可以选择关闭,或者调整防火墙规则
sed –i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
setenforce 0
iptables –F
serviece iptables restart
3、添加普通用户,进行sudo授权
useradd 用户名
echo "123456" | passwd --stdin 用户名 && history –c
visudo(这个工具可以防止两个用户同时更改这个文件)
在root ALL=(ALL) ALL此行下,添加如下内容
用户名 ALL=(ALL) ALL
4、更新yum源以及相关服务软件
将国外的yum源改为国内的yum源,如网易,阿里
/etc/yum.repos.d/
yum clean all
yum makecache
yum install screen -y 这个工具用来后台执行任务
yum upgrade -y (
不要升级系统内核,在/etc/yum.conf文件中[main]最后添加以下两项:
exclude=kernel*
exclude=centos-release*)
5、定时更新服务器时间,校准
6、精简开机启动选项
刚装完操作系统可以只保留crond,network,rsyslog,sshd这四个服务。
for sun in `chkconfig --list | grep "3:on" | awk '{print $1}'`;do
chkconfig --level 3 $sun off;
done
for sun in crond rsyslog sshd network;do
chkconfig --level 3 $sun on;
done
chkconfig --list|grep 3:on
7、变更默认的ssh服务端口,禁止root用户远程连接
cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
vim /etc/ssh/sshd_config
Port 22022 #ssh连接默认的端口
PermitRootLogin no #root用户黑客都知道,禁止它远程登录
PermitEmptyPasswords no #禁止空密码登录
UseDNS no #不使用DNS,禁止DNS反向解析
service sshd reload
重新以普通用户登录
8、锁定关键文件系统(选用)
# chattr +i /etc/passwd /etc/shadow /etc/groupp /etc/gshadow
将系统中的passwd,shadow,group.gshadow等关键命令加i权限进行锁定。
一旦锁定之后,即使是root用户也无法对这些文件进行操作。
命令lsattr可以查看文件是否被锁定,如:
# lsattr /etc/passwd
要想对这些锁定的文件进行解锁,必须要先解锁这些文件。解锁文件则需要使用下面的命令:
# chattr -i /etc/passwd /etc/shadow/etc/group /etc/gshadow
除此之外,还可以对关键性的命令如chattr修改文件名,从而使常规命令无法在系统中进行相应的操作。
# mv /usr/bin/chattr /usr/bin/long
则需要使用chattr命令时,实际需要采用long命令
10、调整文件描述符大小(每个进程能打开的最大文件数量)
ulimit –n
echo '* - nofile 65535' >> /etc/security/limits.conf
或者:
vi /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
调整完成需要重启机器才能生效。
11、关闭重启ctl-alt-delete组合键
vi /etc/init/control-alt-delete.conf
注释掉
#exec /sbin/shutdown -r now "Control-Alt-Deletepressed"
12、设置TMOUT环境变量
在/etc/profile.d/创建TMOUT.sh, 添加以下内容:
export TMOUT=900 # 设置900秒内用户无操作就字段断开终端
readonly TMOUT # 将值设置为readonly 防止用户更改
13、系统内核优化
暂未研究,后续更新