0、安装系统基础依赖工具包
yum install net-tools gcc-c++ wget lrzsz vim ntpdate cronolog make psmisc
1、修改主机名
centos7有一个新的修改主机名的命令hostnamectl # hostnamectl set-hostname mysql_master # vim /etc/hosts --最后加上你的IP与主机名的绑定 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 172.16.10.201 mysql_master master
2、关闭iptables防火墙
# systemctl status firewalld.service --查看firewalld服务的状态,active是启动状态,inactive是关闭状态 # systemctl stop firewalld.service --关闭此服务 # systemctl list-unit-files |grep firewalld --查看firewalld是否开机自动启动 firewalld.service enabled # systemctl disable firewalld.service --类似以前的chkconfig xxx off # systemctl list-unit-files |grep firewalld firewalld.service disabled
3、关闭selinux
# sed -i 7s/enforcing/disabled/ /etc/selinux/config # 改完后,在后面重启系统生效 # setenforce 0 # 临时禁用SELINUX,无需重启
4、ulimit 打开最大文件限制
ulimit_config() {
echo "ulimit -SHn 102400" >> /etc/rc.local
cat >> /etc/security/limits.conf << EOF
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
EOF
}
5、修改用户进程限制
# sed -i 's/4096/65535/g' /etc/security/limits.d/20-nproc.conf # 默认值4096 # egrep -v "^$|^#" /etc/security/limits.d/20-nproc.conf * soft nproc 65535 root soft nproc unlimited
6、用户登录失败N次后锁定用户禁止登陆
针对linux上的用户,如果用户连续3次登录失败,就锁定该用户,几分钟后该用户再自动解锁。Linux有一个 pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。 # 限制用户远程登录 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入 正确的密码,还是可以登录的! # vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 各参数解释: even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒; 此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同, 具体使用方法,可以参照相关模块的使用规则。 # 限制用户从tty登录 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是 可以登录的! # vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 # 查看用户登录失败次数 # cd /etc/pam.d/ # pam_tally2 --user root Login Failures Latest failure From root 7 07/16/12 15:18:22 tty1 # 解锁指定用户 # pam_tally2 -r -u root Login Failures Latest failure From
7、时间同步
# cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime # crontab -e */1 * * * * /usr/sbin/ntpdate time1.aliyun.com > /dev/null 2>&1
8、ssh 配置
修改:#UseDNS yes为 UseDNS no # 关闭UseDNS加速SSH登录 修改:PermitRootLogin yes 为 PermitRootLogin no # 禁止root用户远程登录 修改:GSSAPIAuthentication yes 为 GSSAPIAuthentication no # 关闭GSSAPIAuthentication加速SSH登录
9、创建普通用户维护WEB应用
groupadd -g 2001 www useradd -u 2001 -g www www
10、命令补全
有些命令的参数可以自动补全,如果不能补全,则安装下面的命令(可能需要注销一下才能生效) # yum install bash-completion
11、内核优化
#关闭ipv6 net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 #决定检查过期多久邻居条目 net.ipv4.neigh.default.gc_stale_time=120 #使用arp_announce / arp_ignore解决ARP映射问题 net.ipv4.conf.default.arp_announce = 2 net.ipv4.conf.all.arp_announce=2 net.ipv4.conf.lo.arp_announce=2 # 避免放大攻击 net.ipv4.icmp_echo_ignore_broadcasts = 1 # 开启恶意icmp错误消息保护 net.ipv4.icmp_ignore_bogus_error_responses = 1 #关闭路由转发 net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 #开启反向路径过滤 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 #处理无源路由的包 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 #关闭sysrq功能 kernel.sysrq = 0 #core文件名中添加pid作为扩展名 kernel.core_uses_pid = 1 # 开启SYN洪水攻击保护 net.ipv4.tcp_syncookies = 1 #修改消息队列长度 kernel.msgmnb = 65536 kernel.msgmax = 65536 #设置最大内存共享段大小bytes kernel.shmmax = 68719476736 kernel.shmall = 4294967296 #timewait的数量,默认180000 net.ipv4.tcp_max_tw_buckets = 6000 net.ipv4.tcp_sack = 1 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_rmem = 4096 87380 4194304 net.ipv4.tcp_wmem = 4096 16384 4194304 net.core.wmem_default = 8388608 net.core.rmem_default = 8388608 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 #每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目 net.core.netdev_max_backlog = 262144 #限制仅仅是为了防止简单的DoS 攻击 net.ipv4.tcp_max_orphans = 3276800 #未收到客户端确认信息的连接请求的最大值 net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_timestamps = 0 #内核放弃建立连接之前发送SYNACK 包的数量 net.ipv4.tcp_synack_retries = 1 #内核放弃建立连接之前发送SYN 包的数量 net.ipv4.tcp_syn_retries = 1 #启用timewait 快速回收 net.ipv4.tcp_tw_recycle = 1 #开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时 net.ipv4.tcp_keepalive_time = 1800 net.ipv4.tcp_keepalive_probes = 3 net.ipv4.tcp_keepalive_intvl = 15 #允许系统打开的端口范围 net.ipv4.ip_local_port_range = 1024 65000 #修改防火墙表大小,默认:65536 防火墙关闭时,不需要配置此参数。 net.netfilter.nf_conntrack_max=655350 net.netfilter.nf_conntrack_tcp_timeout_established=1200 # 确保无人能修改路由表 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0