位置: 编程技术 - 正文

CentOS系统常规初始化操作详解(centos 常用命令教程)

编辑:rootadmin

推荐整理分享CentOS系统常规初始化操作详解(centos 常用命令教程),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:centos 常用命令教程,centos的基本命令,centos oom,centos oom,centosgui,centos基本操作,centos 操作,centosgui,内容如对您有帮助,希望把文章链接给更多的朋友!

环境准备:

1)设置本地国际化语言为en_US.UTF-8

[root@c ~]# sed -i 's/^(LANG=).*$/1"en_US.UTF-8"/' /etc/sysconfig/in

[root@c ~]# cat /etc/sysconfig/in

LANG="en_US.UTF-8"

[root@c ~]# LANG=en_US.UTF-8

2)更新系统软件包

备份默认yum源:

find /etc/yum.repos.d -name '*.repo' -exec mv {} {}.bak ;

添加yum源:

redhat5或centos5:

wget -P /etc/yum.repos.d

redhat6或centos6

wget -P /etc/yum.repos.d

添加epel yum源:

redhat5.x bit:

rpm -ivh redhat5.x bit:

rpm -ivh redhat6.x bit:

rpm -ivh redhat6.x bit:

rpm -ivh

更新证书:

yum -y upgrade ca-certificates --disablerepo=epel

更新系统所有软件包:

yum clean allyum makecacheyum -y upgrade

下文以redhat5/centos5为例

一、服务最小化原则

关闭所有开机自启动服务,仅开启sshd、crond、network、iptables、syslog(redhat5)、rsyslog(redhat6),然后在此基础上按需添加需要开机启动的服务。

1)关闭所有开机自启动服务

[root@c ~]# for i in `chkconfig --list | awk '{if ($1~/^$/) {exit 0;} else {print $1}}'`; do chkconfig $i off; done

2)开启基础服务

[root@c ~]# for i in sshd network syslog crond iptables; do chkconfig $i on; done

3)查看开启的服务

[root@c ~]# chkconfig --list | grep '3:on'

crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off

iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off

network 0:off 1:off 2:on 3:on 4:on 5:on 6:off

sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off

二、用户登录限制

1)禁止使用root用户使用远程ssh

[root@c ~]# cd /etc/ssh

[root@c ssh]# cp sshd_config sshd_config~

[root@c ssh]# sed -i 's/#(PermitRootLogin )yes/1no/' sshd_config

[root@c ssh]# grep 'PermitRoot' /etc/ssh/sshd_config

PermitRootLogin no

2)禁用登录提示信息

[root@c ssh]# >/etc/motd

3)修改ssh的默认监听端口(tcp:)

#这里修改为tcp的端口

[root@c ssh]# sed -i 's/#(Port )//' sshd_config

[root@c ssh]# grep 'Port ' sshd_config

Port

4)只允许指定的ip可以ssh (可选)

方法1(使用tcpwrapper):

#只允许...0网段的ip使用ssh

echo "sshd:...0/...0" >> /etc/hosts.allow

CentOS系统常规初始化操作详解(centos 常用命令教程)

echo "sshd:ALL" >> /etc/hosts.deny

方法2(使用iptables):

#注意,远程操作时需留心,以免把自己也拒绝而导致无法远程连接。如只允许..1.0网段的所有ip进行ssh,其他所有ip都拒绝#先允许自己的ip,以防被后面的操作误伤

iptables -I INPUT -s .0.0.1 -p tcp --dport -j ACCEPT

#允许..1.0网段

iptables -I 2 INPUT -s ..1.0/ -p tcp --dport -j ACCEPT

#拒绝所有

iptables -I 3 INPUT -p tcp --dport -j DROP

#保存iptables的设置:

cp /etc/sysconfig/iptables /etc/sysconfig/iptables~

iptables-save > /etc/sysconfig/iptables

最后,重启sshd服务使上面配置生效(不用担心重启时已打开的远程终端连接会断开,重启只会对新开的终端生效)

[root@c ssh]# /etc/init.d/sshd restart

Stopping sshd: [ OK ]

Starting sshd: [ OK ]

三、用户及命令权限最小化

创建一个普通用户tom,将其加入sudo组,该用户作为系统管理员

groupadd sudo #创建sudo组

useradd -G sudo tom #创建tom用户,加入sudo组

passwd tom #设置tom用户的登陆密码

修改sudo配置文件,授权sudo组的用户可以以root身份执行所有命令(可以针对不同用户授予不同的命令执行权限,这里允许执行所有命令,生产环境中系统管理员应该按需为用户分配尽可能少的可执行命令,以实现权限最少化),用户执行的所有sudo操作都将记录在/var/log/sudo.log中,以便日后的安全事件排查。执行命令如下:

[root@cloud ~]# cat >> /etc/sudoers <<EOF

> %sudo ALL=(root) ALL

> Defaults logfile=/var/log/sudo.log

> EOF

[root@cloud ~]# visudo -c

[root@cloud ~]# echo "local2.debug /var/log/sudo.log" >> /etc/syslog.conf

[root@cloud ~]# /etc/init.d/syslog restart

注:"visudo -c"命令用于检查 /etc/sudoers 文件的语法正确性

四、内核安全参数设置

vim /etc/sysctl.conf #添加如下内容:

#关闭对ping包的响应(可选,一般不建议,因为不方便网络故障时的排查)

net.ipv4.icmp_echo_ignore_all = 1

#关闭对广播ping的响应

net.ipv4.icmp_echo_ignore_broadcasts = 1

#开启syncookie用于防范syn flood攻击,当出现syn等待队列溢出时(syn数量超过tcp_max_syn_backlog的设置值),启用cookie来处理,server在回复syn_ack前会先请求client回复一个序列号,该序列号中要求包含原先syn包中的信息,如果序列号不正确,则server端会忽略此syn连接。

net.ipv4.tcp_syncookies = 1

#设置sync_ack的最大重传次数,默认值为5,范围0-,重传5次的时间大约为s

net.ipv4.tcp_synack_retries = 3

# 设置当keepalive打开的情况下,keepalive消息的发送间隔,默认为2小时(由于目前网络攻击等因素,造成了利用这个进行的攻击很频繁,如果两边建立了连接,然后不发送任何数据或者rst/fin消息,那么持续的时间就是2小时,成就了空连接攻击,tcp_keepalive_time就是预防此情形的.)

net.ipv4.tcp_keepalive_time =

保存退出后,执行"sysctl -p"命令将以上设置加载到内核使其立刻生效

五、 内核性能相关参数设置(可选)

vim /etc/sysctl.conf #添加如下内容:

#设置syn等待队列的长度,对于内存大于M的机器,默认值是,在并发请求较大时,可以调大该值

net.ipv4.tcp_max_syn_backlog

#开启timewait重用。允许将time_wait socket重新用于新的tcp连接

net.ipv4.tcp_tw_reuse = 1

#开启tcp连接中time_wait socket的快速回收

net.ipv4.tcp_tw_recycle = 1

#TCP发送keepalive探测以确定该连接已经断开的次数,默认值为9

net.ipv4.tcp_keepalive_probes = 5

#指定探测消息发送的频率,该值乘以tcp_keepalive_probes就可以得到从开始探测到连接被删除所需的时间。默认值为,也就是没有活动的连接将在大约分钟以后将被丢弃。(对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,是个比较合适的值)

net.ipv4.tcp_keepalive_intvl =

#表示系统同时保持TIME_WAIT socket的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并输出警告信息。默认为,改为.对于squid服务器来说,此参数可以控制TIME_WAIT套接字的最大数量,避免squid服务器被大量的TIME_WAIT socket拖死。

net.ipv4.tcp_max_tw_buckets =

#表示向外连接的端口范围。默认值很小:~,改为~

net.ipv4.ip_local_port_range=

保存退出后,执行"sysctl -p"命令将以上设置加载到内核使其立刻生效

CentOS性能诊断工具命令集详解 #查看当前系统loaduptime#查看系统状态和每个进程的系统资源使用状况top#可视化显示CPU的使用状况htop#查看每个CPU的负载信息mpstat-PALL1#每隔1秒查看磁盘IO

CentOS6下发送消息命令的详解 1、wall'...'wall是给所有的用户发送消息,消息内容用''包含。2、writeuserNametty先用who命令查看在线的用户以及他们的tty,然后用write命令给他发消息,输入

centos中的/etc/sudoers文件中的权限设定方法讲解 我们看到/etc/sudoers文件中有这种设定:##Allowspeopleingroupwheeltorunallcommands#%wheelALL=(ALL)ALL##Samethingwithoutapassword#%wheelALL=(ALL)NOPASSWD:ALL其中的NOPASSWD:ALL是什么意

标签: centos 常用命令教程

本文链接地址:https://www.jiuchutong.com/biancheng/359128.html 转载请保留说明!

上一篇:CentOS7.1如何配置网卡?(centos7怎么配置ip地址和网络)

下一篇:CentOS性能诊断工具命令集详解(centos7查看性能监控)

  • 税金及附加二级明细
  • 积分抵现是什么意思
  • 企业利息收入需要交哪些税
  • 应付账款不需要函证
  • 进项税多久有效
  • 装修款需要开发票吗
  • 研发费用可以列支成本吗
  • 小规模开的专票能抵扣进项税吗
  • 工程款按进度付款开票分录
  • 企业递延所得税费用的计算公式
  • 计提坏账又收回
  • 自建厂房销售
  • 律师事务所计提准备金的标准
  • 大型设备间距应至少大于几米
  • 房租税费计入什么会计科目
  • 住宿发票的税率0
  • 个人终止投资经营
  • 增值税的税负率就是用应缴纳的增值税总额
  • 营业外收入用不用交企业所得税
  • 2018年个体工商户增值税起征点
  • 个税申报表在哪下载打印
  • 统一员工行为规范
  • 在产品的成本
  • 礼服租赁套餐
  • 分公司应收款转总公司会计分录?
  • 固定资产的确认条件有哪些
  • 苹果电脑重装系统无法连接服务器
  • 华为鸿蒙系统超级终端怎么用
  • win11 zen3
  • 从税法角度看,商誉计税基础
  • 暂估成本的会计处理
  • qtzgacer.exe - qtzgacer进程是什么文件 .作用是什么
  • php调用外部接口
  • win10多任务分屏怎么关闭
  • 用约当产量法怎么计算约当总产量
  • PHP:proc_close()的用法_命令行函数
  • 销售多余材料的收入会计分录
  • 工商注册经营部和公司的区别
  • 不列颠哥伦比亚大学排名
  • 接受捐赠会计准则
  • 雷尼尔国家公园攻略
  • 银行贷款用途能改吗
  • 税款差0.05是怎么处理
  • uniapp components
  • python制作chm
  • 自产赠送视同销售的成本怎么确定
  • python猜数字1到1000代码
  • 农产品免税收入怎么做账
  • 无形资产商标权摊销
  • mongo mysql区别
  • 发票说明格式
  • 无锡政府回购安置房
  • sqlserver并发怎么处理
  • 提的税与实际交的税区别
  • 管理费用有负数怎么结总账
  • 财务费用中的利息费用指什么
  • 新办企业必须经过什么核准登记
  • insert into tbl() select * from tb2中加入多个条件
  • ffplay播放视频命令
  • winxp系统怎么设置默认账户登入
  • win8系统可以装win7系统吗
  • winxp打开任务管理器的快捷键
  • centos6关闭图形界面
  • centos如何配置ip地址,网关和掩码
  • 微软官方解决升级问题
  • Win10年度更新正式发布:功能全面升级
  • linux userdel
  • echarts splitnumber
  • cocos2dx-3.x(二)、坐标系
  • Node.js中的全局变量有哪些
  • [置顶]游戏名:chivalry2
  • python爬虫403解决方案
  • 安卓环境搭建id怎么设置
  • 对activity的四种启动模式的理解
  • jquery的实现原理
  • jQuery ajax调用后台aspx后台文件的两种常见方法(不是ashx)
  • javascript面向对象编程指南 pdf
  • python 观察者
  • 政府无偿划拨土地涉及的税费
  • 国税发票如何查询真伪
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设