首页 / LINUX / Linux 服务器安全优化

Linux 服务器安全优化

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了Linux 服务器安全优化，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含6992字，纯文字阅读大概需要10分钟。

内容图文

　　最小的权限+最少的服务=最大的安全

　　所以，无论是配置任何服务器，我们都必须把不用的服务关闭、把系统权限设置到最小，这样才能保证服务器最大的安全。下面是CentOS服务器安全设置，供大家参考。

一、注释掉系统不需要的用户和用户组

　　注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。
　　# cp /etc/passwd /etc/passwd.bak #修改之前先备份
　　 # vi /etc/passwd #编辑用户，在前面加上#注释掉此行

#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#sync:x:5:0:sync:/sbin:/bin/sync
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin    #注释掉ftp匿名账号

　　# cp /etc/group /etc/group.bak #修改之前先备份
　　# vi /etc/group #编辑用户组，在前面加上#注释掉此行

#adm:x:4:root,adm,daemon
#lp:x:7:daemon,lp
#uucp:x:14:uucp
#games:x:20:
#dip:x:40:

二、关闭系统不需要的服务

　　下面这些服务一般情况下是不需要的，可以选择关闭： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

三、禁止非root用户执行/etc/rc.d/init.d/下的系统命令
　　chmod -R 700 /etc/rc.d/init.d/*
　　chmod -R 777 /etc/rc.d/init.d/* #恢复默认设置

四、给下面的文件加上不可更改属性，从而防止非授权用户获得权限
　　chattr +i /etc/passwd
　　chattr +i /etc/shadow
　　chattr +i /etc/group
　　chattr +i /etc/gshadow
　　chattr +i /etc/services    #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
　　lsattr /etc/passwd   /etc/shadow /etc/group /etc/gshadow   /etc/services   #显示文件的属性
　　注意：执行以上权限修改之后，就无法添加删除用户了。
　　如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作
chattr -i /etc/passwd     #取消权限锁定设置
　 chattr -i /etc/shadow
　 chattr -i /etc/group
　   chattr -i /etc/gshadow
　 chattr -i /etc/services   #取消系统服务端口列表文件加锁
　　现在可以进行添加删除用户了，操作完之后再锁定目录文件

五、修改ssh远程登录端口和屏蔽root远程登录 ? 　　#备份SSH配置 cp /etc/ssh/sshd_config sshd_config.bak 　　#修改SSH安全配置 vi /etc/ssh/sshd_config 　　#SSH链接默认端口 port 53123 (默认#Port 22,在这一行上面添加即可) 　　#禁止root账号登陆 PermitRootLogin no 　　#禁止空密码 PermitEmptyPasswords no 　　#不使用DNS UseDNS no ? 六、禁止使用Ctrl+Alt+Del快捷键重启服务器
　　配置文件：/etc/init/control-alt-delete.conf

　 # vim /etc/init/control-alt-delete.conf

　　# start on control-alt-delete//注释掉此行即可

　　exec /sbin/shutdown -r now

七、隐藏服务器系统信息
　　在缺省情况下，当你登陆到linux系统，它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。
　　为了不让这些默认的信息泄露出来，我们要进行下面的操作，让它只显示一个"login:"提示符。
　　删除/etc/issue和/etc/issue.net这两个文件，或者把这2个文件改名，效果是一样的。
　　mv? /etc/issue /etc/issuebak
　　mv? /etc/issue.net? ?/etc/issue.netbak

八、给命令历史记录添加时间戳

　　这样就可以看到在什么时间执行了什么命令。

 　echo export HISTTIMEFORMAT=\"%h %d %H:%M:%S \" >> /root/.bashrc

九、关闭多余的虚拟控制台
　　CentOS 6.0 开始 TTY 的配置由 /etc/inittab 更改为 /etc/init/start-ttys.conf，执行以下命令可将默认6个 TTY 改为2个：

　　找到 tty [1-6] 改成 tty [1-2]

? 十、设置一些全局变量 ? 　　#设置自动退出终端，防止非法关闭ssh客户端造成登录进程过多，可以设置大一些，单位为秒　　echo "TMOUT=3600">> /etc/profile 　　#历史命令记录数量设置为100条　　sed -i "s/HISTSIZE=1000/HISTSIZE=100/" /etc/profile 　　#立即生效　　source /etc/profile ?

十一、使用yum update更新系统时不升级内核，只更新软件包

　　由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启动，这是非常可怕的，没有特别的需要，建议不要随意升级内核。
　　cp /etc/yum.conf /etc/yum.confbak
　　1、修改yum的配置文件 vi /etc/yum.conf 在[main]的最后添加 exclude=kernel*
　　2、直接在yum的命令后面加上如下的参数：
　　yum --exclude=kernel* update
　　查看系统版本 cat /etc/issue
　　查看内核版本 uname -a

十二、关闭Centos自动更新
　　chkconfig --list yum-updatesd? #显示当前系统状态
　　yum-updatesd??? 0:关闭? 1:关闭? 2:启用? 3:启用? 4:启用? 5:启用? 6:关闭
　　service yum-updatesd stop????? #关闭? 开启参数为start
　　停止 yum-updatesd：??????????????????????????????????????? [确定]
　　service yum-updatesd status?? #查看是否关闭
　　yum-updatesd 已停
　　chkconfig --level 35 yum-updatesd off? #禁止开启启动（系统模式为3、5）
　　chkconfig yum-updatesd off? #禁止开启启动（所有启动模式全部禁止）
　　chkconfig --list yum-updatesd? #显示当前系统状态
　　yum-updatesd??? 0:关闭? 1:关闭? 2:启用? 3:关闭? 4:启用? 5:关闭? 6:关闭 ? 　　重新载入SSH配置 /etc/init.d/sshd reload 　　使用netstat -lnt 查看 53123 端口　　使用 lsof -i tcp:53123 反查进程（需要root才可以哦） ? 十三、删除MySQL历史记录
　　用户登陆数据库后执行的SQL命令也会被MySQL记录在用户目录的.mysql_history文件里。
　　如果数据库用户用SQL语句修改了数据库密码，也会因.mysql_history文件而泄漏。
　　所以我们在shell登陆及备份的时候不要在-p后直接加密码，而是在提示后再输入数据库密码。
　　另外这两个文件我们也应该不让它记录我们的操作，以防万一。
　　cd
　　cp .bash_history? .bash_historybak? #备份
　　cp .mysql_history .mysql_historybak
　　rm .bash_history .mysql_history
　　ln -s /dev/null .bash_history
　　ln -s /dev/null .mysql_history ?

十四、优化Linux内核参数

　　cp /etc/sysctl.conf /etc/sysctl.confbak
　　vi /etc/sysctl.conf #在文件末尾添加以下内容

　　net.ipv4.ip_forward = 1 #修改为1

　　net.core.somaxconn = 262144

　　net.core.netdev_max_backlog = 262144

　　net.core.wmem_default = 8388608

　　net.core.rmem_default = 8388608

　　net.core.rmem_max = 16777216

　　net.core.wmem_max = 16777216

　　net.ipv4.netfilter.ip_conntrack_max = 131072

　　net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180

　　net.ipv4.route.gc_timeout = 20

　　net.ipv4.ip_conntrack_max = 819200

　　net.ipv4.ip_local_port_range = 10024 65535

　　net.ipv4.tcp_retries2 = 5

　　net.ipv4.tcp_fin_timeout = 30

　　net.ipv4.tcp_syn_retries = 1

　　net.ipv4.tcp_synack_retries = 1

　　net.ipv4.tcp_timestamps = 0

　　net.ipv4.tcp_tw_recycle = 1

　　net.ipv4.tcp_tw_len = 1

　　net.ipv4.tcp_tw_reuse = 1

　　net.ipv4.tcp_keepalive_time = 120

　　net.ipv4.tcp_keepalive_probes = 3

　　net.ipv4.tcp_keepalive_intvl = 15

　　net.ipv4.tcp_max_tw_buckets = 36000

　　net.ipv4.tcp_max_orphans = 3276800

　　net.ipv4.tcp_max_syn_backlog = 262144

　　net.ipv4.tcp_wmem = 8192 131072 16777216

　　net.ipv4.tcp_rmem = 32768 131072 16777216

　　net.ipv4.tcp_mem = 94500000 915000000 927000000

　　/sbin/sysctl -p #使配置立即生效

　　十五、CentOS 系统优化

　　cp /etc/profile /etc/profilebak2
　　vi /etc/profile      #在文件末尾添加以下内容
　　ulimit -c unlimited
　　ulimit -s unlimited
　　ulimit -SHn 65535
　　ulimit -S -c 0
　　export LC_ALL=C
　　source /etc/profile    #使配置立即生效
　　ulimit -a    #显示当前的各种用户进程限制

十六、服务器禁止ping
　　cp /etc/rc.d/rc.local /etc/rc.d/rc.localbak
　　vi /etc/rc.d/rc.local #在文件末尾增加下面这一行
　　echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
　　参数0表示允许 1表示禁止

内容总结

以上是互联网集市为您收集整理的Linux 服务器安全优化全部内容，希望文章能够帮你解决Linux 服务器安全优化所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/979303.html

来源：【匿名】

【上一篇】Linux下安装JDK（转载）【下一篇】Linux下安装GD

更多 ►

【Linux 服务器安全优化】教程文章相关的互联网学习教程文章

Linux下DNS服务器搭建详解

<SPAN style=‘font: 14px/24px "Hiragino Sans GB W3", "Hiragino Sans GB", Arial, Helvetica, simsun, u5b8bu4f53; text-align: left; color: rgb(0, 0, 0); text-transform: none; text-indent: 0px; letter-spacing: normal; word-spacing: 0px; white-space: normal; orphans: 2; widows: 2; font-size-adjust: none; font-stretch: normal; background-color: rgb(255, 255, 255); -webkit-text-size-adjust: auto; -webkit...

阿里云centos服务器修改Linux主机名

如果是centos7以前的版本：临时生效修改使用命令行修改 hostname 主机名(可自定义)，重新登录 shell 生效。永久生效修改vi /etc/sysconfig/networkHOSTNAME=主机名(可自定义)，重启生效。如果是 Ubuntu 系统，则需要修改文件 /etc/hostname，将其对应的主机名修改为新的主机名。最后，需要将 /etc/hosts 中 127.0.0.1 对应的老主机名更换为新的主机名。如果是 CentOS 7 操作系统：使用命令hostnamectl set-hostname 主机名来修改...

Linux与云计算——第二阶段第二章：DHCP服务器架设【图】

Linux与云计算——第二阶段Linux服务器架设第二章：DHCP服务器架设650) this.width=650;" src="/upload/getfiles/default/2022/11/9/20221109022145383.jpg" title="摄图网-高端的数据中心.jpg" />1.配置DHCP服务器配置DHCP ( Dynamic Host Configuration Protocol ) 服务器. DHCP使用UDP端口67.[1] 安装并配置DHCP服务器.[root@demo ~]# yum -y install dhcp [root@demo ~]# vim /etc/dhcp/dhcpd.conf # 创建一个新文件# 指定域名...

linux网络编程----->高并发--->select多路I/O复用服务器【代码】【图】

做网络服务的时候并发服务端程序的编写必不可少。前端客户端应用程序是否稳定一部分取决于客户端自身，而更多的取决于服务器是否相应时间够迅速，够稳定．常见的linux并发服务器模型；多进程并发服务器多线程并发服务器select多路I/O转接服务器poll多路I/O转接服务器epool多路I/O转接服务器．本次主要讨论select多路I/O转接服务器模型： 650) this.width=650;" src="/upload/getfiles/default/2022/11/10/2022111006483...

linux 使用proxychains连接代理服务器

1. 下载：git clone https://github.com/rofl0r/proxychains-ng.git2. 编译安装三部曲：./configuremakemake installmake install-config3. 配置vim /usr/local/etc/proxychains.conf原文：http://www.cnblogs.com/lian4187/p/4880918.html

linux 监控服务器流量【代码】

linux 监控服务器流量#!/bin/bash ethn=$1whiletruedo RX_pre=$(cat /proc/net/dev | grep $ethn | sed‘s/:/ /g‘ | awk‘{print $2}‘) TX_pre=$(cat /proc/net/dev | grep $ethn | sed‘s/:/ /g‘ | awk‘{print $10}‘) sleep1 RX_next=$(cat /proc/net/dev | grep $ethn | sed‘s/:/ /g‘ | awk‘{print $2}‘) TX_next=$(cat /proc/net/dev | grep $ethn | sed‘s/:/ /g‘ | awk‘{print $10}‘) clearecho -e "\t R...

DHCP服务过度方案（linux+dhcpd+failover）【图】

一现状分析随着公司家属区接入用户的数量不断增加，以及公司网络的结构不断的复杂，静态ip地址的管理方式显得极不协调。不但配置麻烦管理不便也会造成额外的工作负担，因此对家属区提供dhcp服务十分必要。经过对公司网络环境的研究以及现有资源的整合发现在不增加设备的前提下能够对用户提供有限的dhcp服务，但这会为将来在整个企业网中实现dhcp动态分配地址积累丰富的经验。可以先在家属区进行试点在逐步推广到全公司家属区乃至...

linux环境搭建DHCP服务器

一、配置服务器一般分为4步：1、安装相应的软件包2、服务器的配置3、启动服务4、测试二、配置DHCP服务器，必须具有的前提条件1、实验环境准备（机器设置、网络设置）2、DHCP服务器需要一个固定的IP地址配置IP地址[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0（设置网络IP）# Intel Corporation 82545EM Gigabit Ethernet Controller (Copper)DEVICE=eth0BOOTPROTO=static //【dhcp、static、none】ONBOOT=...

linux服务器性能优化

1.这里的吞吐率特指Web服务器单位时间内处理的请求。 2.压力测试的前提：1>并发用户数 2>总请求数 3>请求资源描述 3.用户平均请求等待时间主要用户衡量服务器在一定并发用户数的情况下，对于单个用户的服务器质量；而服务器平均请求处理时间与前者相比，则用于衡量服务器的整体服务质量，它其实就是吞吐率的倒数。 4.对http header中标记为Connection: Keep-Alive的请求，开启web服务器的长连接支持。减少系统调用accep...

Linux下安装Nginx服务器【代码】【图】

安装Nginx之前，首先要安装好编译环境gcc和g++，然后以CentOS为例安装Nginx，安装Nginx需要PRCE库、zlib库和ssl的支持，除了ssl外其他的我们都是去官网下载：　　Nginx：http://nginx.org/　　PCRE：http://www.pcre.org/　　zlib：http://www.zlib.net/　　首先将包准备好，上传至服务器下，开始安装　　首先释放pcre，并不用安装：tar -xvzf pcre-8.38.tar.gz　　然后释放zlib：tar -xvzf zlib-1.2.8.tar.gz　　安装openssl：yum...

Linux（10）：期中架构（2）--- NFS存储服务【代码】【图】

1. 共享存储服务概念：# NFS是Network File System的缩写,中文意思是网络文件系统， # 它的主要功能是通过网络（一般是局域网）让不同的主机系统之间可以共享文件或目录。2. NFS共享存储服务的应用：# 将数据存储到一台服务器上，实现数据统一一致，共享访问 # NFS存储服务器中主要存储哪些信息：用户上传的图片音频视频附件等信息 # NFS服务是分为服务端和客户端 # 存储服务器：NFS服务端网站web服务器：NFS客户端# 实现共享...

zabbix-监控Linux服务器【图】

一、zabbix监控1、关闭防火墙[root@localhost ~]# systemctl stop firewalld[root@localhost ~]# systemctl disable firewalld关闭SELinux[root@localhost ~]# sed ‘s/=permissive/=disabled/‘ /etc/selinux/config[root@localhost ~]# setenforce 0按搭建lamph环境[root@localhost ~]# yum install httpd mariadb mariadb-server php -y[root@localhost ~]# systemctl start httpd mariadb配置zabbix yum源[root@localhost ~]...

linux设置开机服务自动启动

linux设置开机服务自动启动 [root@localhost ~]# chkconfig --list 显示开机可以自动启动的服务 [root@localhost ~]# chkconfig --add *** 添加开机自动启动***服务 [root@localhost ~]# chkconfig --del *** 删除开机自动启动***服务 www.2cto.com [root@localhost ~]# setup 可以在shell图形终端里面配置的命令，去service里选择 [root@localhost ~]# ntsysv 在shell终端图形配置开机启动服务命令，选项没上面那...

Linux 服务器作为Nginx web服务器常见优化参数【代码】

内核参数调整cat /etc/sysctl.conf # sysctl settings are defined through files in # /usr/lib/sysctl.d/, /run/sysctl.d/, and /etc/sysctl.d/. # # Vendors settings live in /usr/lib/sysctl.d/. # To override a whole file, create a new file with the same in # /etc/sysctl.d/ and put new settings there. To override # only specific settings, add a file with a lexically later # name in /etc/sysctl.d/ and put...

Linux系统学习十一、DHCP服务器—相关文件、配置文件、服务器配置【图】

2、DHCP服务器相关文件安装SHCP服务器yum install dhcp 对应的端口端口号：ipv4 udp67、udp68（不推荐改端口）ipv6 udp546、udp547（暂时还没生效）2、相关文件服务名：dhcpd （d：daeman守护进程）主配置文件：/etc/dhcp/dhcpd.conf模板文件：/usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample刚安装完里面是空的可以将模板文件复制过来覆盖掉原先的配置文件这里默认是不覆盖的，所以要打y此时打开配置文件就...

LINUX - 最热教程

Xrdp - 通过Windows的RDP连接Linux远程...VMware中Linux虚拟机挂载主机共享文件夹...Linux双网卡配置虚拟机下Linux安装好Nginx后，宿主机无...linux下安装postgresql并配置远程图形桌...Linux命令--exportfs命令详解 linux 终端printf打印显示乱码问题修正 Linux下Shell的for循环语句N种写法 Linux下创建nginx脚本-start、stop、re...SUSELinux安装MySQL

首页 / LINUX / Linux 服务器安全优化

Linux 服务器安全优化

内容导读

内容图文

八、给命令历史记录添加时间戳

内容总结

内容备注

内容手机端

【Linux 服务器安全优化】教程文章相关的互联网学习教程文章

Linux下DNS服务器搭建详解

阿里云centos服务器修改Linux主机名

Linux与云计算——第二阶段第二章：DHCP服务器架设【图】

linux网络编程----->高并发--->select多路I/O复用服务器【代码】【图】

linux 使用proxychains连接代理服务器

linux 监控服务器流量【代码】

DHCP服务过度方案（linux+dhcpd+failover）【图】

linux环境搭建DHCP服务器

linux服务器性能优化

Linux下安装Nginx服务器【代码】【图】

Linux（10）：期中架构（2）--- NFS存储服务【代码】【图】

zabbix-监控Linux服务器【图】

linux设置开机服务自动启动

Linux 服务器作为Nginx web服务器常见优化参数【代码】

Linux系统学习十一、DHCP服务器—相关文件、配置文件、服务器配置【图】

LINUX - 相关标签

服务器 - 相关标签

LINUX - 最新教程

LINUX - 最热教程