linux系统安装后的优化

1、禁止yum update内核升级。

　　先备份：#cp /etc/yum.conf /etc/yum.conf.bak

　　修改yum的配置文件：#vi /etc/yum.conf

　　　　在[main]最后加上 exclude=kernel*

　　直接用yum命令

　　　　#yum --exclude kernel* update

2、优化系统ulimit

　　编辑配置文件。

　　　　#vim /etc/security/limits.conf　　　　

　　　　* soft nofile 655350

　　　　* hard nofile 655350

　　　　* soft nproc 655360

　　　　* hard nproc 655360

3、优化系统内核参数

4、关闭selinux

　　修改配置文件

　　　　#sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/‘ /etc/selinux/config

　　　　#setenforce 0

　　　　#getenforce

　　　　Disabled

5、用户登录密码

　　修改配置文件 /etc/login.defs

　　　　PASS_MAX_DAYS　　99999

　　　　PASS_MIN_DAYS　　0

　　　　PASS_MIN_LEN　　8

　　　　PASS_WARN_AGE　　7

　　/etc/pam.d/system-auth

　　　　password required pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-1 ocredit=-2

　　　　设置密码时可以尝试3次，密码最短8位，包含至少1个小写字母，2个大写字母，1个数字，2个特殊字符。

6、限制root权限用户直接登录

　　配置文件/etc/ssh/sshd_config

　　　　PermitRootLogin yes改为PermitRootLogin no

7、限制用户使用su命令权限

　　配置文件/etc/pam.d/su

　　　　将#auth required pam_wheel.so use_uid的#删除

8、禁止ctrl+alt+del热键关机

　　配置文件/usr/lib/systemd/system/ctrl-alt-del.target

　　　　将内容全部注释掉，会导致reboot不能使用。

9、连续错误登录锁定账户

　　配置文件/etc/pam.d/sshd 

　　　　在第二行加入

　　　　auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=300

　　　　表示普通用户登录5次失败则锁定账户10分钟，root普通用户访问失败5次则锁定5分钟。