第1章安装linux系统后调优及安全设置
1.1 关闭SELinux功能
[root@moban /]# sed -i ‘s/SELLINUX=enforcing/SELINUX=disabled/g‘ /etc/selinux/config
==》修改配置文件可使用高配置永久生效,但必须要重启系统,此步时sed快速修改方法,也可以通过vi编辑修改此文件。
[root@moban /]# grep SELINUX=disabled /etc/selinux/config
SELINUX=disabled 《===检查替换结果为disabled就表示编辑成功了。
回到root ==》vi /etc/selinux/config
1.1.1 selinux是什么?
安全工具,控制太严格了,生产环节不用它,使用跟其他的安全手段。
永久关闭(需要重启系统):
vi /etc/selinux/config
SELINUX=enforcing改为SELINUX=disabled
临时关闭
selenlore 0 命令行关闭SELINUX
getenfore 查看命令行是否关闭SELINUX
永久关闭(重启系统):
vi /etc/selinux/config
SELINUX=enforcing改为SELINUX=disabled
sed i ‘s#>SELINUX=enforcing#SELINUX=disabled#g‘
/etc/selinux/config
临时关闭:
setenfore 0 命令行关闭SELINUX
getenfore 查看命令行是否关闭SELINUX
1.1.2 命令说明:
setenfore:用于命令行管理SELinux的级别,后面的数字表示设置对应的级别。
getenforce:查看SELinux当前的级别状态。
提示:修改配置SELINUX后,要想时期生效,必须要重启系统。因此,可配合使用sctenforce 0这个临时相当于使其关闭的命令,这样在重启前后都可以使得SELinux关闭生效了。也就是说无需立刻重启服务器了,在生产场景下Linux机器是不能随意重启的。
1.2 运行级别:
linux运行时的一种状态表示,这个标识用于数字表示7中运行级别。
0 halt,关机状态
1 single user 单用户,找回root密码
2 multiuser without nfs.多用户没有NFS网络文件系统
3 文本模式(Full multiuser mode ) ***** 工作模式
4 unused
5 图形、桌面、X11
6 reboot 重启
1.2.1 如何查看当前系统的运行级别
runlevel
[root@moban /]# runlevel
N(前一次) 3(当前)
1.2.2 更改运行级别
init
例如:init 6 就表示重启
1.3 精简开机系统启动
1.3.1 重要的开机自启动服务
sshd
远程连接Linux服务器是需要用到这个服务程序,所以必须要开启,
否则将无法远程连接Linux服务器。
rsyslog
是操作系统提供的一种机制,系统的守护程序通常会使用rsyslog
将各种信息写到各个日同日志文件中,Centos6以前此服务的名字
为syslog
network
系统启动时,若想激活/关闭各个网络接口,则应(必须)考虑开启。
crond
该服务用于周期性地执行系统用户配置的任务计划。有要周期性
执行的任务时,就要开启,此服务几乎是生产场景必须要用的一
个软件。
sysstat
sysstat是一个软件包,保护检测系统性能及效率的一组工具,
这些工具对于我们手机系统性能数据很有帮助,比如CPU使用率、
硬盘和网络吞吐数据等,这些数据的手机和分析,有利于判断系
统运行是否正常,所以它是提高系统运行效率、安全运行服务器
的得力助手。
Sysstat软件包集成的主要工具为:
iostat工具提供CPU使用率及硬盘吞吐效率的数据;
mpstat工具提供与单个或多个处理器相关的数据;
sar工具负责收集、报告并存储系统活跃的信息。
提示:上述5个服务是安装完系统后建议保留的开机启动服务,也几乎是一切服务器必须开机保留的自启动服务。将来还可以根据服务器的业务使用个场景调整相应的自启动服务,所谓调整,就是增加其他自启动服务。
1.3.2 设置开启自启动服务的常见方法
1)执行命令,然后手动选择处理的方法
方法1:执行ntsysv命令然后在弹出的窗口中进行设置。
方法2:执行setup->system service,然后在弹出的窗口中进行设置
提示:初学者可以选择上述两种方法中的一种来完成配置。
为什么要设置开机自启动?
好处:
1、节省开机时间,加快启动速度。
2、节省资源开销
3、减少安全隐患
如何做?
第一种setup
第二种ntsysv
第三种chkconfig
sed 后向引用
sed -r ‘s#(.*)(.*)#\1 \2#g‘
1.4 关闭iptables防火墙
关闭防火墙的目的是为了让初学者更方便,将来在学了iptables技术后可再统一开启。在企业环境中,一般只有外网IP的服务器才需要开启防火墙,但即使是外网IP,对于高并发流量的业务服务器仍是不能开的,因为会有较大性能损失,导致网站访问很慢,这种情况下只能在前段加更好的硬件防火墙了。
关闭防火墙的具体操作过程如下:
[root@moban /]# /etc/init.d/iptables stop
[root@moban /]# /etc/init.d/iptables stop==service iptables stop
1.5 Linux系统安全最小原则说明
最小化原则对linux系统安全来说极其重要:即多一事不如少一事。
具体包括如下几个方面:
1)安装linux系统最小化,即选包最小化,yum安装软件包也要最小化,无用的包不装。
2)开机自启动服务最小化,即无用的服务不开启
3)操作命令最小化。例如:能用“rm -f tets.txt”就不用“rm -fr test.txt”.
4)登陆Linux用户最小化。平时没有特殊需求不登录root,用普通用户登录即可。
5)普通用户授权权限最小化,即只给用户必须的管理系统的命令,不能啥都可以干。
1.6 更改SSH服务端远程登陆的配置
windows服务器的默认远程管理端口是3389,管理员用户是administrator,普通用户是guest。linux的管理用户是root,普通用户默认有很多个,远程连接默认端口port 22
这些通常搞IT人都知道。那么黑客是否也知道呢?他们当然知道,甚至比我们更清楚,所以,为了
系统安全要隐藏或更改上述默认的配置才行。
[root@moban /]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori
更改配置前进行备份,是系统管理员的一个良好的习惯。
[root@moban /]# vi /etc/ssh/sshd_config #-》编辑sshd_config
###by moban#2016-03-10##
Prot 52113
PermitrootLogin no
PermitEmptypasswords no
UseDNS no
GSSAPIAuthentication no
### moban#2016-03-10##
执行如下命令重启sshd,是的修改的配置生效:
[root@moban /]# /etc/init.d/sshd reload
重新载入sshd [确定]
或者
/etc/init.d/sshd restart
提示:reload为平滑重启,不影响正在SSH连接的其他用户,因此要好于restart。
1.7 利用sudo控制用户对系统命令的使用权限
为了安全及管理的方便,可将需要root权限的普通用户加入sudo管理,这样用户就可以通过自己的普通账户登录实现利用root的权限来管理系统了,当然也就不需要有root账号及密码了。
执行如下visudo命令,即可打开sudo的配置文件进行编辑。
[root@moban ~]# visudo #相当于直接编辑/etc/sudoers,单用命令方式更安全,推荐
在/etc/sudoers文件的大约第98行下面添加需要提升为root权限的普通用户名及对应权限。
1.7.1 优化注意的几个方面:
安装linux系统最小化,即选包最小化,yum安装软件包也要最小化,无用的包不装。
开机自启动服务最小化,即无用的服务不开启。
操作命令最小化。例如:能用“rm -f test.txt”就不用“rm -fr test.txt”
登录linux用户最小化。平时没有特殊需求不登录root,用普通用户登录即可。
普通用户授权权限最小化,即只给用户必须的管理系统的命令,不能啥都可以干。
linux系统文件及目录的权限设置最小化,禁止随意创建、更改、删除文件
普通用户与皇帝root
普通用户当皇帝的办法有两种:
第一种是 su - root ,执行su - 或su - root相当于农民起义,推翻皇帝,改朝换代了。需要输入root密码才能登陆。
第二种是sudo ,sudo touch /etc/test.txt让普通人做只有皇帝能做的事情,需要皇帝事先授权(sudoers文件)sudo su - root 功高盖主了,也可以改朝换代,最大化授权sudo后果。
sudo设全对于bash的内置命令处理,十个难题,因为内置命令没有实体文件和路径,不过一般都有解决方法例如希望sudo cd 用sudo ls 替代,有的网友使用sudo bash后再使用内置命令,这是很危险的,不推荐。
1.8 linux中文显示设置
此项优化为可选项,即调整linux系统的字符集设置,那么。什么是字符集呢?简单的说,字符集就是一套文字符号及其编码。目前linux下常用的字符集有:
GBK:定长,双字节,不是国际标准,支持的系统不少,实际企业用的不多
UTF-8:费定长,1~4字节,广泛支持,MYSQL也是用UTF-8,企业广泛使用。
可通过快捷的命令方式在/etc/sysconfig/i18n中添加如下内容,使其支持中文显示:
[root@moban ~]# cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
source /etc/sysconfig/i18n启动设置
查看字符集设置的结果。
[root@moban ~]# cat /etc/sysconfig/i18n
LANG="zh_CN.UTF-8"
SYSFONT="latarcyrheb-sun16"
登录linux系统查看中文字符正常显示的步骤如下:
1)将服务器端字符集(/etc/sysconfig/i18n)改为LANG="zh_CN.UTF-8"。
2)将客户端字符集(CRT)调整为UTF-8.
3)命令执行setup命令看到原来中文乱码的窗口不乱了,正确显示中文字符了。
提示:
注意"zh_CN.UTF-8"的大小写字母。
这个中文显示配置要跟你自己的SSH客户端的配置一致。默认情况下就是老男孩演示的配置。
调整SSH客户端CAT的字符集,使其和linux服务端一致(UTF-8)。
1.9 设置linux服务器时间同步
手动同步系统时间
[root@moban ~]# /usr/sbin/ntpdate time.nist.gov
31 Mar 22:35:56 ntpdate[10098]: step time server 24.56.178.140 offset 82739.057723 sec
利用定时任务crond把上述的手动命令没5分钟自动执行一次:
[root@moban ~]# crontab -l
*/5 * * * * /usr/sbin/ntpdate time.nist.gov >dev/null 2>&1
1.10 linux系统变量优化
1.10.1 设置闲置账号超时时间
设置闲置账号超时时间示例命令如下,注意此处的配置仅临时生效。
[root@moban ~]# export TMOUT=10
[root@moban ~]#
timed out waiting for input: auto-logout #10秒提示超时
1.10.2 设置linux的命令行历史记录数
设置linux的命令行历史记录数命令如下,注意此处的配置仅临时生效。
[root@moban ~]# export HISTSIZE=5
[root@moban ~]# history
914 date
915 /usr/sbin/ntpdate time.nist.gov
916 crontab -l
917 export HISTSIZE=5
918 history
1.10.3 设定用户的命令行历史记录文件
设定用户的命令行历史记录文件(~/.bash_history)记录指定命令如下,注意此处的配置仅临时生效。
[root@moban ~]# export HISTFILESIZE=5
[root@moban ~]# cat ~/.bash_history
/usr/sbin/ntpdate time.nist.gov
crontab -l
export HISTSIZE=5
history
export TMOUT=10
[root@moban ~]#
把上述命令放入配置文件,使其可以永久生效。
配置文件:/etc/profile
source /etc/profile #使得配置文件生效
在上述命令中,涉及的系统控制变量说明如下:
export TMOUT=10 :连接的超时时间控制变量
export HISTSIZE=5 :命令行的历史记录数量变量
export HISTFILESIZE=5 :历史记录文件的命令数量变量(~/.bash_history)。
提示:实际工作中类似的变量还有不少,大家可以根据企业需求选择使用,最好执行前加上export命令,更多linux系统的环境变量,大家可以执行manbash查询。
1.11 调整linux系统文件描述符数量
文件描述符是由无符号整数表示的句柄,进程使用它来表示打开的文件。文件描述符与包括相关信息(如文件的打开模式、文件的位置类型、文件的初始类型等)的文件对象相关联,这些信息被称为文件的上下文。文件描述符的有效范围是0到OPEN_MAX.
对于内核而言,所有打开的文件都是通过文件描述符引用的。当打开一个现有文件或创建一个新文件时,内核向进程返回一个文件描述符。当读或写一个文件是,使用open或creat返回的文件描述符标识改文件,并将其作为参数传递给read或write。
[root@moban ~]# ulimit -n
1024 文字描述符数量
对于高并发的业务linux服务器来说,这个默认的设备值是不够的,需要调整。
1.11.1 调整方法1:
执行vim /etc/security/limits.conf命令,在文件结尾加上如下一行。
* - nofile 65535
或者直接执行命令追加到文件尾部/etc/security/limits.conf
配置完成后,需重新登陆才可以生效,用ulimit -n 命令查看。
1.11.2 调整方法2
直接把ulimit-SHn65535命令加入到/etc/rc.local,然后每次开机启动的时候生效。
[root@moban ~]# cat >>/etc/rc.local<<EOF
1.12 linux服务器内核参数优化
所谓linux服务器内核参数优化,主要是指在linux系统中针对业务服务应用而进行的系统内核参数调整,优化并无一定的标准,下面生产环境下linux常见的内核优化为例进行讲解,仅供大家参考。
优化方法是,执行vi /etc/sysctl.conf命令道文件结尾,然后拷贝如下内容并保存。
sysctl -p 是的加载的参数生效
网络状态说明及优化命令和优化细节参考资料请看:
http://oldboy.blog.51cto.com/2561410/1336488
http://yangrong.blog.51cto.com/6945369/1321594
1.13 定时清理邮件服务临时目录垃圾文件
centos5系列的系统会默认安装sendmail服务,因此邮件临时存放地点的路径为/var/spool/clientmqueue/。
centos6默认情况下没有安装sendmail服务,而是改装了postfix服务,因此邮件临时存放点的路径为/var/spool/postfix/maildrop
以上两个目录很容易被垃圾文件填满导致系统的inode数量不够用,从而导致无法存放文件。
手动清理的方法如下:
[root@moban ~]# find /var/spool/clientmqueue/ -type f |xargs rm -f #centos5
[root@moban ~]# find /var/spool/postfix/maildrop/ -type f |xargs rm -f #centos6
定期清理的方法为:将上述命令携程脚本,然后做成定时任务,每天晚上0点执行一次。
[root@moban ~]#echo "find /var/spool/postfix/maildrop/ -type f|xargs rm -f">/server/scripts/del_file.sh
[root@moban ~]# crontab -e
00 00 * * * /bin/sh /server/scripts/del_file.sh >dev/null 2>&1
1.14 隐藏linux版本信息显示
在登录到linux主机本地(非CRT连接)前,会显示系统的版本和内核
[root@moban ~]# cat /etc/issue
CentOS release 6.7 (Final)
Kernel \r on an \m
[root@moban ~]# cat /etc/issue.net
CentOS release 6.7 (Final)
Kernel \r on an \m
[root@moban ~]#
执行如下命令清除linux系统版本及内核信息
[root@moban ~]# > /etc/issue
[root@moban ~]# > /etc/issue.net
1.15 锁定关键系统文件,防止提权被篡改
要锁定关键系统文件,必须对账号密码文件及启动文件加锁,防止被篡改。上锁命令如下:
[root@moban ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
提示:上锁后,所用该用户都不能对文件修改删除
解锁的命令如下
[root@moban ~]# chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
提示:上锁后,如需临时错做,可以解锁后对文件进行修改,之后再上锁。
1.16 清除多余的系统虚拟账号
操作前要先根据公司系统提供的服务确定哪些账号不需要使用,如果不确定就不要操作了,一般情况下,一个规范的系统提供的服务都比较少,因此,系统中默认的绝大多数虚拟用户都是可以删除的。例如: bin/adm/lp/halt/mail/uncp/operator/games/gopher/ftp/dbus/vcsa/abrt/ntp/saslauth/postfix/tcpdump等,这些用户本身也是无法登陆的,因此,此项优化不是必须的。
1.17 为grub菜单加密码
为grub菜单加密码的目的是防止他人修改grub做内核等启动设置,以及用单用户模式启动破解root密码等操作。实际上此步可以在安装系统的过程中设定,安装系统后的具体设定步骤如下:
1)先用/sbin/grub-md5-crypt产生一个MD5密码串,如下
[root@moban ~]# /sbin/grub-md5-crypt
Password:
Retype password:
$1$vS9Bj$UKnQYq/V4Z2HIds8FVPJL.
2)修改grub.conf文件,命令如下:
[root@moban ~]# vi /etc/grub.conf
1 # grub.conf generated by anaconda
2 #
3 # Note that you do not have to rerun grub after making changes to this file
4 # NOTICE: You have a /boot partition. This means that
5 # all kernel and initrd paths are relative to /boot/, eg.
6 # root (hd0,0)
7 # kernel /vmlinuz-version ro root=/dev/sda3
12 splashimage=(hd0,0)/grub/splash.xpm.gz
1 # grub.conf generated by anaconda
2 #
3 # Note that you do not have to rerun grub after making changes to this file
4 # NOTICE: You have a /boot partition. This means that
5 # all kernel and initrd paths are relative to /boot/, eg.
6 # root (hd0,0)
7 # kernel /vmlinuz-version ro root=/dev/sda3
8 # initrd /initrd-[generic-]version.img
13 hiddenmenu
14 password --md5 $1$vS9Bj$UKnQYq/V4Z2HIds8FVPJL
#注意:password 要加载splashimage和title之间这段,否则可能不生效
15 title CentOS 6 (2.6.32-573.el6.x86_64)
16 root (hd0,0)
17 kernel /vmlinuz-2.6.32-573.el6.x86_64 ro root=UUID=c511f78f-2713-4ca
d-8dcc-756dab643fc1 rd_NO_LUKS rd_NO_LVM LANG=en_US.UTF-8 rd_NO_MD SYSFONT=l
atarcyrheb-sun16 crashkernel=auto KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb
quiet
18 initrd /initramfs-2.6.32-573.el6.x86_64.img
设置完成后,下次开机需要管理grub时就会提示输入密码。
1.18 禁止linux系统被ping
此项优化不是必须的,而且又是我们自己也会通过ping来检查服务器是否异常,对于要求很高的中小企业服务器,设置禁止ping也是可以的。从安全角度来说,禁止ping还是会增加系统安全的。禁止png的命令如下:
[root@moban ~]# echo "net.ipv4.icmp_echo_ignore_all=1">> /etc/sysctl.con
[root@moban ~]#tail -1 /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all=1
[root@moban ~]#sysctl -p #启动
其实这个禁ping的方法还不是好的额策略,因为禁止ping后,我们自己也无法通过ping检查了,比较好的策略是通过iptables设置让特定的IP可以ping,例如:让内网用户ping其他外部用户不能ping。例如:在默认策略为drop的情况下,可以执行如下命令,
为10.0.0.0/24网段允许ping
iptables -t filter -I INPUT -p icmp --icmp -type 8 -i eth0 -s 10.0.0.0/24 -j ACCEPT
工作中防火墙处理
还原禁ping
删除/etc/sysctl.conf中的net.ipv4.icmp_echo_ignore_all=1
并执行如下命令
etho 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
1.19 升级具有典型漏洞的软件版本
openssl openssh bash爆出很多软件漏洞,在企业场景需要进行修复漏洞操作,步骤如下:
1)首先检查相关软件的版本号
[root@moban ~]# rpm -qa openssl openssh bash
bash-4.1.2-33.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssl-1.0.1e-42.el6.x86_64
2)执行升级已知漏洞的软件版本到最新,命令如下
[root@moban ~]# yum install openssl openssh bash -y
1.20 linux基础优化与安全重点小结
1)不用root登录管理系统,而以普通用户登录通过sudo授权管理
2)更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至更改SSH服务只监听内网IP。
3)定时自动更新服务器的时间,使其和互联网时间同步。
4)配置yum更新源,从国内看更新源下载安装软件包
5)管理SELinux及iptables(在工作场景中,如果有外部IP一般要打开iptables,高并发高流量的服务器可能无法开启)。
6)调整文件描述符的数量,进程及文件的打开都会消耗文件描述符数量。
7)定时自动清理邮件临时目录垃圾文件,防止磁盘的inodes数被小文件占满(注意cetos6和centos5要清除的目录不同)
8)精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)
9)linux内核参数优化/etc/sysctl.conf,执行sysctl -p 生效。
10)更改系统字符集为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。
11)锁定关键系统文件如(/etc/passwd./etc/shadow./etc/group./etc/gshadow /etc/inittab)处理以上内容后把chattr、lsattr改名为olboy,转移走,这样就安全多了。
12)清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的屏幕显示。
13)清除多余的系统虚拟用户账号。
14)为grub引导菜单加密码
提示:上述仅为安装linux后的一些基础优化,更多针对不同业务服务器的优化思路见:
http://oldboy.blog.51cto.com/2561410/1336488
http://yangrong.blog.51cto.com/6945369/1321594
本文出自 “wtlinux” 博客,请务必保留此出处http://wtlinux.blog.51cto.com/11253430/1771165
原文地址:http://wtlinux.blog.51cto.com/11253430/1771165