系统相关：检查－优化

新系统优化

1.证书登陆 变更默认的ssh服务端口等配置

创建证书:ssh-keygen -t rsa
配置：mv id_rsa.pub authorized_keys
编辑：vi /etc/ssh/sshd_config

Protocol 2048
SyslogFacility AUTHPRIV
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
PasswordAuthentication no 　　　　　 #同值　UsePAM
ChallengeResponseAuthentication no #同值　UsePAM
UsePAM no 　　　　　　　　　　　　 　#同值上面两项
UseDNS no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes

2.操作历史时间配置

vi .bashrc
HISTFILESIZE=200
HISTSIZE=100
HISTTIMEFORMAT="%Y%m%d-%H%M%S: " #or HISTTIMEFORMAT="%Y%m%d %T "
export HISTTIMEFORMA

history -c 命令:清空history当前历史命令的记录
history -w 命令:立即更新history文件

3.文件系统优化

修改ulimit -n 参数:默认是1024---该配置项是每个进程可以打开的文件数.
1、vi /etc/profile #ulimit -n 65535 #source /etc/profile
2、修改/etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
调整内核参数 vi /etc/sysctl.conf #sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_wmem = 8192 4336600 873200
net.ipv4.tcp_rmem = 32768 4336600 873200
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 786432 1048576 1572864
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 300
net.ipv4.ip_local_port_range = 1024 65000
net.nf_conntrack_max = 655360 #默认65535 防火墙跟踪表

4.iptables配置

规则被清除
iptables -F
iptables -X
设置chain默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p tcp --dport 2048 -j ACCEPT 　　　　　　　　 　 　#与sshd配置的端口相同
-A INPUT -p icmp -j DROP　　　　　　　　　　　　　　　 　 　 #不允许ping　
-A INPUT -i lo -p all -j ACCEPT　　　　　　　　　　　　 　 #允许loopback
-A INPUT -s 192.168.0.3 -p tcp --dport 2048 -j ACCEPT　　　#控制源地址访问这台服务器的SSH

5.账号加固:禁用root,管理用户和用户组

/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow

*更改root名字

6.添加常用yum源 并升级到最新版本

CentOS 基础(常用)的源: http://dl.fedoraproject.org/pub/epel/epel-release-latest-5.noarch.rpm http://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
CentOS 升级内核的源 http://rpms.famillecollet.com/enterprise/remi-release-6.rpm http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

7.定时自动更新服务器时间 修改时区

ntpdate 1.pool.ntp.org
crontab -e
0 21 * * * ntpdate ntpdate 1.pool.ntp.org

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #命令tzselect
8.修改DNS信息

vi /etc/resolv.conf
nameserver 8.8.8.8
nameserver 114.114.114.114

9.ntsysv 关闭不常用服务

acpid, haldaemon, messagebus, klogd,network, syslogd 务必须开启！其他的分析如下：

1.NetworkManager,NetworkManagerDispatcher　自动切换网络连接的后台进程　开

2.acpid 新型电源管理标准 开

3.anacron 　同cron、at、和 batch。可关

4.apmd　传统的电源管理标准　可关

5.atd　　使用cron　可关

6.autofs　实现光盘、软盘、U盘等移动存储介质的自动加载　关

7.avahi-daemon, avahi-dnsconfd　　DNS 服务的局域网里发现基于 zeroconf 协议的设备和服务　关

8.bluetooth, hcid, hidd, sdpd, dund,pand　如果没有蓝牙设备或蓝牙相关的服务　关

9.capi　SDN 设备的用户有用　关

10.cpuspeed　监测系统空闲百分比，降低或加快CPU时钟速度和电压从而将能源消耗降为最小　开

11.crond　执行例行性命令的守护程序　开

12.cups　打印机配置　关

13.cups-lpd　不安装打印机，就不需要启　关

14.dc_client, dc_server　盘缓存（Distcache）用于分布式的会话缓存Apache 使用　SSL/TLS 服务器　可关

15.dhcdbd　保留默认的关闭状态

16.diskdump, netdump　除非你在诊断内核相关的问题，否则它们应该被关闭　关

17.dund　通过蓝牙拨号来连接网络。如果没有蓝牙设备，就关闭它　关

18.firstboot　Fedora 安装过程特有的　关

19.gpm　　提供了鼠标的支持。

20.hcid　管理所有可见的蓝牙设备　关

21.hidd　对输入设备（键盘，鼠标）提供支持　开

22.iptables　应该开启它

23.ip6tables　应该关闭它。

24.irda　实现红外无线数据传输的工业标准　关

25.irqbalance　多个系统处理器环境下的系统中断请求进行负载平衡的守护程序　开

26.kudzu　硬件自动检测程序　如果你不打算增加新硬件，那么就可以关闭这个启动服务　可关

27.mcstrans　如果你使用 SELinux 就开启它　可关

28.mdmonitor　监测 SoftwareRAID 或 LVM 的信息。与RAID设备相关的守护程序　开

29.mdmpd　　监测 Multi-Path设备　与RAID设备相关的守护程序　开

30.messagebus　它与 DBUS 交互　开

31.microcode_ctl

32.netdump　　应该被关闭。

33.netfs　　系统启动时自动挂载网络中的共享文件空间　比如：NFS，Samba 等等

34.netplugd　　netplugd是一个守护程序，可以监控一个或多个网络接口的状态　默认关闭状态

35.network　说明：在系统启动时激活所有的网络接口。开

36.nfs　网络文件系统。

37.nfslock　提供了NFS文件锁定功能

38.pcmcia　Pcmcia卡，支持笔记本电脑的PCMCIA 设备，如调制解调器, 网络适配器, SCSI卡等等　开

39.pcscd　提供智能卡（和嵌入在信用卡，识别卡里的小芯片一样大小）和智能卡读卡器支持　关

40.portmap　Portmap守护程序为RPC服务，该服务是 NFS（文件共享）和 NIS（验证）的补充。除非你使用 NFS 或 NIS 服务，否则关闭它

41.psacct　用来监控进程活动的工具，包括ac,lastcomm, accton 和sa。

42.random　快速的将系统的状态在随机的时间内存到镜象档案中，对于系统相当重要。因为在开机之后，系统会迅速的恢复到开机之前的状态。必须启动。

43.readahead_early、readahead_later　在启动系统期间，将启动系统所要用到的文件首先读取到内存中，然后在内存中进行执行，以加快系统的启动速度

44.restorecond　如果你使用 SELinux 的话强烈建议开启它

45.rpcgssd, rpcidmapd, rpcsvcgssd　用于 NFS v4。除非你需要或使用 NFS v4，否则关闭它。

46.rhnsd　Red Hat 网络服务

47.rsync　remote sync，远程数据备份工具。

48.saslauthd　使用SASL的认证守护程序。

49.sgi-fam　　实现实时数据镜像

50.smartd　监控你的硬盘是否出现故障　建议开启它，特别是服务器

51.syslog　记录所有的系统行为。

52.time　　从远程主机获取时间和日期，采用TCP协议

53.time-udp　从远程主机获取时间和日期，采用UDP协议。

54.vncserver　在本地系统上显示远程计算机整个"桌面"的轻量型协议

55.xfs　如果使用run-level为5的图形界面，那么就需要启动

56.xinetd　负责管理系统中不频繁使用的服务　必须启动。

57.yum　　动更新、安装和删除RPM软件包的管理程序

58.ksmd ksmtuned KSM默认是开着，无虚拟机，关

59.

10.设置字符集为英文(中文)

cat /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SUPPORTER="en_US.UTF-8:en_US:zh"
SYSFONT="latarcyrheb-sun16"

LANG="en_US.UTF-8"
SUPPORTED="zh_CN.GB18030:zh_CN:zh:en_US.UTF-8:en_US:en"
SYSFONT="latarcyrheb-sun16"
LC_ALL="en_US.UTF-8"
export LC_ALL

改登录用户的.bash_profile
export LANG=zh_CN.GB18030
export LANGUAGE=zh_CN.GB18030:zh_CN.GB2312:zh_CN

11.关闭多余控制台

vi /etc/init/start-ttys.conf ＃tty[1-3]

12.关闭ipv6

/etc/sysconfig/network

echo "alias net-pf-10 off" >> /etc/modprobe.d/ECS.conf
echo "alias ipv6 off" >> /etc/modprobe.d/ECS.conf
/sbin/chkconfig --level 35 ip6tables off

13 隐藏服务器系统信息

mv /etc/issue /etc/issuebak
mv /etc/issue.net /etc/issue.netbak

14、服务器禁止ping
vi /etc/rc.d/rc.local #在文件末尾增加下面这一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #参数0表示允许 1表示禁止