CentOS6.5安全系统加固及性能优化.doc
CentOS 6.5安全加固及性能优化通过修改CentOS 6.5 的系统默认设置,对系统进行安全加固,进行系统的性能优化。环境:系统硬件:vmware vsphere (CPU : 2*4 核,内存 2G)系统版本:Cen tos-6.5-x86_64(最小化安装)步骤:1.关闭 SELinuxrootce ntos # vim /etc/seli nux/config打开文件,修改并保存SELINUX=disabled # 禁止如果需要生效,需要设置为EnforcingSELINUX=E nforcing# 生效rootce ntos # gete nforce#查看selinux 状态2.清空防火墙并设置规则2.1清除及查看#清空前,先允许所有连接rootce ntos #/sbi n/iptables -P INPUT ACCEPTDROP该为INPUT,防止悲剧发生,没法远程连接#清空所有规则前把policy#清空规则rootce ntos #/sb in/iptables -F#清空所有规则rootce ntos #/sb in/iptables -X#清空所有规则rootce ntos #/etc/i ni t.d/iptables status# 查看防火墙信息22设置规则,根据需求开启相应端口rootce ntos # iptables -A INPUT -i lo -j ACCEPT# 允许来自于lo接口的数据包,如果没有此规则,你将不能通过 访问本地服务rootcentos# iptables -A INPUT -p tcp -dport 22 -j ACCEPT#TCP 22=远程登录协议端口rootce ntos # iptables -A INPUT -p tcp -dport 80 -j ACCEPT#TCP 80=超文本服务器(Http),Executor,RingZero端口ACCEPT#接受所有来自内网IP, 的TCP请求rootce ntos # iptables -A INPUT -p icmp -m icmp -icmp-type 8 -j ACCEPT#接受pi ng#确保正常和外部通信#其它规则,根据需求设定rootcentos#iptables-A INPUT-p tcp -dport53 -j ACCEPT#TCP53=DNS,B on k (DOS Exploit)端口rootcentos#iptables-A INPUT-p udp -dport53 -j ACCEPT#TCP53=DNS,B on k (DOS Exploit)端口rootce ntos # iptables -A INPUT -p udp -dport 123 -j ACCEPT #UDP 123=网络时间协议(NTP),Net Controller端口rootce ntos # iptables -A INPUT -p icmp -j ACCEPT#屏蔽rootce ntos # iptables -P INPUT DROP# 屏蔽上述规则以为的所有请求2.3保存设置rootSlocalhost _* cattc/iys<onftg/iptab1es# :4L 2013filter:input drop 0:0':FORWARD ACCEPT 匚0:0INPUT-PtcpIMPUT-PrepINPUT-PtepINPUT叩udpinput-PudpINPUT-Pi empACCEPT ACCEPT ACCEPTACCEPT j ACCEPT-A -A-m-m-m -m:OUTPUT ACCEPT 10'1176j-A-AMCOMMIT# Comp let ed on Sun Dec 15 10:17:41 2CHM2.4重启服务rootcentos # /etc/init.d/iptables restart2.5查看状态rootce ntos # /etc/ in it.d/iptables status3. 添加普通用户并进行sudo授权管理rootce ntos # useradd userrootcentos # vim /etc/sudoers#或visudo打开,添加user用户所有权限root ALL=(ALL) ALL user ALL=(ALL) ALL4. 禁用root远程登录rootce ntos # vim /etc/ssh/sshd_c onfigPermitRootLog innoPermitEmptyPasswords no #禁止空密码登录UseDNSno # 关闭DNS查询5. 关闭不必要开机自启动服务audltdD:offblk-vASlblHty cr«nd ipbtlb les1 vrw2-ffljn'itcx, nctfs n«t«K>rk postfix 滋回 U血4|W»o:off 0 : off 0 :off0:oFF 0:01 0:off0ff 1 I JDf f Oifrf f l;off :Xf.off off off off off onS器slcfonsscn4n4n4n54rl4nJj jBonfjsimonananss:" *911-ill- +" : S-t *+t4v» It 5455-55555556r>&666G6-_&£-root'3QCA I host ;rootiiocAirio5tjootlociilficr rootalocalhfisrLroor*J local teT: rrond ntwQrit postf1K 斜o o D-og g g g g g of f f f f f f JI i i kl t f f fl f f 磐篦T2密 £ c c c c f- c 矇hkhichk矇c c c c c c cf f f HUF f fflf*!»* 律0oa 00f of1 - t 2 dk V ul pw abilIfDn6.删除不必要的系统用户rootlocalhost J# awk -F root bindaemon admTp£'halt mailuucp operator games33 3cnsononf f f f f ofcfofofcf-1*/etc paswdynd nutdwnno vcsa saslauih postfix sshd nep ?root©localnost Toot®localho5t 'rootl ocal host rooWlocalhost rootl ocal host rooxlocalhost rootffilocalhostuserdel userdel userdel us er del userdel useful us er delUUCP operator games#注释掉#设置开机自动生7. 关闭重启ctl-alt-delete 组合键rootcentos # vim /etc/init/control-alt-delete.conf#exec /sbin /shutdow n -r now "Con trol-Alt-Deletepressed"8. 调整文件描述符大小rootcentos # ulimit-n # 默认是 10241024rootce ntos # echo "ulimit -SHn 102400">> /etc/rc.local效9. 去除系统相关信息rootcentos # echo "Welcome to Server" >/etc/issuerootcentos # echo "Welcome to Server" >/etc/redhat-release10. 修改history 记录rootcentos # vim /etc/profile# 修改记录 10 个HISTSIZE=1011. 同步系统时间#设置rootcentos# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtimeShan ghai 时区硬件时间rootce ntos # cro ntab-e#设置任务计划每天零点同步一次0 * * * * /usr/sb in/n tpdate cn. pool. ntp.org ; hwclock -w12.内核参数优化rootce ntos # vim /etc/sysctl.c onf#末尾添加如下参数n et.ipv4.tcp_s yn cookies= 1#1是开启SYN Cookies,当出现SYN等待队列溢出时,启用 Cookies来处,理,可防范少量SYN攻击,默认是0关闭n et.ipv4.tcp_tw_reuse = 1用于新的TCP连接,默认是0关闭#1是开启重用,允许讲 TIME_AIT sockets 重新n et.ipv4.tcp_tw_recycle = 1#TCP失败重传次数,默认是 15,减少次数可释放内核资源#应用程序可使用的端口范围= 5000#系统同时保持TIME_WAIT套接字的最大数量,如果超出这个数字,TIME_WATI套接字将立刻被清除并打印警告信息,默认1800001024n et.core .n etdev_max_backlog默认300为单位)4096#进入SYN宝的最大请求队列,默认是10240#允许送到队列的数据包最大设备队列,#liste n挂起请求的最大数量,默认128#发送缓存区大小的缺省值#接受套接字缓冲区大小的缺省值(以字节#最大接收缓冲区大小的最大值#发送缓冲区大小的最大值#SYN-ACK握手状态重试次数,默认 5#向外SYN握手重试次数,默认 4n et.ipv4.tcp_tw_recycle = 1#开启TCP连接中TIME WAIT sockets 的快速回收,默认是0关闭n et.ipv4.tcp_max_orpha ns = 3276800#系统中最多有多少个 TCP套接字不被关联到任何一个用户文件句柄上,如果超出这个数字,孤儿连接将立即复位并打印警告信息= 94500000 915000000 927000000低于此值,TCP没有内存压力;在此值下,进入内存压力阶段;高于此值,TCP拒绝分配socket。内存单位是页,可根据物理内存大小进行调整,如果内存足够大的话,可适当往上调。上述内存单位是页,而不是字节。至此CentOS 6.5_x64 最小化安装系统基本优化调整完毕,需要重启下系统。