菜单

金沙娱乐Linux命令补充及基础优化。

2019年5月3日 - www6165com

三.一 恒久关闭

永远关闭 – 服务珍视启之后才会生效 可是办事中貌似不能够重启服务器
所以永恒关闭和暂时关门同时布置

先查看下音讯

[root@oldboyedu-50 ~]# cat /etc/selinux/config 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing -   默认selinux开启运行中     SELinux security policy is enforced.
# permissive -  selinux关闭 但不是彻底关闭 还会有警告信息    SELinux prints warnings instead of enforcing.
# disabled -    selinux彻底关闭          No SELinux policy is loaded.
SELINUX=enforcing
vim快捷键 
大写C 把光标到行尾的内容删除并进入编辑模式

将SELINUX=enforcing 改成 SELINUX=disabled  :wq退出
[root@oldboyedu-50 ~]# grep =disabled /etc/selinux/config  检查下内容
SELINUX=disabled

世代关闭selinux 服务珍视启之后才会收效 可是做事中一般无法重启服务器

为此永世关闭和一时半刻关闭同时安顿

一.柒 展现乱码消除

16)  锁定体贴系统文件,防止提权被歪曲(可选)

 要锁定注重系统文件,必须对账号密码及运营文件加锁,防止被曲解。上锁命令如下

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

提醒:上锁后,全数用户都无法对文件举行改变

解锁:chattr -i

一.在/etc/security/limits.conf文本里增加如下内容:

* soft nproc 65535   # 展开进程数  

* hard nproc 65535   # 张开进度数

操作方法:

1 echo "* soft nproc 65535"  >> /etc/security/limits.conf
2 echo "* hard nproc 65535"  >> /etc/security/limits.conf

在意:修改这里,普通用户 max  user
process值是不奏效的,必要修改/etc/security/limits.d/20-nproc.conf文件中的值。恐怕90-nproc.conf

如果运用*号让全局用户生效是受公事/etc/security/limits.d/20-nproc.conf中nproc值大小制裁的,而借使单独是对准有些用户,那么就不受该文件nproc值大小的熏陶。

2.壹 创设境况 

mkdir -p /oldboy/test
cd /oldboy
echo "oldboy">test/del.sh
echo "oldboy">test.sh
echo "oldboy">t.sh
touch oldboy.txt
touch alex.txt

1.5 关闭selinux

20)  进级具备至高无上漏洞的软件版本

步骤 
一)查占星关软件的版本号

[[email protected] ~]# rpm -qa openssl
openssl-1.0.1e-42.el6_7.4.x86_64

二)施行进级已知漏洞的软件版本到最新

 [[email protected] ~]# yum install openssl -y 
Loaded plugins: fastestmirror, security
Setting up Install Process
Determining fastest mirrors
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
base                                                      | 3.7 kB     00:00     
extras                                                    | 3.4 kB     00:00     
updates                                                 | 3.4 kB     00:00     
updates/primary_db                              | 5.2 MB     00:22     
Package openssl-1.0.1e-42.el6_7.4.x86_64 already installed and latest version
Nothing to do

 

 

 

CentOS系统的优化
优化在此以前,首先查看版本信息 # cat /etc/redhat- release CentOS release
6.7 (Final) # 系统版本消息# uname –r 2.6 . 32 – 573…

一三)  调解Linux系统描述符数量和最大进程数

伍.四 Linux修改粤语乱码排查

翻开Linux系统的字符集与长途连接工具的字符集不包容,然后按步骤修改

一.陆 关闭防火墙

四)    设置运维等级为3(文本格局)

1 设定运行级别(runlevel)为3(一般安装系统后默认为3)即表示使用文本命令模式管理linux
2 
3 grep 3:initdefault /etc/inittab      <-- 检查命令
4 runlevel                                      <--另一种简单方法
5 init 3                                           <--切换运行级别

 

五)    精简开机系统运行

1)系统开机必须求打开的服务

l        sshd

远程连接linux服务器时须要用到这么些服务程序,所以必须拉开

l        rsyslog

日志相关软件,

l        network

网络服务

l        crond

会周期的奉行系统和用户配置的天职安插。

l        sysstat

sysstat是2个软件包,包括检查测试系列质量及成效的1组织工作具.\

 

二)设置开启自运行服务的点子

手动关闭用setup

chkconfig --list|grep 3:on   <--查看开机自启动的项目

第一种快速处理方法:先全关闭,再开启需要保留的。

操作思路:先将3级别文本模式下默认开启的服务都关闭,然后开启需要开启的服务。

操作命令如下:

1 LANG=en
2 for root in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $root off;done 
3 for root in crond network rsyslog sshd sysstat ;do chkconfig --level 3 $root on;done
4 chkconfig --list|grep 3:on

第二种快速处理方法

1 for root in `chkconfig --list|grep "3:on"|awk '{print $1}'|grep -vE "crond|network|sshd|rsyslog|sysstat"`;do chkconfig $root off;done

第三种快速处理方法(逼格最高)

chkconfig --list|grep 3:on|grep -vE "crond|sshd|network|rsyslog|sysstat " |awk '{print "chkconfig " $1 " off"}'|bash

壹.1 创立新用户

涉及命令 useradd
[root@oldboyedu-50 ~]# useradd oldboy      #添加用户 oldboy

壹.3.二 突显你是哪个人?

[[email protected]
~]$ whoami

oldboy

1八)  为grub菜单加密码(可选)

为grup菜单加密码的目标是制止外人修改grup做基础等运转设置,以及用单用户方式运行破解root密码等做操作。也能够在装置系统经过中设定。 
流程: 
1)先用/sbin/grup-crypt发生一个MD5密码串 
2)修改grup.conf文件 
叁)重启生效

能够在设置进度中设定.

 金沙娱乐 1

金沙娱乐 2

1八)  为grub菜单加密码(可选)

为grup菜单加密码的目的是防守别人修改grup做基本等运转设置,以及用单用户方式运营破解root密码等做操作。也得以在装置系统经过中设定。 
流程: 
1)先用/sbin/grup-crypt爆发贰个MD5密码串 
2)修改grup.conf文件 
叁)重启生效

能够在设置进程中设定.

 金沙娱乐 3

金沙娱乐 4

一.二 设置密码

[root@oldboyedu-50 ~]# passwd oldboy        设置/更该密码
Changing password for user oldboy.
New password:                               密码设置为123456  系统提示太简单 再输一遍即可
BAD PASSWORD: it is too simplistic/systematic
BAD PASSWORD: is too simple
Retype new password:                        再输入一遍
passwd: all authentication tokens updated successfully.

1.贰.一 增加用户

[[email protected]
~]# useradd oldboy

CentOS优化,

 

20)  进级具备标准漏洞的软件版本

步骤 
一)查占星关软件的版本号

[root@rootedy ~]# rpm -qa openssl
openssl-1.0.1e-42.el6_7.4.x86_64

贰)实施升级已知漏洞的软件版本到最新

 [root@rootedy ~]# yum install openssl -y 
Loaded plugins: fastestmirror, security
Setting up Install Process
Determining fastest mirrors
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
base                                                      | 3.7 kB     00:00     
extras                                                    | 3.4 kB     00:00     
updates                                                 | 3.4 kB     00:00     
updates/primary_db                              | 5.2 MB     00:22     
Package openssl-1.0.1e-42.el6_7.4.x86_64 already installed and latest version
Nothing to do

 

 

 

二.4 替换全体的情节

[root@oldboyedu-50 oldboy]# find /oldboy/ -type f -name "*.sh" |xargs sed 's#oldboy#oldgirl#g'
####先不加 -i  先修改看看有没有错误  确认无误后  替换文件里的
oldgirl
oldgirl
oldgirl
[root@oldboyedu-50 oldboy]# find /oldboy/ -type f -name "*.sh" |xargs sed -i 's#oldboy#oldgirl#g'
####确认无误 加上 -i 替换文件里的内容
[root@oldboyedu-50 oldboy]# find /oldboy/ -type f -name "*.sh" |xargs cat
oldgirl
oldgirl
oldgirl                 替换成功

一.一.二 内核版本

[[email protected]
~]# uname -r

2.6.32-696.el6.x86_64

1四)linux服务器内核参数优化

优化的点子

 1 cat>>/etc/sysctl.conf<<EOF
 2 net.ipv4.tcp_fin_timeout = 2
 3 net.ipv4.tcp_tw_reuse = 1
 4 net.ipv4.tcp_tw_recycle = 1
 5 net.ipv4.tcp_syncookies = 1
 6 net.ipv4.tcp_keepalive_time = 600
 7 net.ipv4.ip_local_port_range = 4000    65000
 8 net.ipv4.tcp_max_syn_backlog = 16384
 9 net.ipv4.tcp_max_tw_buckets = 36000
10 net.ipv4.route.gc_timeout = 100
11 net.ipv4.tcp_syn_retries = 1
12 net.ipv4.tcp_synack_retries = 1
13 net.core.somaxconn = 16384
14 net.core.netdev_max_backlog = 16384
15 net.ipv4.tcp_max_orphans = 16384
16 net.nf_conntrack_max = 25000000
17 net.netfilter.nf_conntrack_max = 25000000
18 net.netfilter.nf_conntrack_tcp_timeout_established = 180
19 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
20 net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
21 net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
22 EOF

然后用sysctl –p使其收效

下一场vimdiff /etc/sysctl.conf /etc/sysctl.conf.ori     
改动的文件与拷贝的文件相比较

九)    改换SSH服务端远程登入的布局

windows服务器的默许远程管理端口是3389,管理员用户是administrator,普通用户guest。Linux管理用户是root,远程连接私下认可端口port2二。

1 [root@hostname ~]#cp /etc/ssh/sshd_config /etc/ssh/sshd_config.ori <--备份配置文件,简单写法cp /etc/ssh/sshd_config{,.ori}
2 [root@hostname ~]# vim /etc/ssh/sshd_config  
3 进入17行加入:  
4 ####by root#2011-11-24##  
5 rt 52113  
6 PermitRootLogin no  
7 PermitEmptyPasswords no  
8 UseDNS no  
9 GSSAPIAuthentication no 
10 ####by root#2011-11-24##
11 /etc/init.d/sshd reload     <--reload为平滑重启,不会影响正在SSH连接的其他用户,restart直接断开生效

然后就连不上了,因为端口改了。

然后改成会话选项里的SSH二里的端口还有用户名。就OK了

3.二 暂且关闭

[root@oldboyedu-50 ~]# getenforce  查看现在selinux是否在运行
Enforcing   表示在运行
[root@oldboyedu-50 ~]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
[root@oldboyedu-50 ~]# setenforce 0
[root@oldboyedu-50 ~]# getenforce            检查
Permissive  
###临时关闭没办法彻底关闭 没有disabled选项

操作前备份 操作后检查

一.叁 切换用户

CentOS系统的优化

   优化以前,首先查看版本音讯

# cat /etc/redhat-release  
CentOS release 6.7 (Final)                    # 系统版本信息
# uname –r
2.6.32-573.el6.x86_64                           # 内核版本信息
# uname -m
x86_64                                                  #表示为64位系统
# uname –a                                          # 显示全部信息
Linux hostname2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux                        

Linux基础优化与安全重点小结

 1  不用root登录管理系统,而以普通用户登录通过sudo授权管理
 2  更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至要更改SSH服务只监听内网IP
 3  定时自动更新服务器时间,使其和互联网同步
 4  配置yum更新源,从国内更新源下载安装软件包
 5  关闭SELinux及iptables
 6  定时自动清理邮件临时目录垃圾文件,防止磁盘inodes数被小文件占满
 7  调整文件描述符的数量,进程及文件的打开都会消耗文件描述符的数量
 8 精简并保留必要的开机启动服务
 9 Linux内核参数优化/etc/sysctl.config,执行sysetl –p生效
10 更改系统字符集, 为“zh_CN.UTF-8”,使其支持中文,防止出现乱码问题。
11 锁定关键文件,如: passwd、/etc/shadow/、/etc/group/、/etc/gshadow、/etc/inittab,处理以上内容后把chattr、lsattr、改名为root,转移走,这样就安全多了。
12 清空/etc/issue /etcissue.net,去除系统及内核版本登录前的屏幕显示
13 清除多余的系统虚拟用户账号
14 为grub引导菜单加密码
15 禁止主机被ping
16 打补丁并升级有已知漏洞的软件

 拓展

掌握Linux系统的7种运营等第

1 运行级别0:系统停机状态,系统默认运行级别不能设为0,否则不能正常启动
2 运行级别1:单用户工作状态,root权限,用于系统维护,禁止远程登陆
3 运行级别2:多用户状态(没有NFS)
4 运行级别3:完全的多用户状态(有NFS),登陆后进入控制台命令行模式
5 运行级别4:系统未使用,保留
6 运行级别5:X11控制台,登陆后进入图形GUI模式
7 运行级别6:系统正常关闭并重启,默认运行级别不能设为6,否则不能正常启动

 精晓Linux系统从开机到登入从前的起头流程。是由etc/inittab调控

金沙娱乐 5

三.类别总限制

其实下面的 max user processes  65535的值也只是表象,普通用户最大进程数不恐怕达到规定的标准65535 ,因为用户的max  user
processes的值,最后是受全局的kernel.pid_max的值限制。也正是说kernel.pid_max=十24 ,那么您用户的max user processes的值是1274二陆,用户能开采的最大进程数照旧拾2四。

查阅全局的pid_max方法:

方法一:

cat /proc/sys/kernel/pid_max

方法二:

# sysctl kernel.pid_max
kernel.pid_max = 32768

修改那一个值方法:

echo 65535 > /proc/sys/kernel/pid_max

所以上述都操作落成后,才总算不错修改了max user processes 的值

上边只是目前生效,重启机器后会失效

世代生效方法:

在/etc/sysctl.conf中添加kernel.pid_max = 65535

1 # vim /etc/sysctl.conf
2 kernel.pid_max = 65535
3 或者:
4 echo "kernel.pid_max = 65535" >> /etc/sysctl.conf

下一场重启机器。

 

2.2 使用find查找

先使用find查找文件
[root@oldboyedu-50 oldboy]# find /oldboy/ -type f -name "*.sh"     使用find查找以.sh结尾的文件
/oldboy/t.sh
/oldboy/test/del.sh
/oldboy/test.sh

一.7.壹 查看linux系统字符集

[[email protected]
~]# echo $LANG

en_US.UTF-8

六)    加多普通用户账号

linux/unix是3个多用户,多义务的操作系统

超级管理员(root):具有最高权力

普通用户

l     一条命令设置密码

echo '123456'|passwd --stdin root       <--root用户名,密码为123456

|    使用命令加多1个普通用户,命令如下: 

1 useradd  root                           <--添加用户
2 passwd  root                            <--设置用户密码

l    尝试切换用户角色,命令如下:

1 [[email protected] ~]# su – root                  <--由root管理员,切换到普通用户root
2 [[email protected] ~]$ whoami            <--查看当前用户
3 root                                 
4 [[email protected] ~]$ su -                   <--切到root用户
5 Password:

l        linux命令指示符由PS1境况变量

翻开情形变量:    echo $PS一  

系统描述符

先用ulimit –n查看有多少个描述符,规则是“软(soft)”或“硬(hard)”

对此高并发的专门的学业Linux服务器来讲,私下认可的设置值是不够的,要求调度

调动办法:

执行vim /etc/security/limits.conf再文件结尾加上如下一行(全局)
*               -       nofile          65535

照旧直接推行下面包车型客车一声令下

1 echo '*               -       nofile          65535 ' >>/etc/security/limits.conf
2 tail -4 /etc/security/limits.conf              <--查看文件最后4行
3 [root@rootedu tmp]# ulimit –n            <--查看是否生效
4 65535

总结:

1 临时生效  ulimit -SHn 65535
2 永久生效 echo '*               -       nofile          65535 ' >>/etc/security/limits.conf
3  或者:
4 cat /etc/security/limits.conf
5        *                               soft    nofile  65536
6        *                               hard    nofile  65536

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图