19、centos7优化

news2024/11/24 3:46:46

优化条目:

优化条目:
1.sudo管理用户授权  (不用root管理,以普通用户的名义通过sudo提权)
2.更改默认的远程连接SSH服务端口,禁止root用户远程连接,(提前建立普通用户)(甚至更改为只监听内网IP)
3.精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)
4.设置运行级别为3(文本模式)
5.服务器时间同步。
6.关闭SELINUX防火墙
7.关闭防火墙(iptables),(在工作场景中,如果有外部IP一般打开)
8.设置回话的超时时间及历史记录数。
9.配置yum更新源,从国内更新源下载安装软件包。
10.调整文件描述符的数量,进程及文件的打开都会消耗文件描述符。
11.定时自动清理邮件目录垃圾文件,防止inodes节点被占满(注意centos6和centos7目录不同)
12.Linux内核参数优化/etc/sysctl.conf,执行sysctl -p 生效。
13.更改字符集,使其支持中文,(但建议还是用英文字符集,防止出现乱码。)
14.锁定关键系统文件如/etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab处理以上内容后把chattr、lsattr改名为xuliangwei,这样就安全多了。
15.清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的信息。
16.清除多余的系统虚拟账号。
17.给grub菜单加密码。
18.禁止被PING
19.升级漏洞软件(yum/rpm升级)
20、修改ip地址、网关、主机名、DNS等

【参考网址】centos7之系统优化方案 - liqianlong - 博客园


一、修改ip地址、网关、主机名、DNS等


[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33 
#修改网卡
cp /etc/sysconfig/network-scripts/ifcfg-ens33  /etc/sysconfig/network-scripts/ifcfg-ens33.csbf
ll /etc/sysconfig/network-scripts/ifcfg-ens33*
cat >/etc/sysconfig/network-scripts/ifcfg-ens33 <<EOF
TYPE=Ethernet
BOOTPROTO=static
NAME=ens33
#UUID=4c26c5cb-4853-49a3-9b12-bed561a6725e
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.80.80
NETMASK=255.255.255.0
GATEWAY=192.168.80.2
DNS1=8.8.8.8
EOF

#查看过后修改网卡的信息
cat /etc/sysconfig/network-scripts/ifcfg-ens33

#重启网卡
systemctl restart network 
ping www.baidu.com
#更新系统
yum update -y
________________________________________________________________________________________________
#修改DNS,如果网卡未配置DNS需要在这里配置DNS
cp /etc/resolv.conf /etc/resolv.conf.csbak
ll /etc/resolv.conf*
cat >/etc/resolv.conf<<EOF
nameserver 8.8.8.8
nameserver 114.114.114.114
EOF

#查看修改DNS的信息
cat /etc/resolv.conf

#重启网卡生效
service network restart 
ping www.baidu.com
________________________________________________________________________________________________
#使用这个命令会立即生效且重启也生效
 hostnamectl set-hostname jiawenchao

#查看修改过后主机名
[root@localhost ~]# hostname
jiawenchao

#手动更新hosts
[root@localhost ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.80.80  jiawenchao.com      jiawenchao
"修改格式:IP + 长名 + 短名"也可以直接将主机名加入127.0.0.1后面

#重启系统
reboot
——————————————————————————————————————————————————————————————————————————————————————————————————
【拓展】
【参考网址】https://blog.csdn.net/xuheng8600/article/details/79983927
"在修改静态/瞬态主机名时,任何特殊字符或空白字符会被移除,而提供的参数中的任何大写字母会自动转化为小写。"
"一旦修改了静态主机名,/etc/hostname 将被自动更新。然而,/etc/hosts 不会更新以保存所做的修改,所以你每次在修改主机名后一定要手动更新/etc/hosts,之后再重启CentOS 7。否则系统再启动时会很慢。"
#临时生效
hostname 主机名

二、优化xshell显示面板


cat >skycolor.xcs <<EOF
[skycolor]
text=00ff80
cyan(bold)=00ffff
text(bold)=e9e9e9
magenta=c000c0
green=80ff00
green(bold)=3c5a38
background=042028
cyan=00c0c0
red(bold)=ff0000
yellow=c0c000
magenta(bold)=ff00ff
yellow(bold)=ffff00
red=ff4500
white=c0c0c0
blue(bold)=1e90ff
white(bold)=fdf6e3
black=000000
blue=00bfff
black(bold)=808080
[Names]
name0=skycolor
count=1
EOF
_____________________________________
yum install lrzsz -y
sz  skycolor.xcs 

打开XShell->工具->配色方案 如下

打开导入窗口然后选择刚刚的文件 导入即可

优化后xsehll界面


三、查看系统版本


[root@localhost ~]# cat /etc/redhat-release      
CentOS Linux release 7.6.1810 (Core)          #系统环境7.6
[root@localhost ~]# uname -a                    #内核版本3.10.0 的64位liunx操作系统
Linux jiawenchao 3.10.0-957.1.3.el7.x86_64 #1 SMP Thu Nov 29 14:49:43 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
[root@localhost ~]# uname -m                    #64位系统
x86_64

四、关闭selinux功能,清空iptables


#SELINUX是美国国家安全局(NSA)对于强制访问控制的实现,这个功能让系统管理员又爱又恨,这里我们还是把它关闭了,至于安全问题,后面通过其他手段来解决,这也是大多数生产环境的做法,如果非要开启也是可以的。
修改/etc/selinux/config-->    SELINUX=enforcing修改为SELINUX=disabled
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config    #使用sed替换关闭selinux
getenforce                                                             #查看selinux当前环境
setenforce                                                             #临时关闭 1.开启 0.关闭  permissive

针对centos7防火墙配置
#修改防火墙
CentOS切换为iptables防火墙
firewall-cmd --state 查看防火墙状态
"切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。"

#关闭firewall,禁止firewall开机启动
systemctl stop firewalld.service 
systemctl disable firewalld.service 

#安装iptables防火墙
yum install iptables-services  -y
service iptables save

#编辑iptables防火墙配置
vim /etc/sysconfig/iptables 
"下边是一个完整的配置文件,在你运行完save中间插入下面的规则"
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 7009 -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
:wq! #保存退出

systemctl start iptables.service  #开启
systemctl enable iptables.service #设置防火墙开机启动

"附赠防火墙脚本,前提你已经切换至iptables"
#!/bin/bash
IPT=`which iptables`
$IPT -F
$IPT -X
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT 
$IPT -P OUTPUT ACCEPT
$IPT -N syn-flood
##本地回环 内网允许任何
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state NEW -s 10.0.0.0/8 -j ACCEPT
# ssh 端口开放 任何IP
$IPT -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
# 根据需求填写相应的端口
$IPT -A INPUT -p tcp -m multiport --dports 80,8087,89 -j ACCEPT
# zabbix监控地址
$IPT -A INPUT -p tcp -s zabbix.ip -m state --state NEW -m tcp --dport 10050 -j ACCEPT
# ICMP 规则控制
$IPT -A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
$IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# DOS防护
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
$IPT -A INPUT -j REJECT --reject-with icmp-host-prohibited
$IPT -A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
$IPT -A syn-flood -j REJECT --reject-with icmp-port-unreachable

五、精简系统自启动


systemctl list-unit-files | grep enable 过滤查看启动项如下
#abrt-ccpp.service                               enabled abrt为auto bug report的缩写 用于bug报告 关闭
abrt-oops.service                                enabled ---------------------- 
abrt-vmcore.service                              enabled ----------------------
abrt-xorg.service                                enabled ----------------------
abrtd.service                                    enabled   ----------------------
auditd.service                                   enabled 安全审计          保留
autovt@.service                                  enabled 登陆相关          保留
crond.service                                   enabled 定时任务           保留
#dbus-org.freedesktop.NetworkManager.service     enabled 桌面网卡管理      关闭
dbus-org.freedesktop.nm-dispatcher.service      enabled ----------------------
getty@.service                                  enabled tty控制台相关      保留
irqbalance.service                              enabled 优化系统中断分配    保留
kdump.service                                   enabled 内核崩溃信息捕获    自定
microcode.service                               enabled 处理器稳定性增强    保留
#NetworkManager-dispatcher.service               enabled 网卡守护进程      关闭
NetworkManager.service                          enabled ----------------------
#postfix.service                                 enabled 邮件服务          关闭
rsyslog.service                                 enabled 日志服务           保留
snmpd.service                                   enabled snmp监控 数据抓取   保留
sshd.service                                    enabled ssh登陆            保留
systemd-readahead-collect.service               enabled 内核调用--预读取    保留
systemd-readahead-drop.service                  enabled ----------------------
systemd-readahead-replay.service                enabled ----------------------
tuned.service                                   enabled 
default.target                                  enabled 默认启动项 multi-user.target的软连接 保留
multi-user.target                               enabled 启动用户命令环境                     保留
remote-fs.target                                enabled 集合远程文件挂载点                   自定
runlevel2.target                                enabled 运行级别 用于兼容6的SysV             保留
runlevel3.target                                enabled ----------------------
runlevel4.target                                enabled ----------------------

#关闭开机启动
1、先关闭,停止运行服务
systemctl stop   服务.service ;
2、加入开机禁用
systemctl disable 服务.service;
3、查看是否禁用成功
systemctl list-unit-files | grep enable
【参考网址】https://blog.csdn.net/wuxingpu5/article/details/53641947 
————————————————————————————————————————————————————————————————————————————————————————————————
【参考网址】https://www.cnblogs.com/clsn/p/8338099.html#auto_id_22
#开机启动项优化
systemctl list-unit-files|egrep "^ab|^aud|^kdump|vm|^md|^mic|^post|lvm"  |awk '{print $1}'|sed -r 's#(.*)#systemctl disable &#g'|bash

六、更改ssh服务端远程登陆设置


【ssh配置文件详解】SSH远程服务配置sshd_config_服务器应用_Linux公社-Linux系统门户网站

                        SSH Config 那些你所知道和不知道的事_windows10 配置ssh controlpath-CSDN博客

                        linux ssh_config和sshd_config配置文件学习 - panda2046 - 博客园

"windowns服务器的默认远程管路端口是3389,管理员是administrator,普通用户是guest。liunx管理用户是root,普通用户默认很多个,远程默认端口22。"
[root@jiawenchao ~]# cp  /etc/ssh/sshd_config /etc/ssh/sshd_config.csbf 
17行: #port 22                       修改:port 7009                              	 #修改默认22端口
38行:  PermitRootLogin yes			 修改: PermitRootLogin no               	     #禁止root用户登陆
64行: #PermitEmptyPasswords no       修改:PermitEmptyPasswords no                   #禁止密码为空的用户远程登陆
79行:  GSSAPIAuthentication yes      修改:GSSAPIAuthentication  no       	         #解决liunx之间使用ssh远程连接慢的问题
115行: #UseDNS yes			 	     修改:UseDNS no 					             #指定ssh禁止对该远程主机进行反向解析,加快ssh连接速度

#重启ssh服务
systemctl restart sshd
#查看7009端口是否启动
netstat -ntlp|grep 7009
#停止防火墙,加入开机启动
systemctl stop iptables.service
systemctl enable  iptables.service
#创建普通用户
useradd wenchao
#修改密码
echo 123456 | passwd --stdin wenchao

【测试】

1、使用默认的22端口登陆

ssh 106.12.32.245

提示:登陆失败

2、使用root用户登陆7009端口

ssh 106.12.32.245 7009

账户:root

密码maba521!

提示:登陆失败

3、使用普通用户wenchao登陆

ssh 106.12.32.245 7009

账户:wenchao

密码:123456

提示:登陆成功

【拓展】

【内网】
#编辑/etc/ssh/sshd_config配置文件
/etc/ssh/sshd_config                #服务端配置文件
/etc/ssh/ssh_config                 #客户端配置文件
Port    52113                       #修改端口52113
UseDNS yes                          #修改为No会反向查询客户端主机名,进行验证,防止客户端欺骗
PermitRootlogin no                  #禁止root登录
PermitEmpasswords   no              #禁止使用空密码(默认为空)
ListenAddress   10.0.0.7:52113      #只运行服务器上的内网地址来进行远程连接,外网地址直接拒绝,可以用Vpn做跳板进入局域网,通过这样来访问,更加的安全.
GSSAPIAuthentication yes            #解决Linux之间使用ssh连接慢的问题
"!!!注意,如果加入了IP地址需要在防火墙里开启端口52113"
iptables -I INPUT -p tcp  --dport 52113  -s 10.0.0.0/24  -j ACCEPT

【可参考】Linux系统 SSHD服务安全优化方案 - 小甘丶 - 博客园

【外网参考】
Port  22						                 #监听端口,默认22,建议修改默认端口
ListenAddress  0.0.0.0		                 #允许从本机的那个ip地址远程,默认本机的所有ip
Protocol   2					                 #启用版本2
PenmitRootLogin	  yes		                 #是否允许管理员直接登录,默认为允许,建议修改
AllowUsers	redhat			                 #允许redhat登录,拒绝其他所有用户登录包括管理员用户
AllowGroups	centos			                 #允许centos组的成员登录
DenyUsers  centos			                 #仅拒绝centos用户登录
DenyGroups redhat			                 #拒绝redhead组成员登录,拒绝优先
KeyRegenerationInterval 1h	                 #重新生成密钥的时间
ServerKeyBits 1024				             #密钥长度
PubkeyAuthentication yes		             #启用秘钥认证
AuthorizedKeysFile  .ssh/authorized_keys	 #指定秘钥文件存放位置
Compression	 delayed			             #是否对通信数据加密
PermitRootLogin yes				             #是否允许root用户直接登录
UseDns  on						             #禁止dns方向解析
MaxAuthTries  2					             #密码最大重试次数
PermitEmptyPasswords no			             #禁止空密码登录


基于密钥的认证:
服务器端:
在sshd_config文件中启用:
	  PubkeyAuthentication yes
	  AuthorizedKeysFile  .ssh/authorized_keys

客户端:
ssh-keygen			                                          #生成密码对,默认存放位置~/.ssh/
ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.0.10        #将id_rsa.pub文件拷贝到192.168.0.10主机的/root/.ssh并改名为authorized_keys

七、修改文件属性,最低权限原则


#注意,需要知道修改之前此如下文件的原本权限
chmod 700 /bin/rpm                     #只有root权限用户才可以使用rpm命定,安装软件包
chmod 664 /etc/hosts
chmod 644 /etc/passwd
chmod 644 /etc/exports
chmod 644 /etc/issue
chmod 664 /var/log/wtmp
chmod 664 /var/log/btmp
chmod 644 /etc/services
chmod 600 /etc/shadow
chmod 600 /etc/login.defs
chmod 600 /etc/hosts.allow
chmod 600 /etc/hosts.deny
chmod 600 /etc/securetty
chmod 600 /etc/security
chmod 600 /etc/ssh/ssh_host_key      #ssh免密钥需要生成
chmod 600 /etc/ssh/sshd_config
chmod 600 /var/log/lastlog
chmod 600 /var/log/messages

八、添加普通用户并运行sudo授权管理


【参考网址】 https://www.cnblogs.com/jokerbj/p/9117384.html
                https://blog.csdn.net/fangoooooooooooo/article/details/78091959
                https://blog.csdn.net/hguisu/article/details/8751432
    为了安全及管理方便,可以将需要的root权限的普通用户加入sudo管理,这样用户就可以自己通过自己普通用户账户登陆,利用root权限管理系统了,当然你也就不需要root账号及密码了。
        对于服务器来说,我们希望的是剥夺被加入到 wheel 组用户以外的普通用户通过 su 命令来登录为 root 的机会(即只有属于 wheel 组的用户才可以用 su 登录为 root)。这样就进一步增强了系统的安全性。具体步骤如下:
    除了 root 用户,只有 wheel 组的成员有特权执行高级操作,那么怎么把用户提升成为 wheel 用户组成员	?
【参考网址】https://www.cnblogs.com/jan5/p/3359421.html
1)修改 /etc/pam.d/su 文件,找到“#auth required /lib/security/$ISA/pam_wheel.so use_uid ”这一行,将行首的“#”去掉。
2)修改 /etc/login.defs 文件,在最后一行增加“SU_WHEEL_ONLY yes”语句。
3)用“usermod -G wheel 用户名”将一个用户添加到 wheel 组中。
4) 用刚刚被添加到 wheel 组的用户登录,并执行 su 命令登录为 root 用户;这时,输入了正确的 root 密码就可以正常的登录为 root 用户了。
1、添加普通用户
useradd  jiawenchao
2、修改普通用户密码
echo qazwsxedc! | passwd --stdin jiawenchao
3、用“usermod -G wheel 用户名”将一个用户添加到 wheel 组中
usermod -G wheel jiawenchao
cat /etc/group|grep wheel
4、 编辑只能wheel组的用户能使用su命令
[root@jiawenchao ~]#cp /etc/pam.d/su /etc/pam.d/su.bak
[root@jiawenchao ~]#sed -i '6s/^#//g' /etc/pam.d/su
[root@jiawenchao ~]#grep wheel /etc/pam.d/su            
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth		sufficient	pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth		required	pam_wheel.so use_uid
5、 控制只能wheel组能使用sudo命令
【参考网址】http://blog.sina.com.cn/s/blog_a5db27840101d33i.html
【sudo命令详解】https://www.cnblogs.com/huanglinxin/p/9101872.html
【sudo授权流程】https://blog.csdn.net/markximo/article/details/81737692
    ps!!!:有些小伙伴可能会注意到sudoers文件只是一个只读文件,其实强制修改的话也没关系,但是如果你觉得不安全,可以在修改文件之前先赋予文件写权限(W),修改保存之后再收回写权限,操作如下:
1、先赋予文件写权限(W)
chmod u+w /etc/sudoers 
2、修改sudoers文件,为用户jiawenchao添加sudo,除关机外的其他所有操作:
[root@jiawenchao ~]#cp /etc/sudoers /etc/sudoers.bak
[root@jiawenchao ~]# vim /etc/sudoers           
Cmnd_Alias SHUTDOWN = /sbin/halt, /sbin/shutdown, /sbin/poweroff, /sbin/reboot, /sbin/init  # 控制所有用户除了root都不能执行关机重启命令
jiawenchao   ALL=(ALL)  ALL, !SHUTDOWN                                                                           # 不能执行关机命令(修改)
%wheel  ALL=(ALL)  ALL, !SHUTDOWN                                                                                 #修改wheel组的权限,禁止关机(修改)
Defaults logfile=/var/log/sudo.log
:wq!                                                                                                                                      #如果没授权需要强制保存(wq!)
3、进行修改,修改完成之后: 
chmod u-w /etc/sudoers
【拓展】
1、终端命令;visudo,相当于配置/etc/sudoers
2、要配置文件是sudoers,linux下通常在/etc目录下,如果是solaris,sudo都提供了一个编辑该文件的命令:visudo来对该文件进行修改。
3、强烈推荐使用visudo令修改sudoers,因为它会帮你校验文件配置是否正确,如果不正确,在保存退出时就会提示你哪段配置出错的。
4、执行了visudo -c 直接追加内容没有语法检查,因此需要单独执行语法检查命令.

九、更新yum源及必要软件安装 


【阿里源】CentOS7配置阿里云yum源和EPEL源 - 近博 - 博客园

#进入源码目录
cd /etc/yum.repos.d/
#创建备份文件
mkdir repo_bak
#移走全部本地网络源
mv *.repo repo_bak/
#查看是否移动成功
ls
#下载163的centos7源码
wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
mv CentOS7-Base-163.repo CentOS-Base.repo
#阿里源
wget -O CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

#清除缓存
yum clean all  
#建立yum缓存
yum makecache 
#查看EPEL源是否安装
[root@jiawenchao yum.repos.d]# yum list | grep epel-release
epel-release.noarch                        7-11                        @extras  
#卸载EPEL
yum remove epel-release -y
#安装EPEL
yum install epel-release -y
#检测扩展源是否安装完毕
yum install nginx -y

十、安装必要的软件


#安装初始化软件包
yum -y install sysstat lrzsz ntpdate rsync wget bash-completion iptables-services vim-enhanced net-tools lsof  tree
#安装软件常用的软件包
yum install -y gcc gcc-c++  cmake bzip2-devel curl-devel db4-devel libjpeg-devel libpng-devel freetype-devel libXpm-devel gmp-devel libc-client-devel openldap-devel unixODBC-devel postgresql-devel sqlite-devel aspell-devel net-snmp-devel libxslt-devel libxml2-devel pcre-devel mysql-devel pspell-devel libmemcached libmemcached-devel zlib-devel

十一、定时自动更新服务器时间


【参考网址】Centos 7安装配置NTP网络时间同步服务器 | 《Linux就该这么学》

                centos7 时间同步_10754724的技术博客_51CTO博客

                centos7 时间同步_10754724的技术博客_51CTO博客

【>/dev/null 2>&1 详解】 Shell中>/dev/null 2>&1 详解-CSDN博客

修改时区
rm -rf /etc/localtime
ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
cat >/etc/sysconfig/clock<<EOF
ZONE="Asia/Shanghai"
UTC=false
ARC=false
EOF
#安装并设置开机自启
yum install -y ntp
systemctl start ntpd
systemctl enable ntpd
#配置开机启动校验
cp /etc/rc.d/rc.local /etc/rc.d/rc.local.csbf
/usr/sbin/ntpdate ntp1.aliyun.com > /dev/null 2>&1; /sbin/hwclock -w
#配置定时任务
crontab -e
0 */1 * * * ntpdate ntp1.aliyun.com > /dev/null 2>&1; /sbin/hwclock -w


十二、修改字符集


【参考网址】CentOS7.5修改字符集_Linux教程_Linux公社-Linux系统门户网站

  centos7上设置中文字符集 - 开始认识 - 博客园

#首先使用locale命令看看当前系统所使用的字符集,en开头代表英文
locale
#再看看系统是否有安装中文字符集的支持
locale -a |grep CN
#若没有 zh_CN.utf-8,就安装下:
yum install kde-l10n-Chinese -y
#CentOS7.x 字符集配置文件在/etc/locale.conf
cp /etc/locale.conf  /etc/locale.conf.csbf
cat >/etc/locale.conf<<EOF
LANG="zh_CN.UTF-8"
EOF
cat /etc/locale.conf
#使用source命令是配置文件生效
source /etc/locale.conf
#再次查看是否zh_CN.utf-8
[root@jiawenchao ~]#  localectl 
   System Locale:" LANG=zh_CN.UTF-8"
       VC Keymap: us
      X11 Layout: n/a
[root@jiawenchao ~]# locale
LANG=zh_CN.UTF-8
LC_CTYPE="zh_CN.UTF-8"
LC_NUMERIC="zh_CN.UTF-8"
LC_TIME="zh_CN.UTF-8"
LC_COLLATE="zh_CN.UTF-8"
LC_MONETARY="zh_CN.UTF-8"
LC_MESSAGES="zh_CN.UTF-8"
LC_PAPER="zh_CN.UTF-8"
LC_NAME="zh_CN.UTF-8"
LC_ADDRESS="zh_CN.UTF-8"
LC_TELEPHONE="zh_CN.UTF-8"
LC_MEASUREMENT="zh_CN.UTF-8"
LC_IDENTIFICATION="zh_CN.UTF-8"

十三、去除系统及内核版本登录前的屏幕显示


【优化好网站】https://blog.51cto.com/mrxiong2017/2084661

【清空内核】如何隐藏Linux内核版本及登录时显示的信息_51CTO博客_显示linux内核版本号的命令

# 清空系统版本
cat /etc/issue
> cat /etc/issue
#清空内核版本
cat /etc/issue.net 
> /etc/issue.net 

十四、禁止linux系统被ping


#首先ping自己的IP地址能够ping通
 ping 192.168.0.4 
【"开启禁止ping"】
cp /etc/sysctl.conf /etc/sysctl.conf.csbf
cat /etc/sysctl.conf
echo "net.ipv4.icmp_echo_ignore_all=1"  1>> /etc/sysctl.conf
sysctl -p
#ping自己IP发现不能ping通
ping 192.168.0.4 

【"关闭禁止ping"】
#首先要删除 /etc/sysctl.conf 里面
net.ipv4.icmp_echo_ignore_all = 1 
#执行如下命令
echo 0 1> /proc/sys/net/ipv4/icmp_echo_ignore_all
#后续就可以通过更改
cat  /proc/sys/net/ipv4/icmp_echo_ignore_all         # "0 关闭 1 开启"
#再次ping自己IP发现能够ping通
ping 192.168.0.4

1.阻止ping 如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行: 
 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 

2.防止IP欺骗 
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。 
# Lookup names via DNS first then fall back to /etc/hosts.
order hosts,bind
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
【详解】
第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。
第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。
第三项设置说明要注意对本机未经许可的电子欺骗。

3.防止DoS攻击 
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在/etc/security/limits.conf中添加如下几行: 
  * hard core 0 
  * hard rss 5000 
  * hard nproc 20 
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。 
session required /lib/security/pam_limits.so 
上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。 
"你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力,但一名优秀的系统管理员仍然要时刻注意网络安全动态,随时对已经暴露出的和潜在安全漏洞进行修补"。


十五、历史记录


# 以下都是临时生效,默认1000不需要更改
# 设置的是闲置账号的超时时间
export TMOUT=10 10秒后提示超时时间
# 设置终端history显示条数
export HISTSIZE=5 只显示最近5条信息
# 上面的终端显示对应的是 cat ~/.bash_history 
export HISTFILESIZE=5 该文件只保存5条信息
# 清空历史记录
history -c
# 指定条数删除
history -d 历史记录条属
——————————————————————————————————————————————————————————————
history 查看历史记录 默认100条,防止黑客进入服务器,查看到机密信息
参数:
    -c:清空历史记录
    -d:指定删除一行
export HISTSIZE=5       
[root@student ~]# export HISTSIZE=5                              # 命令行只看见5条信息(控制终端)
[root@student ~]# history                                        # 查看是否只存留5条
730  history 
731  ls
732  history 
733  export HISTSIZE=5
734  history
# 写入全局配置文件,永久生效。当前用户家目录下~/.bash_history
[root@student ~]# echo 'export HISTFILESIZE=5' >>/etc/profile     
#立即生效
[root@student ~]#source /etc/profile      

# 清空历史记录终端
[root@student ~]# history -c       

# 记录历史命令执行时间以及是谁执行(生产必加)
[root@student ~]# history  
734  history

# 记录历史命令执行时间以及是谁执行(生产必加)
echo export HISTTIMEFORMAT="`whoami` %F %T " >>/etc/profile     

[root@student ~]# export HISTFILESIZE=5  ~/.bash_historty (控制用户家目录下的记录)
[root@student ~]# cat ~/.bash_history 
Test
Welcome to jia Linux
EOF
Exit

十六、调整文件描述符大小


启动进程使用它来表示打开的文件。每个进程启动都会占用文件描述符,如果过文件描述符不够,会导致进程失败
ulinit -n       查看默认文件描述符
参数: -S:软   -H:硬
#临时生效调整文件描述符
[root@student ~]# ulimit -SHn 65535 
cp /etc/security/limits.conf /etc/security/limits.conf.csbf
cat >/etc/security/limits.conf<<EOF
* 	soft 	noproc			65535
* 	hard 	noproc			65535
* 	soft 	nofile			65535
* 	hard 	nofile			65535
如上设置为对每个用户分别设置nofile、noproc最大数,如果需要对Linux整个系统设置文件最大数限制,需要修改/proc/sys/fs/file-max中的值,该值为Linux总文件打开数,
例如设置为:echo 3865161233 >/proc/sys/fs/file-max。

十七、锁定关键文件


[root@student ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab        #锁定文件系统
[root@student ~]# lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab           #查看锁定文件
----i--------e- /etc/passwd
----i--------e- /etc/shadow
----i--------e- /etc/group
----i--------e- /etc/gshadow
----i--------e- /etc/inittab
[root@student ~]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab        #解除锁定
 [root@student ~]# lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab          #再次查看
-------------e- /etc/passwd
-------------e- /etc/shadow
-------------e- /etc/group
-------------e- /etc/gshadow
-------------e- /etc/inittab
#将chaar命令改名chao
mv /usr/bin/chattr /usr/bin/chao

十八、定时清理


"centos7默认安装了postfix邮件服务,因此邮件位置 /var/spool/postfix/maildrop/会存在垃圾文件,如果长时间不清理,会导致inode数量不够用,从而无法存放文件"
#创建删除垃圾文件目录
mkdir /data/sh -p
#编写超过30天文件删除
cat /var/spool/postfix/maildrop/   
cat > /data/sh/spool_clean.sh<<EOF
#!/bin/sh
find /var/spool/postfix/maildrop/ -type f -mtime +30|xargsr rm -f 
EOF
#然后将其加入到crontab定时任务中
echo  '*/30 * * * *  /data/sh/spool_clean.sh >/dev/null 2>&1' >> /var/spool/cron/root

二十、内核优化


【参考网址】centos7 系统优化 - 一本正经的搞事情 - 博客园

【centos7内核优化】

centos7内核优化 - 小白君的成长 - 博客园

centos7 调优说明及执行_centos7 内核优化文件sysctl.d-CSDN博客

centos7 内核优化_centos lockable memory-CSDN博客

https://birdteam.net/132951

cp /etc/sysctl.conf /etc/sysctl.conf.bak
cat >/etc/sysctl.conf<<EOF 
#关ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

#避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1

#开启恶意的icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

#关闭路由转发
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

#开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

#处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

#关sysrq功能
kernel.sysrq = 0

#core文件名添加pid作为扩展名
kernel.core_uses_pid = 1

#开SYN洪水攻击保护
net.ipv4.tcp_syncookies = 1

#修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536

#设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296

#timewait的数量默认为180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

#每个网络接口接收数据包速率比内核处理这些包的速率快时允许送到队列数据包的最大数目
net.core.netdev_max_backlog = 262144

#限制仅仅是为防止简单的DoS攻击
net.ipv4.tcp_max_orphans = 3276800

#未收到客户端确认信息的连接请求最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0

#内核放弃建立连接之前发送SYNACK包数量
net.ipv4.tcp_synack_retries = 1

#内核放弃建立连接之前发送SYN包数量
net.ipv4.tcp_syn_retries = 1

#开timewait快速回收
net.ipv4.tcp_tw_recycle = 1

#允许将TIME-WAIT sockets重新用于新TCP连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1

#当keepalive起用的时候TCP发送keepalive消息的频度缺省是2小时
net.ipv4.tcp_keepalive_time = 30

#允许系统打开端口范围
net.ipv4.ip_local_port_range = 1024 65000

#修改防火墙的表大小默认65536
#net.netfilter.nf_conntrack_max = 655350
#net.netfilter.nf_conntrack_tcp_timeout_established = 1200

#确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
EOF
#执行生效
sysctl -p

二十一、设定用户登录,普通用户登录识别超过6次锁定300s


echo "account required pam_tally.so deny=100 no_magic_root reset" >>/etc/pam.d/system-auth

echo "auth required pam_tally.so onerr=fail deny=6 unlock_time=300" >>/etc/pam.d/system-auth

二十二、安装man为中文版


【源码包网址】Index of /repo/pkgs/man-pages-zh-CN/manpages-zh-1.5.1.tar.gz/13275fd039de8788b15151c896150bc4

Index of /repo/pkgs/man-pages-zh-CN

【源码安装】linux中文man手册安装 - 疯狂110 - 博客园

wget  https://src.fedoraproject.org/repo/pkgs/man-pages-zh-CN/manpages-zh-1.5.1.tar.gz/13275fd039de8788b15151c896150bc4/manpages-zh-1.5.1.tar.gz
tar xf manpages-zh-1.5.1.tar.gz
cd manpages-zh-1.5.1/
./configure --disable-zhtw  --prefix=/usr/local/zhman
make && make install
echo "alias cman='man -M /usr/local/zhman/share/man/zh_CN' " >>.bash_profile
source .bash_profile
cman ls

#安装中文版
yum -y install man-pages-zh-CN.noarch
#修改vim  .bashrc
加入
alias cman='man -M /usr/share/man/zh_CN'
#命令生效
source .bashrc
#检测
man ls 


二十三、参考网址


【好文章】centos7之系统优化方案_centos 设置history为一条-CSDN博客

【优化】https://www.cnblogs .com/cy0917/p/10119908.html

【惨绿少年优化】CentOS 7.X 系统安装及优化 - 惨绿少年 - 博客园

【centos7.2优化】centos7.2系统优化_centos export timeout-CSDN博客

【centos7优化】centos7之系统优化方案 - liqianlong - 博客园

                      linux 系统优化参考_suse linux 性能优化-CSDN博客

                    CentOS 7 优化_centos7内存优化-CSDN博客

【基本优化】centos7系统安装完成后一些基本的优化_centos7安装后基础优化-CSDN博客

【防火墙详细】Centos7安装完成后一些小优化 - 法外狂徒 - 博客园

【内核优化】centos7 系统优化 - 一本正经的搞事情 - 博客园

【优化】CentOS 7 运维优化_centos7 内核优化-CSDN博客

【系统性能优化】Linux系统性能优化思路和方法_linux性能优化思路和方法-CSDN博客

【web服务器优化】lcentos7------作为web服务器优化_centos7 服务器线程数 优化-CSDN博客

【安全加固】CentOS7 系统安全加固实施方案介绍-CSDN博客

                Linux 加固(centos7)_centos7加固脚本-CSDN博客

                CentOS7.X的系统管理、安全设置及系统优化思路_centos7分析与思考-CSDN博客

                【基础知识】Linux系统的安全与优化_如何禁止history被删除-CSDN博客

【优化高手文章】Linux系统安全基础知识_下列哪项不是设置grub口令的目的-CSDN博客

                Linux 安全知识及介绍(实例讲解)_skipped: unusable public key-CSDN博客


二十三、建立回收站


#建立回收站
myrm(){ D=/tmp/$(date +%Y-%m-%d-%H-%M-%S); mkdir -p $D;  mv "$@" $D && echo "moved to $D ok"; }
alias rm='myrm'
#将文件删除
rm +文件 -f\

#进入/tmp/目144录下查看删除的文件
ls /tmp/
#彻底真实删除
/bin/rm +文件 -f
说明:
上面的操作过程模拟了回收站的效果,即删除文件的时候只是把文件放到一个临时目录中,这样在需要的时候还可以恢复过来

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2238352.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

河北省内首台心磁图仪正式落户河北梅奥心血管病医院

河北省内首台心磁图仪正式落户河北梅奥心血管病医院。 2024年11月9日&#xff0c;河北梅奥心血管病医院迎来了一场激动人心的历史时刻——河北省首台心磁图仪启用仪式在医院内隆重举行&#xff0c;标志着这一顶尖医疗设备正式入驻&#xff0c;为医院心脏影像诊断技术开启了全新…

【C语言刷力扣】283.移动零

题目&#xff1a; 解题思路&#xff1a; 将不为 0 的元素依次放在数组前面&#xff0c;再在数组末尾补上 0。 时间复杂度&#xff1a; 空间复杂度&#xff1a; void moveZeroes(int* nums, int numsSize) {int i 0, j 0;for (; i < numsSize; i) {if (nums[i]) {nums…

网络初阶——应用层:HTTPS 协议

一、HTTPS & HTTP 的区别 从协议的名字来看&#xff0c;HTTP 比 HTTPS 少了一个 S。而这个 “S”&#xff0c;其实可以理解成 “Safe”&#xff0c;所以不难看出&#xff0c;其实 HTTPS 就是 HTTP 的安全版。就是为了保证客户端 cookie 的传输安全的。 二、相关概念 1、明…

怎么禁止Ubuntu自动更新升级

怎么禁止Ubuntu自动更新升级 笔者在做MIT 6.S081的时候发现他给我的qemu自动更新了又卡住了&#xff0c;故关闭了自动更新 文章目录 怎么禁止Ubuntu自动更新升级一、图形化修改二、基于命令行修改配置文件的方法 一、图形化修改 1.打开设置->软件和更新->更新 2.选择自…

Spring Boot框架:构建符合工程认证的计算机课程

2相关技术 2.1 MYSQL数据库 MySQL是一个真正的多用户、多线程SQL数据库服务器。 是基于SQL的客户/服务器模式的关系数据库管理系统&#xff0c;它的有点有有功能强大、使用简单、管理方便、安全可靠性高、运行速度快、多线程、跨平台性、完全网络化、稳定性等&#xff0c;非常…

机器学习—选择激活函数

可以为神经网络中的不同神经元选择激活函数&#xff0c;我们将从如何为输出层选择它的一些指导开始&#xff0c;事实证明&#xff0c;取决于目标标签或地面真相标签y是什么&#xff0c;对于输出层的激活函数&#xff0c;将有一个相当自然的选择&#xff0c;然后看看激活函数的选…

【学习记录】使用CARLA录制双目摄像头SLAM数据

一、数据录制 数据录制的部分参考了网上的部分代码&#xff0c;代码本身并不复杂&#xff0c;基本都是简单的CARLA语法&#xff0c;关键的一点在于&#xff0c;CARLA内部本身并没有预设的双目摄像头&#xff0c;需要我们添加两个朝向相同的摄像头来组成双目系统&#xff0c;这…

[论文粗读][REALM: Retrieval-Augmented Language Model Pre-Training

引言 今天带来一篇检索增强语言模型预训练论文笔记——REALM: Retrieval-Augmented Language Model Pre-Training。这篇论文是在RAG论文出现之前发表的。 为了简单&#xff0c;下文中以翻译的口吻记录&#xff0c;比如替换"作者"为"我们"。 语言模型预训练…

【人工智能】ChatGPT多模型感知态识别

目录 ChatGPT辅助细化知识增强&#xff01;一、研究背景二、模型结构和代码任务流程一&#xff1a;启发式生成 三、数据集介绍三、性能展示实现过程运行过程训练过程 ChatGPT辅助细化知识增强&#xff01; 多模态命名实体识别&#xff08;MNER&#xff09;最近引起了广泛关注。…

【黑马点评debug日记】

q1:登录无session跳转主页 p30&#xff0c;页面登录后返回&#xff0c;然后点击我的&#xff0c;需要重新设置&#xff0c;拦截器都没有问题。 参考&#xff1a; redis 黑马点评p30 login没有正常跳转&#xff0c;修改前端代码后还是一直跳转主界面_黑马点评登录后跳转到主页…

地面远阴影对光伏电站的影响

影响因素 1、太阳高度角和方位角 太阳高度角是指太阳光的入射方向和地平面之间的夹角。太阳高度角随时间、季节和地理位置的变化而变化。 方位角是指太阳光线在水平面上的投影与正南方向的夹角。方位角也随时间和地理位置的变化而变化。 可以通过天文公式或者专业的太阳位置…

消息队列高级

目录 消息可靠性 生产者消息确认 第一步&#xff1a;修改application.yml配置文件信息 第二步&#xff1a;定义发送者确认confirm回调方法 第三步&#xff1a;创建消息发送者回执return回调方法&#xff08;确保消息从交换机到消息队列&#xff09; 总结&#xff1a; 消息持…

宏观经济学笔记

【拯救者】宏观经济学速成 国民生产总值GNP: GNP 衡量一国(地区)成员在一定时期内运用生产要素所生产的全部最终产品和服务的市场价值。凡是本国国民所 创造的收入&#xff0c;不管生产要素是否在国内&#xff0c;都计入本国GNP中。 GDP本国居民在本国创造的价值外国居民在本国…

ONLYOFFICE 8.2测评:功能增强与体验优化,打造高效办公新体验

引言 随着数字化办公需求的不断增长&#xff0c;在线办公软件市场竞争愈加激烈。在众多办公软件中&#xff0c;ONLYOFFICE 无疑是一个颇具特色的选择。它不仅支持文档、表格和演示文稿的在线编辑&#xff0c;还通过开放的接口与强大的协作功能&#xff0c;吸引了众多企业和个人…

独显装完ubuntu后启动黑屏显示/dev/sda:clean files blocks的解决方案

解决方案如下&#xff1a; 选中Ubuntu按E键 在编辑界面倒数第2行的linux那行&#xff08;后面有quiet splash选项&#xff09;的最后添加nomodeset 然后按F10保存重启 然后管理员权限打开/etc/modprobe.d/blacklist.conf&#xff0c;在文件末尾添加&#xff1a; blacklist…

[Docker#2] 发展历史 | Namespace环境隔离 | Cgroup资源控制

目录 1.发展历史 Jail 时代 云时代 云原生时代 技术标准的确立 虚拟机 vs Docker 2. 容器化技术 2.1 Namespace 命令详解 1. dd 命令 2. mkfs 命令 3. df 命令 4. mount 命令 5. unshare 命令 实战 进程隔离 文件隔离 2.2 CGroup 相关命令 2.1 pidstat 2.…

AI生活之我用AI处理Excel表格

AI生活之我用AI处理Excel表格 场景再现AI提问词AI代码运行调试结果心得感受 场景再现 因学习需要&#xff0c;整理了某个题库&#xff0c;方便自己刷题使用。 已将每套题打上了制定标签&#xff0c;得到一个Excel表格。截图如下&#xff1a; 需求是&#xff1a;一共35套题&…

Stable Diffusion Web UI - ControlNet 姿势控制 openpose

openpose 是 ControlNet 中常用的控制模式之一。 通过 openpose 可以锁定人物姿势&#xff0c;把姿势信息传递给 Stable Diffusion 扩散模型&#xff0c;让其在扩散生成图片的时候遵照特定的任务姿势。 通过 openpose 能够得到类似如下效果&#xff1a; 同样的姿势&#xff0…

第三百一十九节 Java线程教程 - Java线程中断

Java线程教程 - Java线程中断 我们可以通过使用interrupt()方法中断一个活动的线程。 这个方法调用在线程只是一个指示。它是由线程如何响应中断。 例子 下面的代码显示了中断主线程并打印线程中断状态的代码。 public class Main {public static void main(String[] args)…

人工智能(AI)和机器学习(ML)技术学习流程

目录 人工智能(AI)和机器学习(ML)技术 自然语言处理(NLP): Word2Vec: Seq2Seq(Sequence-to-Sequence): Transformer: 范式、架构和自注意力: 多头注意力: 预训练、微调、提示工程和模型压缩: 上下文学习、思维链、全量微调、量化、剪枝: 思维树、思维…