基于CentOS系统的VPS安全设置与优化
【性价之王】 | 【线路之王】 | 【价格之王】 | 【配置之王】 |
【免费之王】 | 【香港首推】 | 【梯子之王】 | 【独服之王】 |
本文所有代码基于CentOS 6.4操作系统为例进行说明,于6.x版本应该都是适用的,其他版本的话主要是命令的路径不同,思路是一致的。本文也可以称为:CentOS操作系统全设置与优化。安装好CentOS系统后,建议不要急着去做这些安装设置和优化,因为过早操作,会在Web环境搭建(特别是用主机控制面板的)过程当中因为早过禁止某些权限和程序而造成问题。所以这些安全设置和优化,建议最后才来操作。
内容 1 第一步、账户安全管理 2 第二步、SSH安全配置 3 第三步、关闭系统中不需要的服务,删除不必要的软件包 4 第四步、防止攻击 5 第五步、系统配置及性能调优 6 相关文章第一步、账户安全管理
1. 修改密码长度
[root@localhost /]# vi /etc/login.defsPASS_MIN_LEN 182. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行,后面还要禁止Root帐号的操作。
[root@localhost /]# useradd ru[root@localhost /]# passwd ru上面的ru
用你想创建的用户名替代
3. 禁用不必要的帐号
Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。 可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
[root@localhost /]# userdel adm[root@localhost /]# userdel lp[root@localhost /]# userdel sync[root@localhost /]# userdel shutdown[root@localhost /]# userdel halt[root@localhost /]# userdel news[root@localhost /]# userdel uucp[root@localhost /]# userdel operator[root@localhost /]# userdel games[root@localhost /]# userdel gopher[root@localhost /]# userdel ftp[root@localhost /]# groupdel adm[root@localhost /]# groupdel lp[root@localhost /]# groupdel news[root@localhost /]# groupdel uucp[root@localhost /]# groupdel games[root@localhost /]# groupdel dip[root@localhost /]# groupdel pppusers以上代码一条一条输入运行既可。
5. 禁止非授权用户获得权限
[root@localhost /]# chattr +i /etc/passwd[root@localhost /]# chattr +i /etc/shadow[root@localhost /]# chattr +i /etc/group[root@localhost /]# chattr +i /etc/gshadow这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。这也是为什么本人文章开始时建议大家搭建VPS时最后做这些优化了。
6. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件,将下面一行注释掉
ca::ctrlaltdel:/sbin/shutdown -t3 -r now或者
[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注释掉7. 设置/etc/profile
# 设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒[root@localhost /]# echo "TMOUT=3600" >>/etc/profile# 历史命令记录数量设置为10条[root@localhost /]# sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile[root@localhost /]# source /etc/profile8. 重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限
/etc/rc.d/init.d/ 目录下所有文件仅root账号可以读、写和执行其中的所有脚本文件:
[root@localhost /]# chmod -R 700 /etc/rc.d/init.d12 * * * ntpdate time.windows.com[root@localhost /]# service crond restart以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。
** 3. 去掉系统相关信息**
[root@localhost ~]# echo "Welcome to Server" >/etc/issue [root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release** 4. 同步系统时间**
[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #设置Shanghai时区 [root@localhost ~]# ntpdate cn.pool.ntp.org ;hwclock–w #同步时间并写入blos硬件时间 [root@localhost ~]# crontab –e #设置任务计划每天零点同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w** 5. 系统内核优化**
[root@localhost ~]# vi /etc/sysctl.conf #末尾添加如下参数 net.ipv4.tcp_syncookies = 1 #1是开启SYN Cookies,当出现SYN等待队列溢出时,启用Cookies来处,理,可防范少量SYN攻击,默认是0关闭 net.ipv4.tcp_tw_reuse = 1 #1是开启重用,允许讲TIME_AIT sockets重新用于新的TCP连接,默认是0关闭 net.ipv4.tcp_tw_recycle = 1 #TCP失败重传次数,默认是15,减少次数可释放内核资源 net.ipv4.ip_local_port_range = 4096 65000 #应用程序可使用的端口范围 net.ipv4.tcp_max_tw_buckets = 5000 #系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认180000 net.ipv4.tcp_max_syn_backlog = 4096 #进入SYN宝的最大请求队列,默认是1024 net.core.netdev_max_backlog = 10240 #允许送到队列的数据包最大设备队列,默认300 net.core.somaxconn = 2048 #listen挂起请求的最大数量,默认128 net.core.wmem_default = 8388608 #发送缓存区大小的缺省值 net.core.rmem_default = 8388608 #接受套接字缓冲区大小的缺省值(以字节为单位) net.core.rmem_max = 16777216 #最大接收缓冲区大小的最大值 net.core.wmem_max = 16777216 #发送缓冲区大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手状态重试次数,默认5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重试次数,默认4 net.ipv4.tcp_tw_recycle = 1 #开启TCP连接中TIME_WAIT sockets的快速回收,默认是0关闭 net.ipv4.tcp_max_orphans = 3276800 #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如果超出这个数字,孤儿连接将立即复位并打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力; net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段; net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket。内存单位是页,可根据物理内存大小进行调整,如果内存足够大的话,可适当往上调。上述内存单位是页,而不是字节。或者用以下参数进行优化
[root@localhost /]# cp /etc/sysctl.conf /etc/sysctl.conf.bak [root@localhost /]# vi /etc/sysctl.conf
net.ipv4.tcp_fin_timeout = 2net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_tw_recycle = 1net.ipv4.tcp_syncookies = 1net.ipv4.tcp_keepalive_time = 600net.ipv4.ip_local_port_range = 400065000net.ipv4.tcp_max_syn_backlog = 16384net.ipv4.tcp_max_tw_buckets = 36000net.ipv4.route.gc_timeout = 100net.ipv4.tcp_syn_retries = 1net.ipv4.tcp_synack_retries = 1net.ipv4.ip_conntrack_max = 25000000net.ipv4.netfilter.ip_conntrack_max=25000000net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120最后,使用 sysctl –p 命令让上述设置立即生效。最后都设置好后,记得禁止系统自动更新,同时自已建立一个系统镜像吧,到时需要时就恢复回去,不必要每装一次系统就重复设置一次。
[CentOS]历史优惠活动内容
猜你可能想看的VPS
- 疯狂猜成语 图猜成语一根绳子上穿着一串写着恶字的金牌子是什么成语?全球[VPS测评]
- word 文档回车后有点或者其他符号怎么办?全球[VPS测评]
- MySQL 判断字段是否为 Null全球[VPS测评]
- 便宜 VPS ¥128 年 512M 内存 20G SSD 512G 流全球[VPS测评]
- 2020 年 Vultr 最新优惠活动→新用户注册送 50 美元 做任务全球[VPS测评]
- TmhHost→洛杉矶 Cera 洛杉矶安畅(CN2 GIA)九折 月付全球[VPS测评]
- 国内看视频专用 死海网络→1 核 256M 5G SSD 100Mbps全球[VPS测评]
- [11.11]DogYun→11.1-11.11 每日限量 65 折 香日本VPS[主机]
- CombCloud→58 元 月 1GB 内存 20GB SSD 硬盘 香港VPS[主机]
- ReliableSite→纽约独服 i5-4570 16GB 内存 2T全球[VPS测评]
- [5.1]DediPath 全场 VPS 四折 洛杉矶 1Gbps 不限独立服务器[U]
- 大盘鸡 $45 年 756M 内存 150G 硬盘 0.6T 流量 1G全球[VPS测评]
- WordPress插件:WP User Avatar修改默认头像全球[VPS测评]
- 阿里云VS腾讯云大比拼,入云新手注意事项全球[VPS测评]
- 忘记WordPress后台密码怎么办?全球[VPS测评]
- 如何处理 WordPress 网站 404 报错页面?全球[VPS测评]
- 通过给WordPress文章添加3篇假的页码导航实现相关文章全球[VPS测评]
- WordPress网站引入腾讯vConsole调试面板方便手机端页面调试全球[VPS测评]
- puh-hosting 荷兰VPS 测评 -1.49欧月付 1核0.5g全球[VPS测评]
- BBR对比BBR2BBRPLUSBBR2CAKE锐速哪个效果好全球[VPS测评]
- 腾讯云香港轻量应用服务器 优惠活动最低月付仅24元香港VPS[主机]
- 再“掷”53亿元 宜家能否挽回中国消费者全球[VPS测评]
- 拼多多正筹建跨境电商平台:密集挖角SHEIN员工,零佣金招商入驻全球[VPS测评]
- 云服务器都是有哪些特点?全球[VPS测评]
- Centos7的firewall 防火墙如何设置端口转发?全球[VPS测评]
- GreenCloudVPS:5折、6折优惠,日本、新加坡、香港等KVM 日本VPS[主机]
- 印象云,香港安畅CN2VPS终身8折1核1G22元/月,美国CN2高防V美国VPS[主机]
- 常见的CN2,GIA,CIA 各个网络线路解释全球[VPS测评]
- tmhhost官网登录不上怎么办?日本软银/美国CN2 GIA/美国高防日本VPS[主机]
- UCloud海外云服务器促销:全场1折起,香港cn2vps最低年付150香港VPS[主机]
转载请注明原文地址:https://www.motoll.com/read-225422.html