1.更改yum源：

```

2.關閉selinux

3.關閉防火墻

systemctl status firewalld.service? ?查看防火墻狀態(tài)

systemctl start firewalld.service? ? 開啟防火墻

systemctl stop firewalld.service? ? 關閉防火墻

4.精簡開機自啟動

5.添加普通用戶并用sudo授權管理

6.優(yōu)化SSH遠程連接

7.修改linux字符集

8.設置linux服務器時間同步

9.命令行的安全

10.鎖定關鍵系統(tǒng)文件

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab。

11.清除多余的系統(tǒng)賬號

12.為grub菜單加密

13.隱藏系統(tǒng)版本信息

14.禁止linux系統(tǒng)被ping

15.調整linux系統(tǒng)文件描述符數(shù)量

文件永久生效：

echo '*? ? ? ? ? ? ? -? ? ? nofile? ? ? ? ? 65535 ' >>/etc/security/limits.conf

臨時生效：

ulimit -SHn 65535

16.linux內核參數(shù)優(yōu)化

vim /etc/sysctl.conf添加如下內容：

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000? ? 65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000? #time-wait過多解決都弹。

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下參數(shù)是對iptables防火墻的優(yōu)化互广，防火墻不開會提示捡偏，可以忽略不理滞详。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

執(zhí)行sysctl -p生效

17.升級漏洞軟件及打補丁

yum install openssl openssh bash -y

yum update

yum install tree lrzsz dos2unix nc nmap -y

18.調整yum軟件下載源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

Linux基礎優(yōu)化與安全重點小結

1）不用root登錄管理系統(tǒng)术陶，而以普通用戶登錄通過sudo授權管理磕瓷。

2）更改默認的遠程連接SSH服務端口膘螟，禁止root用戶遠程連接笙僚，甚至要更改SSH服務只監(jiān)聽內網(wǎng)IP芳肌。

3）定時自動更新服務器的時間，使其和互聯(lián)網(wǎng)時間同步肋层。

4）配置yum更新源亿笤，從國內更新源下載安裝軟件包。

5）關閉SELinux及iptables（在工作場景中栋猖，如果有外部IP一般要打開iptables净薛，高并發(fā)高流量的服務器可能無法開啟）。

6）調整文件描述符的數(shù)量蒲拉，進程及文件的打開都會消耗文件描述符數(shù)量肃拜。

7）定時自動清理郵件臨時目錄垃圾文件，防止磁盤的inodes數(shù)被小文件占滿（注意Centos6和Centos5要清除的目錄不同）雌团。

8）精簡并保留必要的開機自啟動服務（如crond燃领、sshd、network锦援、rsyslog猛蔽、sysstat）。

9）Linux內核參數(shù)優(yōu)化/etc/sysctl.conf雨涛，執(zhí)行sysctl -p生效枢舶。

10）更改系統(tǒng)字符集為“zh_CN.UTF-8”懦胞，使其支持中文，防止出現(xiàn)亂碼問題凉泄。

11）鎖定關鍵系統(tǒng)文件如/etc/passwd躏尉、/etc/shadow、/etc/group后众、/etc/gshadow胀糜、/etc/inittab， 處理以上內容后把chattr蒂誉、lsattr改名為oldboy教藻，轉移走，這樣就安全多了右锨。

12）清空/etc/issue括堤、/etc/issue.net，去除系統(tǒng)及內核版本登錄前的屏幕顯示绍移。

13）清除多余的系統(tǒng)虛擬用戶賬號悄窃。

14）為grub引導菜單加密碼倚搬。

15）禁止主機被ping喳瓣。

16）打補丁并升級有已知漏洞的軟件。