centos 服务器安全优化细则

1.    最小化安装系统，安装基本的软件包，

2.   #修改SSH安全配置

vi/etc/ssh/sshd_config

#SSH链接默认端口

port 10022

#禁止root账号登陆

PermitRootLoginno

#禁止空密码

PermitEmptyPasswordsno

#不使用DNS

UseDNSno  #局域网一般使用内部的DNS服务

3.关闭不需要的服务；

for sun in`chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $sunoff;done

开启需要的服务，crond、rsyslog、sshd、network

for sun in crondrsyslog sshd network;do chkconfig --level 3 $sun on;done

4.禁止ping

echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf

sysctl –p

5.vim /etc/init/control-alt-delete.conf

  注释exec /sbin/shutdown -r now"Control-Alt-Delete pressed"

6.同步时间

  echo '*/5 * * * * /usr/sbin/ntpdatetime.windows.com >/dev/null 2>&1' >>/var/spool/cron/root

7.磁盘分区

/boot 200M

swap 内存的1.5-2倍

/ 剩下的都给根

8.设置history只显示10行

 sed -i"s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile

   source/etc/profile

清空history

history –c

9. setenforce 0  临时生效

vim/etc/selinux/config   将selinux=disabled

10.高并发web服务器建议将iptables关闭

iptables –F

serviceiptables stop

chkconfigiptables off

11.使用rz命令

     yum -y install lrzsz

12.查看端口是否开启

   lsof –I :80

   netstat –antup | grep 80

13.、/etc/hosts

此文件相当于windows的hosts文件，本地dns解析优先级最高

14. vim /etc/sysconfig/network-scripts/ifcfg-eth0

此配置文件修改网卡的ip地址，onboot要设置yes，否则开机启动网卡不生效

15.修改dns

  vim /etc/resolv.conf