CentOS 65 安全加固及性能優化_第1頁
CentOS 65 安全加固及性能優化_第2頁
CentOS 65 安全加固及性能優化_第3頁
CentOS 65 安全加固及性能優化_第4頁
CentOS 65 安全加固及性能優化_第5頁
已閱讀5頁,還剩2頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、CentOS 6.5 安全加固及性能優化通過修改CentOS 6.5 的系統默認設置,對系統進行安全加固,進行系統的性能優化。環境:系統硬件:vmware vsphere (CPU:2*4核,內存2G)系統版本:Centos-6.5-x86_64(最小化安裝)步驟:1.關閉SELinuxrootcentos #vim /etc/selinux/config打開文件,修改并保存SELINUX=disabled #禁止如果需要生效,需要設置為EnforcingSELINUX=Enforcing #生效rootcentos #getenforce #查看selinux狀態2.清空防火墻并設置規則2.

2、1清除及查看#清空前,先允許所有連接rootcentos #/sbin/iptables -P INPUT ACCEPT#清空所有規則前把policy DROP該為INPUT,防止悲劇發生,沒法遠程連接#清空規則rootcentos #/sbin/iptables -F#清空所有規則rootcentos #/sbin/iptables -X#清空所有規則rootcentos #/sbin/iptables -Z#計數器置0rootcentos #/etc/init.d/iptables status #查看防火墻信息2.2設置規則,根據需求開啟相應端口rootcentos # iptables

3、 -A INPUT -i lo -j ACCEPT#允許來自于lo接口的數據包,如果沒有此規則,你將不能通過訪問本地服務rootcentos # iptables -A INPUT -p tcp -dport 22 -j ACCEPT # TCP 22=遠程登錄協議 端口rootcentos # iptables -A INPUT -p tcp -dport 80 -j ACCEPT #TCP 80=超文本服務器(Http),Executor,RingZero端口rootcentos # iptables -A INPUT -p tcp -s 5 -j

4、ACCEPT #接受所有來自內網IP,5的TCP請求rootcentos # iptables -A INPUT -p icmp -m icmp -icmp-type 8 -j ACCEPT#接受pingrootcentos # iptables-A INPUT -m state -state ESTABLISHED -j ACCEPT#確保正常和外部通信#其它規則,根據需求設定rootcentos # iptables -A INPUT -p tcp -dport 53 -j ACCEPT #TCP 53=DNS,Bonk (DOS Exploit) 端口rootce

5、ntos # iptables -A INPUT -p udp -dport 53 -j ACCEPT #TCP 53=DNS,Bonk (DOS Exploit) 端口rootcentos # iptables -A INPUT -p udp -dport 123 -j ACCEPT #UDP 123=網絡時間協議(NTP),Net Controller 端口rootcentos # iptables -A INPUT -p icmp -j ACCEPT#屏蔽rootcentos # iptables -P INPUT DROP#屏蔽上述規則以為的所有請求2.3保存設置rootcentos

6、# /etc/init.d/iptables save2.4重啟服務rootcentos # /etc/init.d/iptables restart2.5查看狀態rootcentos # /etc/init.d/iptables status3.添加普通用戶并進行sudo授權管理rootcentos # useradd userrootcentos # echo 123456 | passwd -stdin user #設置密碼rootcentos # vim /etc/sudoers #或visudo打開,添加user用戶所有權限root ALL=(ALL) ALLuser ALL=(AL

7、L) ALL4.禁用root遠程登錄rootcentos # vim /etc/ssh/sshd_configPermitRootLoginnoPermitEmptyPasswords no #禁止空密碼登錄UseDNSno #關閉DNS查詢5.關閉不必要開機自啟動服務6.刪除不必要的系統用戶7.關閉重啟ctl-alt-delete組合鍵rootcentos # vim /etc/init/control-alt-delete.conf#exec /sbin/shutdown -r now Control-Alt-Deletepressed #注釋掉8.調整文件描述符大小rootcentos

8、# ulimit n #默認是10241024rootcentos # echo ulimit -SHn 102400 /etc/rc.local #設置開機自動生效9.去除系統相關信息rootcentos # echo Welcome to Server /etc/issuerootcentos # echo Welcome to Server /etc/redhat-release10.修改history記錄rootcentos # vim /etc/profile #修改記錄10個HISTSIZE=1011.同步系統時間rootcentos # cp /usr/share/zoneinf

9、o/Asia/Shanghai/etc/localtime #設置Shanghai時區rootcentos # ntpdate ;hwclockw #同步時間并寫入blos硬件時間rootcentos # crontab e #設置任務計劃每天零點同步一次0 * * * * /usr/sbin/ntpdate ; hwclock -w12.內核參數優化rootcentos # vim /etc/sysctl.conf #末尾添加如下參數net.ipv4.tcp_syncookies = 1 #1是開啟SYN Cookies,當出現

10、SYN等待隊列溢出時,啟用Cookies來處,理,可防范少量SYN攻擊,默認是0關閉net.ipv4.tcp_tw_reuse = 1 #1是開啟重用,允許講TIME_AIT sockets重新用于新的TCP連接,默認是0關閉net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數,默認是15,減少次數可釋放內核資源net.ipv4.ip_local_port_range = 4096 65000 #應用程序可使用的端口范圍net.ipv4.tcp_max_tw_buckets = 5000 #系統同時保持TIME_WAIT套接字的最大數量,如果超出這個數字,TIME_WA

11、TI套接字將立刻被清除并打印警告信息,默認180000net.ipv4.tcp_max_syn_backlog = 4096 #進入SYN寶的最大請求隊列,默認是1024dev_max_backlog = 10240 #允許送到隊列的數據包最大設備隊列,默認300net.core.somaxconn = 2048 #listen掛起請求的最大數量,默認128net.core.wmem_default = 8388608 #發送緩存區大小的缺省值net.core.rmem_default = 8388608 #接受套接字緩沖區大小的缺省值(以字節為單位)net.core.rmem_max = 1

12、6777216 #最大接收緩沖區大小的最大值net.core.wmem_max = 16777216 #發送緩沖區大小的最大值net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態重試次數,默認5net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數,默認4net.ipv4.tcp_tw_recycle = 1 #開啟TCP連接中TIME_WAIT sockets的快速回收,默認是0關閉net.ipv4.tcp_max_orphans = 3276800 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上,如果超出這個數字,孤兒連接將立即復位并打印警告信息net.ipv4.tcp_mem = 94500000 915000000 927000000ne

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論