操作系统centos5,个人工作的一些经验总结吧,如果有不足还请各位补充.
主要针对web服务器.
硬件:raid0 系统挂载参数noatime async
1.关闭图形模式运行字符模式。
/etc/inittab
sed -i '/initdefault:$/s/5/3/' /etc/inittab
2.禁止root直接登录。
/etc/ssh/sshd_config
3.删除不必要的系统账户.
4.停止不必要的系统服务。
必须开启的服务
sshd,syslog,network,irqbalance
crond,cpuspeed
sshd,syslog,network,irqbalance
crond,cpuspeed
# crontd也可以关闭
# smartd用来检测硬盘,一般都是做raid或者有备份,还是关闭吧,
# 硬盘不支持也是白瞎
# cpuspeed 用来控制cpu频率,在空闲时降低频率和温度.建议开启吧,
# 不差这么一个服务,还是有好处的
####################
#!/bin/bash
for i in $(chkconfig --list|awk '{print $1}')
do
case $i in
smartd|sshd|syslog|network|irqbalance|crond|cpuspeed) echo $i
;;
*) chkconfig $i off
echo "Stopd services:$i"
;;
esac
done
for i in $(chkconfig --list|awk '{print $1}')
do
case $i in
smartd|sshd|syslog|network|irqbalance|crond|cpuspeed) echo $i
;;
*) chkconfig $i off
echo "Stopd services:$i"
;;
esac
done
####################
5.设置超时自动注销登录.
TMOUT
6.系统账户密码遵循密码复杂度要求,字母大小写数字及特殊字符8位以上.
7.减少或关闭历史命令.
HISTSIZE
HISTFILESIZE
8.减少系统提示信息降低系统安全隐患.
rm -rf /etc/issue*
9.增大进程打开文件描述符
echo '* nofile soft 51200' >>/etc/security/limits.conf
echo '* nofile hard 51200' >>/etc/security/limits.conf
10.设置系统时间校准.
11.修改缺省密码程度限制,设置8位以上.
12.修改sshd服务的默认端口为1024以上.
/etc/ssh/sshd_config
13.内核参数调整。
增大临时端口范围.
降低time_wait连接数,加快回收.
14.相应的web软件和网站根目录权限设置.
待续
