基于CentOS系统的VPS安全设置与优化
 |  |  |  |
| 【性价之王】 | 【线路之王】 | 【价格之王】 | 【配置之王】 |
| 【免费之王】 | 【香港首推】 | 【梯子之王】 | 【独服之王】 |
本文所有代码基于CentOS 6.4操作系统为例进行说明,于6.x版本应该都是适用的,其他版本的话主要是命令的路径不同,思路是一致的。本文也可以称为:CentOS操作系统全设置与优化。安装好CentOS系统后,建议不要急着去做这些安装设置和优化,因为过早操作,会在Web环境搭建(特别是用主机控制面板的)过程当中因为早过禁止某些权限和程序而造成问题。所以这些安全设置和优化,建议最后才来操作。
内容 1 第一步、账户安全管理 2 第二步、SSH安全配置 3 第三步、关闭系统中不需要的服务,删除不必要的软件包 4 第四步、防止攻击 5 第五步、系统配置及性能调优 6 相关文章第一步、账户安全管理
1. 修改密码长度
[root@localhost /]# vi /etc/login.defsPASS_MIN_LEN 182. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行,后面还要禁止Root帐号的操作。
[root@localhost /]# useradd ru[root@localhost /]# passwd ru上面的ru用你想创建的用户名替代
3. 禁用不必要的帐号
Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。 可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
[root@localhost /]# userdel adm[root@localhost /]# userdel lp[root@localhost /]# userdel sync[root@localhost /]# userdel shutdown[root@localhost /]# userdel halt[root@localhost /]# userdel news[root@localhost /]# userdel uucp[root@localhost /]# userdel operator[root@localhost /]# userdel games[root@localhost /]# userdel gopher[root@localhost /]# userdel ftp[root@localhost /]# groupdel adm[root@localhost /]# groupdel lp[root@localhost /]# groupdel news[root@localhost /]# groupdel uucp[root@localhost /]# groupdel games[root@localhost /]# groupdel dip[root@localhost /]# groupdel pppusers以上代码一条一条输入运行既可。
5. 禁止非授权用户获得权限
[root@localhost /]# chattr +i /etc/passwd[root@localhost /]# chattr +i /etc/shadow[root@localhost /]# chattr +i /etc/group[root@localhost /]# chattr +i /etc/gshadow这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。这也是为什么本人文章开始时建议大家搭建VPS时最后做这些优化了。
6. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件,将下面一行注释掉
ca::ctrlaltdel:/sbin/shutdown -t3 -r now或者
[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注释掉7. 设置/etc/profile
# 设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒[root@localhost /]# echo "TMOUT=3600" >>/etc/profile# 历史命令记录数量设置为10条[root@localhost /]# sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile[root@localhost /]# source /etc/profile8. 重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限
/etc/rc.d/init.d/ 目录下所有文件仅root账号可以读、写和执行其中的所有脚本文件:
[root@localhost /]# chmod -R 700 /etc/rc.d/init.d12 * * * ntpdate time.windows.com[root@localhost /]# service crond restart以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。
** 3. 去掉系统相关信息**
[root@localhost ~]# echo "Welcome to Server" >/etc/issue [root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release** 4. 同步系统时间**
[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #设置Shanghai时区 [root@localhost ~]# ntpdate cn.pool.ntp.org ;hwclock–w #同步时间并写入blos硬件时间 [root@localhost ~]# crontab –e #设置任务计划每天零点同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w** 5. 系统内核优化**
[root@localhost ~]# vi /etc/sysctl.conf #末尾添加如下参数 net.ipv4.tcp_syncookies = 1 #1是开启SYN Cookies,当出现SYN等待队列溢出时,启用Cookies来处,理,可防范少量SYN攻击,默认是0关闭 net.ipv4.tcp_tw_reuse = 1 #1是开启重用,允许讲TIME_AIT sockets重新用于新的TCP连接,默认是0关闭 net.ipv4.tcp_tw_recycle = 1 #TCP失败重传次数,默认是15,减少次数可释放内核资源 net.ipv4.ip_local_port_range = 4096 65000 #应用程序可使用的端口范围 net.ipv4.tcp_max_tw_buckets = 5000 #系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认180000 net.ipv4.tcp_max_syn_backlog = 4096 #进入SYN宝的最大请求队列,默认是1024 net.core.netdev_max_backlog = 10240 #允许送到队列的数据包最大设备队列,默认300 net.core.somaxconn = 2048 #listen挂起请求的最大数量,默认128 net.core.wmem_default = 8388608 #发送缓存区大小的缺省值 net.core.rmem_default = 8388608 #接受套接字缓冲区大小的缺省值(以字节为单位) net.core.rmem_max = 16777216 #最大接收缓冲区大小的最大值 net.core.wmem_max = 16777216 #发送缓冲区大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手状态重试次数,默认5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重试次数,默认4 net.ipv4.tcp_tw_recycle = 1 #开启TCP连接中TIME_WAIT sockets的快速回收,默认是0关闭 net.ipv4.tcp_max_orphans = 3276800 #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超出这个数字,孤儿连接将立即复位并打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力; net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段; net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket。内存单位是页,可根据物理内存大小进行调整,如果内存足够大的话,可适当往上调。上述内存单位是页,而不是字节。或者用以下参数进行优化
[root@localhost /]# cp /etc/sysctl.conf /etc/sysctl.conf.bak [root@localhost /]# vi /etc/sysctl.conf
net.ipv4.tcp_fin_timeout = 2net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_keepalive_time = 600net.ipv4.ip_local_port_range = 400065000net.ipv4.tcp_max_syn_backlog = 16384net.ipv4.tcp_max_tw_buckets = 36000net.ipv4.route.gc_timeout = 100net.ipv4.tcp_syn_retries = 1net.ipv4.tcp_synack_retries = 1net.ipv4.ip_conntrack_max = 25000000net.ipv4.netfilter.ip_conntrack_max=25000000net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120最后,使用 sysctl –p 命令让上述设置立即生效。最后都设置好后,记得禁止系统自动更新,同时自已建立一个系统镜像吧,到时需要时就恢复回去,不必要每装一次系统就重复设置一次。
[CentOS]历史优惠活动内容
猜你可能想看的VPS
- DogYun→圣何塞 CN2 GIA 线路经典云月付 15.6 元起 动全球[VPS测评]
- PuzCloud→38 元 月 1GB 内存 10GB 空间 500GB虚拟空间(主机)
- Hostkvm 圣何塞 CN2 上线 7 折优惠码 2G 套餐月付 6.全球[VPS测评]
- SKB Enterprise→€25 月 i3-8100 8G 内存 2全球[VPS测评]
- CN2 GIA $12.5 年 256M 内存 10G SSD 0.5T全球[VPS测评]
- 疯狂猜成语 图猜成语一个人在举重旁边一个人在搬东西周围是问号是什么成语?全球[VPS测评]
- 搬瓦工 香港 pccw 机器 39.99 刀的已经下架 目前 79.99香港VPS[主机]
- OneVPS - 日本新加坡机房 IP 可用保证日本VPS[主机]
- VPCKR→IPLC 端口转发 国内有上海 北京 广州入口 国外有韩国 韩国VPS[主机]
- DedeCMS 软件模型默认下载链接样式修改 DedeCMS 软件模型默全球[VPS测评]
- js 与 jquery 获取 span 标签中的内容全球[VPS测评]
- 优惠 $11.2 月 2 核 CPU 1G 内存 40G 硬盘 3Mbp香港VPS[主机]
- 闲话撸 10 京东卡全球[VPS测评]
- DedeCMS 友情链接去掉 li 标签 DedeCMS 怎么去掉友情链全球[VPS测评]
- 免费VPS是怎么从你身上捞钱的?全球[VPS测评]
- Alwyzon奥地利便宜vps,单核/1.5G内存/1Gbps,年付€1全球[VPS测评]
- Docker 实践 部分操作命令全球[VPS测评]
- DMIT 2023春节促销 日本CN2 50%优惠码日本VPS[主机]
- 长三角地区的算力需求规模到底有多大?全球[VPS测评]
- TabbyCloud:1核512MB内存/20GB/500GB流量/KV香港VPS[主机]
- HostHatch:1核/2GB/20GB空间/KVM/香港/洛杉矶/纽虚拟空间(主机)
- 阿里行癫:如何理解当下的云计算全球[VPS测评]
- 详细介绍vps云服务器及其作用全球[VPS测评]
- 六六云:1核/1GB/20GB硬盘/500GB流量/30Mbps/KVM香港VPS[主机]
- 桔子数据:1核1GB香港CN2 GIA vps促销28元/月,最高30M香港VPS[主机]
- 95idc怎么样?香港云主机1核2G2M仅50元/月;香港物理服务器8核香港VPS[主机]
- 宝塔面板如何升级OpenSSL(亲测可用)全球[VPS测评]
- 腾讯云vps主机:288元/3年,1核/2G/50gSSD,北京/上海/美国VPS[主机]
- 腾讯云美国硅谷服务器/香港/新加坡:1核1G(Linux)云服务器仅28美国VPS[主机]
- HKserver:香港GIA VPS,1核/512MB/10GB空间/1虚拟空间(主机)
转载请注明原文地址:http://140.238.13.167:12355/read-225959.html