CentOS6.5安全系统加固及性能优化_第1页
CentOS6.5安全系统加固及性能优化_第2页
CentOS6.5安全系统加固及性能优化_第3页
已阅读5页,还剩12页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、CentOS 6.5安全加固及性能优化通过修改CentOS 6.5 的系统默认设置,对系统进行安全加固,进行系统的性能优化。环境:系统硬件:vmware vsphere (CPU : 2*4 核,内存 2G)系统版本:Cen tos-6.5-x86_64(最小化安装)步骤:1.关闭 SELinuxrootce ntos # vim /etc/seli nux/config打开文件,修改并保存SELINUX=disabled # 禁止如果需要生效,需要设置为EnforcingSELINUX=E nforcing# 生效rootce ntos # gete nforce#查看selinux 状态2

2、.清空防火墙并设置规则2.1清除及查看#清空前,先允许所有连接rootce ntos #/sbi n/iptables -P INPUT ACCEPTDROP该为INPUT,防止悲剧发生,没法远程连接#清空所有规则前把policy#清空规则rootce ntos #/sb in/iptables -F#清空所有规则rootce ntos #/sb in/iptables -X#清空所有规则rootce ntos #/etc/i ni t.d/iptables status# 查看防火墙信息22设置规则,根据需求开启相应端口rootce ntos # iptables -A INPUT -i l

3、o -j ACCEPT# 允许来自于lo接口的数据包,如果没有此规则,你将不能通过 访问本地服务rootcentos# iptables -A INPUT -p tcp -dport 22 -j ACCEPT#TCP 22=远程登录协议端口rootce ntos # iptables -A INPUT -p tcp -dport 80 -j ACCEPT#TCP 80=超文本服务器(Http),Executor,RingZero端口ACCEPT#接受所有来自内网IP, 的TCP请求rootce ntos # iptables -A INPUT -p icmp -m icmp -icmp-typ

4、e 8 -j ACCEPT#接受pi ng#确保正常和外部通信#其它规则,根据需求设定rootcentos#iptables-A INPUT-p tcp -dport53 -j ACCEPT#TCP53=DNS,B on k (DOS Exploit)端口rootcentos#iptables-A INPUT-p udp -dport53 -j ACCEPT#TCP53=DNS,B on k (DOS Exploit)端口rootce ntos # iptables -A INPUT -p udp -dport 123 -j ACCEPT #UDP 123=网络时间协议(NTP),Net Co

5、ntroller端口rootce ntos # iptables -A INPUT -p icmp -j ACCEPT#屏蔽rootce ntos # iptables -P INPUT DROP# 屏蔽上述规则以为的所有请求2.3保存设置rootSlocalhost _* cattc/iys<onftg/iptab1es# :4L 2013filter:input drop 0:0':FORWARD ACCEPT 匚0:0INPUT-PtcpIMPUT-PrepINPUT-PtepINPUT叩udpinput-PudpINPUT-Pi empACCEPT ACCEPT ACCE

6、PTACCEPT j ACCEPT-A -A-m-m-m -m:OUTPUT ACCEPT 10'1176j-A-AMCOMMIT# Comp let ed on Sun Dec 15 10:17:41 2CHM2.4重启服务rootcentos # /etc/init.d/iptables restart2.5查看状态rootce ntos # /etc/ in it.d/iptables status3. 添加普通用户并进行sudo授权管理rootce ntos # useradd userrootcentos # vim /etc/sudoers#或visudo打开,添加user

7、用户所有权限root ALL=(ALL) ALL user ALL=(ALL) ALL4. 禁用root远程登录rootce ntos # vim /etc/ssh/sshd_c onfigPermitRootLog innoPermitEmptyPasswords no #禁止空密码登录UseDNSno # 关闭DNS查询5. 关闭不必要开机自启动服务audltdD:offblk-vASlblHty cr«nd ipbtlb les1 vrw2-ffljn'itcx, nctfs n«t«K>rk postfix 滋回 U血4|W»o:o

8、ff 0 : off 0 :off0:oFF 0:01 0:off0ff 1 I JDf f Oifrf f l;off :Xf.off off off off off onS器slcfonsscn4n4n4n54rl4nJj jBonfjsimonananss:" *911-ill- +" : S-t *+t4v» It 5455-55555556r>&666G6-_&£-root'3QCA I host ;rootiiocAirio5tjootlociilficr rootalocalhfisrLroor*J local

9、 teT: rrond ntwQrit postf1K 斜o o D-og g g g g g of f f f f f f JI i i kl t f f fl f f 磐篦T2密 £ c c c c f- c 矇hkhichk矇c c c c c c cf f f HUF f fflf*!»* 律0oa 00f of1 - t 2 dk V ul pw abilIfDn6.删除不必要的系统用户rootlocalhost J# awk -F root bindaemon admTp£'halt mailuucp operator games33 3cns

10、ononf f f f f ofcfofofcf-1*/etc paswdynd nutdwnno vcsa saslauih postfix sshd nep ?root©localnost Toot®localho5t 'rootl ocal host rooWlocalhost rootl ocal host rooxlocalhost rootffilocalhostuserdel userdel userdel us er del userdel useful us er delUUCP operator games#注释掉#设置开机自动生7. 关闭重启c

11、tl-alt-delete 组合键rootcentos # vim /etc/init/control-alt-delete.conf#exec /sbin /shutdow n -r now "Con trol-Alt-Deletepressed"8. 调整文件描述符大小rootcentos # ulimit-n # 默认是 10241024rootce ntos # echo "ulimit -SHn 102400">> /etc/rc.local效9. 去除系统相关信息rootcentos # echo "Welcome to

12、 Server" >/etc/issuerootcentos # echo "Welcome to Server" >/etc/redhat-release10. 修改history 记录rootcentos # vim /etc/profile# 修改记录 10 个HISTSIZE=1011. 同步系统时间#设置rootcentos# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtimeShan ghai 时区硬件时间rootce ntos # cro ntab-e#设置任务计划每天零点同步一次0 *

13、* * * /usr/sb in/n tpdate cn. pool. ; hwclock -w12.内核参数优化rootce ntos # vim /etc/sysctl.c onf#末尾添加如下参数n et.ipv4.tcp_s yn cookies= 1#1是开启SYN Cookies,当出现SYN等待队列溢出时,启用 Cookies来处,理,可防范少量SYN攻击,默认是0关闭n et.ipv4.tcp_tw_reuse = 1用于新的TCP连接,默认是0关闭#1是开启重用,允许讲 TIME_AIT sockets 重新n et.ipv4.tcp_tw_recycle =

14、 1#TCP失败重传次数,默认是 15,减少次数可释放内核资源#应用程序可使用的端口范围= 5000#系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认1800001024n et.core .n etdev_max_backlog默认300为单位)4096#进入SYN宝的最大请求队列,默认是10240#允许送到队列的数据包最大设备队列,#liste n挂起请求的最大数量,默认128#发送缓存区大小的缺省值#接受套接字缓冲区大小的缺省值(以字节#最大接收缓冲区大小的最大值#发送缓冲区大小的最大值#SYN-ACK握手状态重试次数,默认 5#向外SYN握手重试次数,默认 4n et.ipv4.tcp_tw_recycle = 1#开启TCP连接中TIME WAIT sockets 的快速回收,默认是0关闭n et.ipv4.tcp_max_orpha ns = 3276800#系统中

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论