Linux伺服器初始化調優及安全加固

2022-07-27 20:48:11 字數 3019 閱讀 1272

一,開啟iptables

僅開放必要的ssh埠和監控埠 示例:

ssh tcp 22

snmpd udp 161

nrpe tcp 5666

本人公網ip全埠開放

二,除非特別熟悉selinux配置,否則請關閉selinux

檢視是否開啟:getenforce如果為強制和允許則關閉

vim /etc/sysconfig/selinux

selinux = disabled

三,優化ssh埠

vim /etc/ssh/sshd_config

將預設的22埠替換大於1024的其他埠

2222

如果不經常使用root登陸禁止root登陸,使用普通使用者su切換

permitrootlogin yes

四,系統服務優化

最少服務原則,凡是不需要的服務一律關掉

for a in `ls /etc/rc3.d/s*`  

docursrv=`echo $a |cut -c15-`

echo $cursrv

case $cursrv in mysqld|crond|irqbalance|iptables|ip6tables|xinetd|microcode_ctl|network|random|sshd|syslog|local|snmpd)

echo "base services,skip"

;;*)

echo "change $cursrv to off"

chkconfig --level 235 $cursrv off

service $cursrv stop

;;esac

done

五,sysctl核心引數調優
net.ipv4.ip_forward = 0  

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

kernel.sysrq = 0

kernel.core_uses_pid = 1

net.ipv4.tcp_syncookies = 1

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

net.ipv4.tcp_max_tw_buckets = 6000

net.ipv4.tcp_sack = 1

net.ipv4.tcp_window_scaling = 1

net.ipv4.tcp_rmem = 4096 87380 4194304

net.ipv4.tcp_wmem = 4096 16384 4194304

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

net.core.netdev_max_backlog = 262144

net.core.somaxconn = 262144

net.ipv4.tcp_max_orphans = 3276800

net.ipv4.tcp_max_syn_backlog = 262144

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000

net.ipv4.tcp_fin_timeout = 1

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.ip_local_port_range = 1024 65535

六,優化linux系統檔案大小

vim /etc/security/limits.conf

*軟nofile 65535

*硬nofile 65535

七,修改使用者登陸和操作歷史記錄

histsize=5000  

export histtimeformat="%f %t "

user=`whoami`

ip=`who -u am i | awk '' | sed 's/[()]//g'`

dt=`who -u am i | awk ''`

date=`date "+%y-%m-%d"`

user_date=/tmp/.history/$user/$date

history_file=$user_date/$_history_$date.txt

login_file=$user_date/$_login_$date.txt

mkdir -p $user_date

echo "$user\t$dt\t$ip\n" >> $login_file

chmod 600 $login_file

touch $history_file

export histfile="$history_file"

chmod 600 $history_file

下次登陸即可以在/tmp/.history目錄下看到歷史登陸記錄

八,yum源優化

PHP部署調優 伺服器初始化配置

主機 php 應用開發好了之後,還需要部署到遠端主機上,才能讓使用者訪問我們提供的服務。一般來說,目前市場上提供的主機有四種 共享伺服器 虛擬私有伺服器 vps 專用伺服器和 paas。每種主機適用場景不同,相應的 差距也很大。共享伺服器 這種最便宜,一般來說這種適用於非開發者部署 比如非程式設計師...

Linux伺服器初始化

選擇的作業系統是centos 7 x64,與ubuntu的區別詳見 一 ssh登入會報錯 當本機之前成功連線過伺服器時,若重灌伺服器後,用ssh登入報錯 warning remote host identification has changed!這是由於本機的known hosts是記錄遠端主機公...

seetaface初始化引數調優

這個引數調整,主要是針對人臉檢測模組初始化引數做的修改,修改後的效果是人臉距離攝像頭的檢測距離變短,人臉識別,特徵提取,相似度計算的計算速度提公升.具體修改如下 seeta facedetection detector seeta fd frontal v1.0.bin detector.setmi...