[不花钱站长]:从免费域名开始[0元] Oracle永久免费VPS[0元] VPS环境搭建免费脚本[0元] 秒变大盘挂载免费网盘[0元] 小白免费采集器1天500W[0元] CF免费DNS+CDN服务[0元]
[零基础网赚]:撸本站免费源码[0元] 网站强引免费蜘蛛法[0元] 图片视频文件免费存储[0元] 外链轻松发布免费友链[0元] 入坑免费教程学习源代码[0元] 网上百种+赚钱联盟推荐[?元]

↑↑VPS推荐网 WWW.VPS.COM.IN 稳定 便宜 免备案↑↑


您现在的位置是:首页 > 全球[VPS测评] >  CentOS,Linux,VPS,WordPress,主机,国外永久免费VPS

基于CentOS系统的VPS安全设置与优化

全球[VPS测评]来源:VPS推荐网点击:947
【性价之王】【线路之王】【价格之王】【配置之王】
【免费之王】【香港首推】【梯子之王】【独服之王】
基于CentOS系统的VPS安全设置与优化

本文所有代码基于CentOS 6.4操作系统为例进行说明,于6.x版本应该都是适用的,其他版本的话主要是命令的路径不同,思路是一致的。本文也可以称为:CentOS操作系统全设置与优化。安装好CentOS系统后,建议不要急着去做这些安装设置和优化,因为过早操作,会在Web环境搭建(特别是用主机控制面板的)过程当中因为早过禁止某些权限和程序而造成问题。所以这些安全设置和优化,建议最后才来操作。

内容 1 第一步、账户安全管理 2 第二步、SSH安全配置 3 第三步、关闭系统中不需要的服务,删除不必要的软件包 4 第四步、防止攻击 5 第五步、系统配置及性能调优 6 相关文章

第一步、账户安全管理

1. 修改密码长度

[root@localhost /]# vi /etc/login.defsPASS_MIN_LEN 18

2. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行,后面还要禁止Root帐号的操作。

[root@localhost /]# useradd ru[root@localhost /]# passwd ru

上面的ru用你想创建的用户名替代

3. 禁用不必要的帐号

Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。 可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。

[root@localhost /]# userdel adm[root@localhost /]# userdel lp[root@localhost /]# userdel sync[root@localhost /]# userdel shutdown[root@localhost /]# userdel halt[root@localhost /]# userdel news[root@localhost /]# userdel uucp[root@localhost /]# userdel operator[root@localhost /]# userdel games[root@localhost /]# userdel gopher[root@localhost /]# userdel ftp[root@localhost /]# groupdel adm[root@localhost /]# groupdel lp[root@localhost /]# groupdel news[root@localhost /]# groupdel uucp[root@localhost /]# groupdel games[root@localhost /]# groupdel dip[root@localhost /]# groupdel pppusers

以上代码一条一条输入运行既可。

5. 禁止非授权用户获得权限

[root@localhost /]# chattr +i /etc/passwd[root@localhost /]# chattr +i /etc/shadow[root@localhost /]# chattr +i /etc/group[root@localhost /]# chattr +i /etc/gshadow

这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。这也是为什么本人文章开始时建议大家搭建VPS时最后做这些优化了。

6. 禁止Ctrl+Alt+Delete重启命令

修改 /etc/inittab 文件,将下面一行注释掉

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

或者

[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注释掉

7. 设置/etc/profile

# 设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒[root@localhost /]# echo "TMOUT=3600" >>/etc/profile# 历史命令记录数量设置为10条[root@localhost /]# sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile[root@localhost /]# source /etc/profile

8. 重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限

/etc/rc.d/init.d/ 目录下所有文件仅root账号可以读、写和执行其中的所有脚本文件:

[root@localhost /]# chmod -R 700 /etc/rc.d/init.d12 * * * ntpdate time.windows.com[root@localhost /]# service crond restart

以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。

** 3. 去掉系统相关信息**

[root@localhost ~]# echo "Welcome to Server" >/etc/issue [root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release

** 4. 同步系统时间**

[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #设置Shanghai时区 [root@localhost ~]# ntpdate cn.pool.ntp.org ;hwclock–w #同步时间并写入blos硬件时间 [root@localhost ~]# crontab –e #设置任务计划每天零点同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w

** 5. 系统内核优化**

[root@localhost ~]# vi /etc/sysctl.conf #末尾添加如下参数 net.ipv4.tcp_syncookies = 1 #1是开启SYN Cookies,当出现SYN等待队列溢出时,启用Cookies来处,理,可防范少量SYN攻击,默认是0关闭 net.ipv4.tcp_tw_reuse = 1 #1是开启重用,允许讲TIME_AIT sockets重新用于新的TCP连接,默认是0关闭 net.ipv4.tcp_tw_recycle = 1 #TCP失败重传次数,默认是15,减少次数可释放内核资源 net.ipv4.ip_local_port_range = 4096 65000 #应用程序可使用的端口范围 net.ipv4.tcp_max_tw_buckets = 5000 #系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认180000 net.ipv4.tcp_max_syn_backlog = 4096 #进入SYN宝的最大请求队列,默认是1024 net.core.netdev_max_backlog = 10240 #允许送到队列的数据包最大设备队列,默认300 net.core.somaxconn = 2048 #listen挂起请求的最大数量,默认128 net.core.wmem_default = 8388608 #发送缓存区大小的缺省值 net.core.rmem_default = 8388608 #接受套接字缓冲区大小的缺省值(以字节为单位) net.core.rmem_max = 16777216 #最大接收缓冲区大小的最大值 net.core.wmem_max = 16777216 #发送缓冲区大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手状态重试次数,默认5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重试次数,默认4 net.ipv4.tcp_tw_recycle = 1 #开启TCP连接中TIME_WAIT sockets的快速回收,默认是0关闭 net.ipv4.tcp_max_orphans = 3276800 #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超出这个数字,孤儿连接将立即复位并打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力; net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段; net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket。内存单位是页,可根据物理内存大小进行调整,如果内存足够大的话,可适当往上调。上述内存单位是页,而不是字节。

或者用以下参数进行优化

[root@localhost /]# cp /etc/sysctl.conf /etc/sysctl.conf.bak [root@localhost /]# vi /etc/sysctl.conf

net.ipv4.tcp_fin_timeout = 2net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_keepalive_time = 600net.ipv4.ip_local_port_range = 400065000net.ipv4.tcp_max_syn_backlog = 16384net.ipv4.tcp_max_tw_buckets = 36000net.ipv4.route.gc_timeout = 100net.ipv4.tcp_syn_retries = 1net.ipv4.tcp_synack_retries = 1net.ipv4.ip_conntrack_max = 25000000net.ipv4.netfilter.ip_conntrack_max=25000000net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120

最后,使用 sysctl –p 命令让上述设置立即生效。最后都设置好后,记得禁止系统自动更新,同时自已建立一个系统镜像吧,到时需要时就恢复回去,不必要每装一次系统就重复设置一次。


[CentOS]历史优惠活动内容
  • Linux CentOS,Debian用iptables屏蔽IP和删除IP
  • #Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程
  • 搬瓦工Debian和Centos安装锐速教程
  • 使用centos7系统的国外VPS制作google镜像
  • Centos7 yum安装Python3.6环境
  • CentOS 7环境下安装MySQL
  • CentOS7不换内核体验类似BBR的单边加速
  • CentOS7详细搭建CSGO服务器
  • #趣玩#华为手机安装CentOS7搭建博客过程
  • centos6安装transmission+flexget实现PT自动刷流量
  • CentOS系统安装Transmission和FlexGet全自动刷PT流量
  • Linux一键重装脚本,Centos、Debain、Ubuntu随意安装
  • CentOS更改yum源与更新系统
  • Centos7安装transmission
  • #建站教程#centos系统搭建Mastodon
  • Centos 7系统python2.6升级到2.7.11
  • Centos系统安装人人影视linux客户端,随时随地下载大量电影资源
  • Centos Debian Ubuntu如何改更DNS
  • CentOS7创建并启用RAMDISK(内存盘)
  • Linux CentOS,Debian用iptables屏蔽IP和删除IP
  • #Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程
  • 搬瓦工Debian和Centos安装锐速教程
  • 使用centos7系统的国外VPS制作google镜像
  • Centos7 yum安装Python3.6环境
  • CentOS 7环境下安装MySQL
  • CentOS7不换内核体验类似BBR的单边加速
  • CentOS7详细搭建CSGO服务器
  • #趣玩#华为手机安装CentOS7搭建博客过程
  • centos6安装transmission+flexget实现PT自动刷流量
  • CentOS系统安装Transmission和FlexGet全自动刷PT流量
  • Linux一键重装脚本,Centos、Debain、Ubuntu随意安装
  • CentOS更改yum源与更新系统
  • Centos7安装transmission
  • #建站教程#centos系统搭建Mastodon
  • Centos 7系统python2.6升级到2.7.11
  • Centos系统安装人人影视linux客户端,随时随地下载大量电影资源
  • Centos Debian Ubuntu如何改更DNS
  • CentOS7创建并启用RAMDISK(内存盘)
  • Linux CentOS,Debian用iptables屏蔽IP和删除IP
  • #Vultr#Debian 8及Centos7系统VPS安装破解版锐速图文教程
  • 搬瓦工Debian和Centos安装锐速教程
  • 使用centos7系统的国外VPS制作google镜像
  • Centos7 yum安装Python3.6环境
  • CentOS 7环境下安装MySQL
  • CentOS7不换内核体验类似BBR的单边加速
  • CentOS7详细搭建CSGO服务器
  • #趣玩#华为手机安装CentOS7搭建博客过程
  • centos6安装transmission+flexget实现PT自动刷流量
  • CentOS系统安装Transmission和FlexGet全自动刷PT流量
  • Linux一键重装脚本,Centos、Debain、Ubuntu随意安装
  • Linux一键重装脚本,Centos、Debain、Ubuntu随意安装
  • Linux一键重装脚本,Centos、Debain、Ubuntu随意安装
  • 在centos 6上安装Minecraft Server
  • 在centos6上安装ownCloud
  • centminmod,centos系统下LNMP一键安装脚本
  • VPS新手教程-重启Linux系统(centos/debian/ubuntu)
  • 给centos7修改默认SS 22端口增强安全性
  • CentOS 6安裝Xfce桌面、VNC、Firefox、Flashplayer
  • 纯手工教程→centos6.x搭建LAMP环境
  • Centos搭建图形界面和VNC

    • 猜你可能想看的VPS


    转载请注明原文地址:http://140.238.13.167:12355/read-224123.html

    下一篇       上一篇