一,最小化原则
1,安装系统最小化原则,能不装则不用装
2,开启程序服务也是最小化原则
3,操作最小化原则
4,登录最小化原则(SSH登录用非root登录)
5,权限最小化
6,参数合理,不要最大化
二,更改SSH服务远程登录的配置
1, /etc/ssh/sshd_config 头部 增加
#added by users start
Port 52113 #修改默认连接端口
PermitRootLogin no #不允许root通过SSH连接
PermitEmptyPasswords no #不允许空密码
UseDNS no
GSSAPIAuthentication no # 提高SSH远程连接速度
#added by users end
/etc/init.d/sshd restart/reload
2,普通用户转为root的方法:
su - root :改朝换代
或sudo su - root:让普通用户可以拥有指定的root的权限,普通用户的角色没变,类似root给了普通用户一把尚方宝剑
(99gg: VI 编辑器快速定位到98行)
(yy: 复制 ; p:粘接)
visudo == vi /etc/sudoers (不建议直接改sudoers)
用户(%用户组) 机器=(授权哪个角色的权利,多个用逗号分割)
visudo : 编辑 oldboy ALL=(ALL) NOPASSWD: ALL
sudo su - / sudo useradd : 就不需要加密码了 (不告诉root密码给A用户,但是A用户可以不输入root密码的情况下,切换到root用户或执行root操作)
3,查看环境变量:echo $PATH;
临时设置环境变量:PATH=/xxxx:$PATH
永久设置环境变量:echo ‘PATH=/xxx/:$PATH’ >> /etc/profile; source /etc/profile : 让profile马上全局生效
或普通用户生效编辑:~/.bash_profile 或 ~/.bashrc
netstat -lntup | grep 52113 (lsof -i :52113 ): 查看网络
4,隐藏系统版本信息:
cat /etc/issue
> /etc/issue 或 cat /dev/null > /etc/issue : /dev/null 黑洞
5,锁定系统关键文件,防止被黑客攻击 :
加锁:chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab (root用户也不能编辑那些文件)
解锁:chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab (可以编辑了)
修改chattr 命令名称为oldboy1,防止黑客猜中: mv /usr/bin/chattr /usr/bin/oldboy1 , 将来就用oldboy1 +i xxx
查看文件是否加锁:
[root@moban ~]# lsattr /etc/passwd
----i--------e- /etc/passwd : 有i参数表示加锁了
6,LINUX基础优化内容:
1)不用root,添加普通用户,通过sudo授权管理
2)更改默认的远程连接SH服务端口及禁止root用户远程连接
3)定时自动更新服务器时间
4)配置yum更新源,从国内更新源下载安装rpm包
5)关闭SELINUX(vim /etc/selinux/config)及iptables(iptables工作场景如果有外网IP一般要打开,高并发除外)
6)调整文件描述符的数量
7)定时自动清理/var/spool/clientmquene/目录垃圾文件,防止inodes(df -i查看)节点被占满(centos 6.x 默认没有sendmail,因此可以不配)
8)精简开机参数优化(crond , sshd , network , syslog/rsyslog)( for n in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "sshd|rsyslog|crond|network"`; do chkconfig $n off; done;)
9)linux内核参数优化 /etc/sysctl.conf,sysctl -p生效
10)更改字符集,支持中文,但建议还是用英文字符集,防止乱码
11)锁定关键系统文件(chattr +i xxx)