【性价之王】	【线路之王】	【价格之王】	【配置之王】
【免费之王】	【香港首推】	【梯子之王】	【独服之王】

本文所有代码基于CentOS 6.4操作系统为例进行说明，于6.x版本应该都是适用的，其他版本的话主要是命令的路径不同，思路是一致的。本文也可以称为：CentOS操作系统全设置与优化。安装好CentOS系统后，建议不要急着去做这些安装设置和优化，因为过早操作，会在Web环境搭建（特别是用主机控制面板的）过程当中因为早过禁止某些权限和程序而造成问题。所以这些安全设置和优化，建议最后才来操作。

内容 1 第一步、账户安全管理 2 第二步、SSH安全配置 3 第三步、关闭系统中不需要的服务，删除不必要的软件包 4 第四步、防止攻击 5 第五步、系统配置及性能调优 6 相关文章

第一步、账户安全管理

1. 修改密码长度

[root@localhost /]# vi /etc/login.defsPASS_MIN_LEN 18

2. 创建一个普通用户账号并设置密码，这样所有的操作都使用该普通账号进行，后面还要禁止Root帐号的操作。

[root@localhost /]# useradd ru[root@localhost /]# passwd ru

上面的ru用你想创建的用户名替代

3. 禁用不必要的帐号

Linux默认提供了很多账号，账号越多，系统就越容易受到攻击，所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。 可以使用 vi /etc/passwd 查看系统账号，使用 vi /etc/group 查看系统的用户组。

[root@localhost /]# userdel adm[root@localhost /]# userdel lp[root@localhost /]# userdel sync[root@localhost /]# userdel shutdown[root@localhost /]# userdel halt[root@localhost /]# userdel news[root@localhost /]# userdel uucp[root@localhost /]# userdel operator[root@localhost /]# userdel games[root@localhost /]# userdel gopher[root@localhost /]# userdel ftp[root@localhost /]# groupdel adm[root@localhost /]# groupdel lp[root@localhost /]# groupdel news[root@localhost /]# groupdel uucp[root@localhost /]# groupdel games[root@localhost /]# groupdel dip[root@localhost /]# groupdel pppusers

以上代码一条一条输入运行既可。

5. 禁止非授权用户获得权限

[root@localhost /]# chattr +i /etc/passwd[root@localhost /]# chattr +i /etc/shadow[root@localhost /]# chattr +i /etc/group[root@localhost /]# chattr +i /etc/gshadow

这样操作之后也无法创建账号和修改密码，后面可以使用chattr -i命令恢复之后再进行操作。这也是为什么本人文章开始时建议大家搭建VPS时最后做这些优化了。

6. 禁止Ctrl+Alt+Delete重启命令

修改 /etc/inittab 文件，将下面一行注释掉

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

或者

[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注释掉

7. 设置/etc/profile

# 设置自动退出终端，防止非法关闭ssh客户端造成登录进程过多，可以设置大一些，单位为秒[root@localhost /]# echo "TMOUT=3600" >>/etc/profile# 历史命令记录数量设置为10条[root@localhost /]# sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile[root@localhost /]# source /etc/profile

8. 重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限

/etc/rc.d/init.d/ 目录下所有文件仅root账号可以读、写和执行其中的所有脚本文件：

[root@localhost /]# chmod -R 700 /etc/rc.d/init.d12 * * * ntpdate time.windows.com[root@localhost /]# service crond restart

以上操作是每隔12小时自动更新一次时间，可以通过 crontab -l 命令进行查看。

** 3. 去掉系统相关信息**

[root@localhost ~]# echo "Welcome to Server" >/etc/issue [root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release

** 4. 同步系统时间**

[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #设置Shanghai时区 [root@localhost ~]# ntpdate cn.pool.ntp.org ；hwclock–w #同步时间并写入blos硬件时间 [root@localhost ~]# crontab –e #设置任务计划每天零点同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w

** 5. 系统内核优化**

[root@localhost ~]# vi /etc/sysctl.conf #末尾添加如下参数 net.ipv4.tcp_syncookies = 1 #1是开启SYN Cookies，当出现SYN等待队列溢出时，启用Cookies来处，理，可防范少量SYN攻击，默认是0关闭 net.ipv4.tcp_tw_reuse = 1 #1是开启重用，允许讲TIME_AIT sockets重新用于新的TCP连接，默认是0关闭 net.ipv4.tcp_tw_recycle = 1 #TCP失败重传次数，默认是15，减少次数可释放内核资源 net.ipv4.ip_local_port_range = 4096 65000 #应用程序可使用的端口范围 net.ipv4.tcp_max_tw_buckets = 5000 #系统同时保持TIME_WAIT套接字的最大数量，如果超出这个数字，TIME_WATI套接字将立刻被清除并打印警告信息，默认180000 net.ipv4.tcp_max_syn_backlog = 4096 #进入SYN宝的最大请求队列，默认是1024 net.core.netdev_max_backlog = 10240 #允许送到队列的数据包最大设备队列，默认300 net.core.somaxconn = 2048 #listen挂起请求的最大数量，默认128 net.core.wmem_default = 8388608 #发送缓存区大小的缺省值 net.core.rmem_default = 8388608 #接受套接字缓冲区大小的缺省值（以字节为单位） net.core.rmem_max = 16777216 #最大接收缓冲区大小的最大值 net.core.wmem_max = 16777216 #发送缓冲区大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手状态重试次数，默认5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重试次数，默认4 net.ipv4.tcp_tw_recycle = 1 #开启TCP连接中TIME_WAIT sockets的快速回收，默认是0关闭 net.ipv4.tcp_max_orphans = 3276800 #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上，如果超出这个数字，孤儿连接将立即复位并打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低于此值，TCP没有内存压力； net.ipv4.tcp_mem[1]:在此值下，进入内存压力阶段； net.ipv4.tcp_mem[2]:高于此值，TCP拒绝分配socket。内存单位是页，可根据物理内存大小进行调整，如果内存足够大的话，可适当往上调。上述内存单位是页，而不是字节。

或者用以下参数进行优化

[root@localhost /]# cp /etc/sysctl.conf /etc/sysctl.conf.bak [root@localhost /]# vi /etc/sysctl.conf

net.ipv4.tcp_fin_timeout = 2net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_keepalive_time = 600net.ipv4.ip_local_port_range = 400065000net.ipv4.tcp_max_syn_backlog = 16384net.ipv4.tcp_max_tw_buckets = 36000net.ipv4.route.gc_timeout = 100net.ipv4.tcp_syn_retries = 1net.ipv4.tcp_synack_retries = 1net.ipv4.ip_conntrack_max = 25000000net.ipv4.netfilter.ip_conntrack_max=25000000net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120

最后，使用 sysctl –p 命令让上述设置立即生效。最后都设置好后，记得禁止系统自动更新，同时自已建立一个系统镜像吧，到时需要时就恢复回去，不必要每装一次系统就重复设置一次。

[CentOS]历史优惠活动内容

Linux CentOS,Debian用iptables屏蔽IP和删除IP

#Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程

搬瓦工Debian和Centos安装锐速教程

使用centos7系统的国外VPS制作google镜像

Centos7 yum安装Python3.6环境

CentOS 7环境下安装MySQL

CentOS7不换内核体验类似BBR的单边加速

CentOS7详细搭建CSGO服务器

#趣玩#华为手机安装CentOS7搭建博客过程

centos6安装transmission+flexget实现PT自动刷流量

CentOS系统安装Transmission和FlexGet全自动刷PT流量

Linux一键重装脚本，Centos、Debain、Ubuntu随意安装

CentOS更改yum源与更新系统

Centos7安装transmission

#建站教程#centos系统搭建Mastodon

Centos 7系统python2.6升级到2.7.11

Centos系统安装人人影视linux客户端，随时随地下载大量电影资源

Centos Debian Ubuntu如何改更DNS

CentOS7创建并启用RAMDISK（内存盘）

Linux CentOS,Debian用iptables屏蔽IP和删除IP

#Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程

搬瓦工Debian和Centos安装锐速教程

使用centos7系统的国外VPS制作google镜像

Centos7 yum安装Python3.6环境

CentOS 7环境下安装MySQL

CentOS7不换内核体验类似BBR的单边加速

CentOS7详细搭建CSGO服务器

#趣玩#华为手机安装CentOS7搭建博客过程

centos6安装transmission+flexget实现PT自动刷流量

CentOS系统安装Transmission和FlexGet全自动刷PT流量

Linux一键重装脚本，Centos、Debain、Ubuntu随意安装

CentOS更改yum源与更新系统

Centos7安装transmission

#建站教程#centos系统搭建Mastodon

Centos 7系统python2.6升级到2.7.11

Centos系统安装人人影视linux客户端，随时随地下载大量电影资源

Centos Debian Ubuntu如何改更DNS

CentOS7创建并启用RAMDISK（内存盘）

Linux CentOS,Debian用iptables屏蔽IP和删除IP

#Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程

搬瓦工Debian和Centos安装锐速教程

使用centos7系统的国外VPS制作google镜像

Centos7 yum安装Python3.6环境

CentOS 7环境下安装MySQL

CentOS7不换内核体验类似BBR的单边加速

CentOS7详细搭建CSGO服务器

#趣玩#华为手机安装CentOS7搭建博客过程

centos6安装transmission+flexget实现PT自动刷流量

CentOS系统安装Transmission和FlexGet全自动刷PT流量

Linux一键重装脚本，Centos、Debain、Ubuntu随意安装

Linux一键重装脚本，Centos、Debain、Ubuntu随意安装

Linux一键重装脚本，Centos、Debain、Ubuntu随意安装

在centos 6上安装Minecraft Server

在centos6上安装ownCloud

centminmod,centos系统下LNMP一键安装脚本

VPS新手教程-重启Linux系统(centos/debian/ubuntu)

给centos7修改默认SS 22端口增强安全性

CentOS 6安裝Xfce桌面、VNC、Firefox、Flashplayer

纯手工教程→centos6.x搭建LAMP环境

Centos搭建图形界面和VNC