安装Linux系统调优及安全设置方法

1.1 关闭SElinux功能
    sed -i \'/SELINUX/s/enforcing/disabled/\' /etc/selinux/config
    setenforce 0
1.2 设定运行级别为3(文本模式)
    /etc/inittab
    systemctl get-default multi-user.target
1.3 精简开机系统启动 sshd、rsyslog、network、crond、sysstat
    centos6：
    LANG=en
    chkconfig --list
    chkconfig --list | grep \"3:on\" | grep -E \"sshd|rsyslog|network|crond|sysstat\" | awk \'{print \"chkconfig \" $1 \" on\"}\'| bash
    chkconfig --list | grep \"3:on\" | grep -vE \"sshd|rsyslog|network|crond|sysstat\" | awk \'{print \"chkconfig \" $1 \" off\"}\'| bash
    centos7：

1.4 关闭iptables防火墙
    systemctl stop firewalld.service
    systemctl disable firewalld.service

     
1.5 更改SSH服务器远程登录的配置
    Port 52113
    UseDNS no
    PermitRootLogin yes
    PermitEmptyPasswords no
    GSSAPIAuthentication no
    
1.6 利用sudo控制用户对系统命令的使用权限
    visudo(/etc/sudoers)
    glk  All=(All)   NOPASSWD:All
    
1.7 Linux中文显示设置
     cat /etc/sysconfg/i18n
     echo \'LANG=\"zh_CN.UTF-8\" \' >  /etc/sysconfg/i18n

1.8 设置Linux服务器时间同步
    /usr/sbin/ntpdate ntp1.aliyun.com 
    echo \"*/5 * * * *   /usr/sbin/ntpdate ntp1.aliyun.com  &> /dev/null\"  >>  /var/spool/cron/root

1.9 历史记录数和登录超时环境变量设置 
    1.设置限制账号超时时间 export TMOUT=10
    2.设置Linux的命令行的历史记录数 export HISTSIZE=1000
    3.历史文件的命令数量变量    export HISTFILESIZE=1000
 
1.10 调整Linux系统文件描述符数量  
    查看 ulimit -n
    echo \"*   - nofile  65535\"  >> /etc/security/limits.conf
    
1.11 Linux服务器内核参数优化
    net.core.rmem_default = 262144
    net.core.rmem_max = 16777216
    net.core.wmem_default = 262144
    net.core.wmem_max = 16777216
    net.core.somaxconn = 262144
    net.core.netdev_max_backlog = 262144
    net.ipv4.tcp_max_orphans = 262144
    net.ipv4.tcp_max_syn_backlog = 262144
    net.ipv4.tcp_max_tw_buckets = 10000
    net.ipv4.ip_local_port_range = 1024 65500
    net.ipv4.tcp_tw_recycle = 1
    net.ipv4.tcp_tw_reuse = 1
    net.ipv4.tcp_syncookies = 1
    net.ipv4.tcp_synack_retries = 1
    net.ipv4.tcp_syn_retries = 1
    net.ipv4.tcp_fin_timeout = 30
    net.ipv4.tcp_keepalive_time = 1200
    net.ipv4.tcp_mem = 786432 1048576 1572864
  
1.12 定时清理邮件服务器临时目录垃圾文件
 centos6:
    find /var/spool/postfix/maildrop/ -type f | xargs rm -rf
 centos5:
    find /var/spool/postfix/clientmqueue/ -type f | xargs rm -rf

1.13 隐藏Linux版本信息
     > /etc/issue
     >  /etc/issue.net

1.14 锁定关键系统文件，防止被提权篡改
     上锁命令: chattr +i /etc/passwd  /etc/shadow /etc/group /etc/gshadow /etc/inittab
     解锁命令: chattr -i /etc/passwd  /etc/shadow /etc/group /etc/gshadow /etc/inittab

1.15 清楚多余的系统虚拟账号
     不必要的账号： bin adm lp halt  mail uucp operator games gopher ftp dbus vcsa abrt ntp saslauth postfix tcpdump

1.16 为grub菜单加密
      1./sbin/grub-md5-crypt生成MD5密码串
      2.把密码串放入grub.conf文件splashimage和title之间
        password --md5 $1$hoY96$dM9G1bjKLbi/GV8J9neOm1

1.17 禁止Linux系统被ping
    内核级禁ping:
       echo \"net.ipv4.icmp_echo_ignore_all = 1\"   > /etc/sysctl.conf
    解除内核级禁ping:
       删除/etc/sysctl.conf中的 \"net.ipv4.icmp_echo_ignore_all = 1\"，保存后执行以下命令：
           echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    防火墙级别禁ping:
        iptables -t filter -I INPUT -p icmp -icmp-type 8 -i eth0  -s 192.168.1.0/24 -j ACCEPT

1.18 升级具有典型漏洞的软件版本
    rpm -qa  openssl openssh bash
    yum -y install  openssl openssh bash