Linux 系統安全 及 lnmp 安裝
倫理片http://www.dotdy.com/
/dev/vda 8G
/dev/vdb 500G
/dev/vda 系統盤 掛載在 /
/dev/vdb 分四個邏輯盤
/dev/vdb1 400G 用作專案應用 掛載 /var/www
/dev/vdb2 60G 用作日誌記錄 掛載 /var/log
/dev/vdb3 20G 分系統使用的軟體其餘的工具 例如 一些測試網速的軟體就存放安裝到這裡 掛載 /opt
/dev/vdb4 20G /home 資料交換
Java程式碼
- ulimit -SHn 65535
-
echo "* soft nofile 65535">> /etc/security/limits.conf
- echo "* hard nofile 65535" >> /etc/security/limits.conf
/**********sshd key 登入*******************************************/
Java程式碼
- yum -y install sshd
- echo "ClientAliveInterval 60" >> /etc/ssh/sshd_config
-
echo "ClientAliveCountMax 60">> /etc/ssh/sshd_config
- echo "PasswordAuthentication no" >> /etc/ssh/sshd_config
- echo export TMOUT=1000000 >> /root/.bash_profile
- source /root/.bash_profile
- service sshd restart
- /usr/bin/ssh-keygen -t rsa XXXXXXX
- move XXXXXXX.pub /root/.ssh/authorized_keys
必須將 key 備份到本地 登入要用。
/************sshd 登入編碼格式 vim設定 時區設定 關閉selinux*************/
Java程式碼
- yum install fonts-chinese
- locale -a | grep -E 'zh|en_US'
vim /etc/sysconfig/i18n
Java程式碼
- LANG="zh_CN.gb18030"
- LANGUAGE="zh_CN.gb18030:zh_CN.gb2312:zh_CN.gbk:zh_CN.utf8:zh_CN"
- SUPPORTED="zh_CN.utf8:zh_CN:zh:en_US.utf8:en_US:en"
- SYSFONT="lat0-sun16"
- LANG="zh_CN.gb18030"
- LANG="en_US.utf8"
- source /etc/sysconfig/i18n
vim ~/.vimrc
Java程式碼
- set termencoding=gbk
- set encoding=utf-8
- set fileencodings=ucs-bom,utf-8,cp936
- set fileencoding=utf-8
vim /etc/profile
Java程式碼
- export LANG=zh_CN.utf8
- export LC_ALL=zh_CN.gb18030
###設定vi, vim的預設的tab、行號顯示引數
Java程式碼
- echo "set tabstop=4" >> /etc/virc
- echo "set tabstop=4" >> /etc/vimrc
- echo "set number" >> /etc/virc
- echo "set number" >> /etc/vimrc
- echo "alias vi=vim" >> ~/.bashrc
Java程式碼
- source ~/.bashrc
##設定正確的時區
Java程式碼
- cp /usr/share/zoneinfo/Asia/Chongqing /etc/localtime
- printf 'ZONE="Asia/Chongqing"\nUTC=false\nARC=false' > /etc/sysconfig/clock
- ###更新系統時間 每天凌晨6點更新系統時間
- ntpdate pool.ntp.org
- 06*** /sbin/ntpdate pool.ntp.org 2>&1 | /bin/logger
- 設定/etc/sysconfig/selinux檔案中
- SELINUX=disabled
/*******************************************防火牆***************/
vim /etc/sysconfig/iptables
Java程式碼
- # Firewall configuration written by system-config-firewall
- # Manual customization of this file is not recommended.
- *filter
- :INPUT ACCEPT [0:0]
- :FORWARD ACCEPT [0:0]
- :OUTPUT ACCEPT [0:0]
- #-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- #-A INPUT -p icmp -j ACCEPT
- #-A INPUT -i lo -j ACCEPT
- #-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
- #-A INPUT -j REJECT --reject-with icmp-host-prohibited
- #-A FORWARD -j REJECT --reject-with icmp-host-prohibited
- -N whitelist
- -A whitelist -s 36.36.68.0/24 -j ACCEPT
- -A whitelist -s 223.73.59.0/24 -j ACCEPT
- -A whitelist -s 119.130.86.0/24 -j ACCEPT
- -A whitelist -s 36.36.68.65 -j ACCEPT
- -A whitelist -s 223.73.59.101 -j ACCEPT
- -A whitelist -s 119.130.86.201 -j ACCEPT
- -A INPUT -i lo -j ACCEPT
- -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- -A INPUT -m state --state INVALID,NEW -j LOG
- -A INPUT -s 180.0.0.0/8 -j DROP
- -A INPUT -p tcp -m tcp --sport 54321 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 20 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 110 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 25 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 995 -j ACCEPT
- -A INPUT -p tcp -m tcp --sport 68 -j ACCEPT
- #iptables -A INPUT -p tcp -m tcp --sport 995 -j ACCEPT
- -A INPUT -p tcp -m tcp --dport 80 -m limit --limit 25/min --limit-burst 200 -j ACCEPT
- COMMIT
service iptables start
/*********************禁止root 建立普通使用者******************************/
useradd wyj2507
passwd wyj2507 (密碼 www.xiubt.com)
visudo (99行)
Java程式碼
- wyj2507 ALL=(ALL) ALL
/*********************禁止root 建立普通使用者********************/
/*******************************************修改HOSTS*******************/
vi /etc/hosts
27.0.0.1 localhost VM_41_93_centos
#使用DNS域名伺服器來解析名字
order bind hosts
#一臺主機是否存在多個IP
multi on
#如果用逆向解析找出與指定的地址匹配的主機名,對返回的地址進行解析以確認它確實與您查詢的地址相配.為了防止“騙取”IP地址
nospoof on
service network restart
/*****************精簡開機自啟動服務*************************************/
7個執行級別 0 系統停機模式 1 單使用者 2 多使用者模 3 完整多使用者
4 系統未使用 5 圖形化模式 6 重啟模式
init 0 1 2 3 4 5 6 設定執行級別
新系統只保留crond,network,syslog(rsyslog),sshd自啟動服務 後期加
檢視執行級別 runlevel
檢視開啟的服 chkconfig --list
#關閉全部服務
Java程式碼
- for sun in `chkconfig --list|grep 3:啟用 | awk '{print $1}'`;
- do
- chkconfig --level 3 $sun off
- done
#或者
Java程式碼
- for sun in `chkconfig --list|grep 3:啟用|awk '{print $1}'`;
- do
- chkconfig --level 3 $sun off
- done
#開啟需要的服務
Java程式碼
- for sun in crond rsyslog sshd network
- do
- chkconfig --level 3 $sun on
- done
#或者需要使用防火牆的話可以開啟iptables和ip6tables
Java程式碼
- for sun in crond rsyslog sshd network iptables ip6tables
- do
- chkconfig --level 3 $sun on
- done
/******************清理登陸的時候顯示的系統及核心版本等***********************/
#檢視登陸資訊
cat /etc/redhat-release
cat /etc/issue
#清理登陸資訊
echo >/etc/redhat-release
echo >/etc/issue
#關閉重啟ctl-alt-delete組合鍵
vi /etc/init/control-alt-delete.conf
#註釋掉
#exec /sbin/shutdown -r now "Control-Alt-Deletepressed"
#chattr類似chmod修改檔案/目錄屬性 級別高於chmod
#chattr命令不能保護/、/dev、/tmp、/var目錄。lsattr命令是顯示chattr命令設定的檔案屬性。
#鎖定關鍵檔案系統
Java程式碼
- chattr +i /etc/passwd
- chattr +i /etc/inittab
- chattr +i /etc/group
- chattr +i /etc/shadow
- chattr +i /etc/gshadow
#刪除不必要的系統使用者和群組
Java程式碼
- userdel adm
- userdel lp
- userdel sync
- userdel shutdown
- userdel halt
- userdel news
- userdel uucp
- userdel operator
- userdel games
- userdel gopher
- userdel ftp
#刪除不必要的群組
Java程式碼
- groupdel adm
- groupdel lp
- groupdel news
- groupdel uucp
- groupdel games
- groupdel dip
- groupdel pppusers
/******************************************清理登陸的時候顯示的系統及核心版本等********************************/
/*****************************核心引數優化*************************/
vi /etc/sysctl.conf 增加以下配置
Java程式碼
- net.ipv4.tcp_max_syn_backlog = 65536
- net.core.netdev_max_backlog = 32768
- net.core.somaxconn = 32768
- net.core.wmem_default = 8388608
- net.core.rmem_default = 8388608
- net.core.rmem_max = 16777216
- net.core.wmem_max = 16777216
- net.ipv4.tcp_timestamps = 0
- net.ipv4.tcp_synack_retries = 2
- net.ipv4.tcp_syn_retries = 2
- net.ipv4.tcp_mem = 94500000 915000000 927000000
- net.ipv4.tcp_max_orphans = 3276800
- net.ipv4.ip_local_port_range = 1024 65535
Java程式碼
- net.nf_conntrack_max = 25000000 # 如果使用預設引數,容易出現網路丟包 最大會話數
-
相關推薦
Linux 系統安全 及 lnmp 安裝
/*********************系統盤規劃*********************************/ 倫理片http://www.dotdy.com/ /dev/vda 8G /dev/vdb 500G /dev/vda 系統盤 掛載在 / /dev/vdb
Linux系統安全及應用
linux 賬號安全 nmap 弱口令檢測 楊書凡 作為一個開放源代碼的操作系統,Linux服務器以其安全、高效和穩定的顯著優勢而得以廣泛應用。下面主要從賬戶安全、系統引導、登錄控制的角度,優化Linux系統的安全性賬號安全控制 用戶賬號,是計算機使用者的身份憑證,每個訪問系
linux--系統啟動及安裝過程詳解
linux啟動先通過一張圖來簡單了解下整個系統啟動的流程,整個過程基本可以分為POST-->BIOS-->MBR(GRUB)-->Kernel-->Init-->Runlevel本文出自 “運維自動化” 博客,請務必保留此出處http://shower.blog.51cto.co
Linux系統中用腳本安裝虛擬機及其管理,快照及虛擬機重置
linux---腳本安裝 快照 想要快速安裝多臺虛擬機,可以對原有虛擬機硬盤文件做一個快照,使用快找安裝多個虛擬速度是相當快的,那麽接下來我將介紹如何創建快照以及編寫簡單的shell命令安裝虛擬機的方法。一、安裝虛擬機(1)用shell腳本安裝(2)得到一個虛擬機的全端管理及硬盤文件(3)創建虛擬機快
Linux系統發展及linux操作系統安裝
tex arc 系統安裝 log 作用 分時 多系統 dfa bios ** l
Linux 系統中 Docker 容器安裝及使用
技術分享 doc 輕量級 sudo ali 高性能 公有 新的 fig Docker 簡介 產生背景 項目的開發環境和部署環境不一致,部署環境配置難度大。集群技術的發展,集群的相同配置操作難度大。 基本理念 使用Go語言實現的雲開源項目,"一次編譯,處處運行",只需要一次配
linux系統elasticsearch、ELK 安裝、配置、排錯及示例
簡介 開始學習安裝elasticsearch時,出現過很多錯誤,導致無法進行安裝的操作。該文章是供自己安裝的總結及後面的小夥伴們能更好更快的解決問題。安裝中出現過問題會在下面描述。 一 、部署準備 檔案準備 elk-5.4.0.tar.gz 部署環境 C
Linux系統下Solr7.0安裝及設定中文分詞和拼音檢索
一、準備工作Jdk版本 1.8.0_151。Tomcat版本 apache-tomcat-8.0.50Solr版本 solr-7.0.0二、安裝solr1、安裝jdk不會的參考點選開啟連結tomcat安裝請自行百度2、安裝solr 2.1、首先將solr-7.0.0.tgz上
帶你領略Linux系統發展及版本更叠
裏程碑 簡體中文 電腦愛好者 計算機 奔騰處理器 Linux的出現是在1991年,Linus Torvalds的學生開發的,最初的Linux是類似Unix操作系統,可用於386,486或奔騰處理器的計算機上。Linus Torvalds是一個偉人,他讓Linux重獲“自由”,讓每個需要它的
查看linux系統最早的安裝時間
linux在安裝系統時,每個分區下都會有一個 lost+found,而且這個目錄的創建時間是和該分區創建的時間一樣的。所以如果想知道你的系統是什麽時候安裝的,只需要看這個目錄的創建時間即可。通常情況下,我們分區都會把 /boot 單獨分一個區,所以你只要查看 /boot/lost+found 這個目錄的創建時
給windows系統下的linux系統的虛擬機安裝jdk
ted pack span images 3.4 編輯 --nodeps 版本 png 安裝完linux系統後,一般都帶有默認jdk。現在默認是1.8版本的。需要卸載自帶的,然後安裝自己需要的。 1.查找需要卸載的OpenJDK: # rpm -qa | grep jav
linux必備安全及加密小工具
安全與加密 墨菲定律說如果有兩種或兩種以上的方式去做某件事情,而其中一種選擇方式將導致災難,則必定有人會做出這種選擇。所以也告誡我們做任何事都要確保它的正確性和安全性。接下來介紹幾種安全的linux小工具。Aide 數據庫監控配置文件:/etc/aide.confAide的數據庫存儲在/var/lib/a
linux系統的軟件安裝方法
安裝軟件 光標 visudo 下一步 一行 這一 添加 nbsp 使用 這是我自己初學的時候遇到的問題,希望能幫到大家。 要在Linux系統下安裝軟件,首先確定Linux磁盤中有沒有這個文件,也可以使用 yum install XXX 這個命令進行在線安裝。 運行這個
Windows遠程連接server(Linux系統)及可視化
命令行 enter lin -1 用戶 ssi arm mar 下載文件 方法1:命令行連接後使用server上安裝好的可視化編輯器IDE: Step 1: 工具準備:putty.exe;Xming-6-9-0-31-setup.exe;Xming-fonts-7-7-
Linux系統配置及服務管理_第01章系統部署 (第二小節初識shell)
*** 簡介 例子 特點 基本特性 上進 用戶編寫 ffffff shell編程 ***大家好,我是霸王卸甲,又到了今天更新文章的時間了,今天給大家帶來的是第一章中的第二小節 shell語言!!*** GNU bash簡介:Shell是系統的用戶界面,提供了用戶與內核進
linux系統安全標準規範
sys modify any grub加密 icmp server can fixed bit 首先確保所使用的linux系統中的所有軟件都已經安裝到最新版本。linux下的漏洞或者叫做不規範大致如下幾點:用戶登錄,openssl, CA證書,GRUB加密,SMB密碼永不過
Linux系統配置及服務管理_第03章用戶管理
ssi useradd log and 工作 其他 associate 系統 mem 大家好,我是霸王卸甲,昨天因為工作上的事情,忘記更了,今天上午補上昨天的文章,每周周六周日停更兩天。 1.用戶/組基本概念: ①概念:Users and groups:. Eve
Linux系統配置及服務管理_第04章權限管理
size 技術分享 權限設置 今天 tex ugo 服務 proc ado **大家好,很久沒更新博客了,最近實在是有點忙,以後的博客可能更新的時間不統一,請大家多多擔待,接下來開始今天的內容。 1.首先是基本權限UGO:簡介:文件權限設置: 可以賦於某個用戶或組 能夠以
系統安全及應用
需要 自動 uid 完整 切換 設置密碼 b- 掃描 開放 1、賬號安全系統賬號清理將非登錄用戶shell設為/sbin/nologin2、鎖定長期不使用的賬號3、刪除無用的賬號鎖定賬號文件passwd、shadow鎖定:chattr?+i?/etc/passwd?/etc
linux系統安全-弱口令檢測和端口掃描
弱口令檢測 端口掃描 john NMAP 一、linux系統安全概要二、詳細說明1)用戶方面清除一些不必要的系統用戶,可以減少黑客攻擊我們linux的入口;鎖定賬號適用於員工在一段時間不適用賬號的場景(usermod -L);而鎖定/etc下的passwd和shadow文件可以避免非法用戶建立