原创作品， 、作者信息和本声明。否则将追究法律责任。

查看系统环境

[root@dev ssh]# cat /etc/redhat-release CentOS release 6.7 (Final)

1.精简开机系统

保留5个必须：sshd|rsyslog|network|crond|sysstat

sshd

远程连接Linux服务器时需要用到这个服务器程序,所以必须要开启,否则将无法连接Linux服务器。

rsyslog

是操作系统提供的一种机制,系统的守护程序通常会使用rsyslog将各种信息记录系统日志文件中,Centos6以前服务器的名字为syslog

network

系统启动时,若想激活/关闭各个网络接口,则应(必须)考虑开启。

crond

该服务用于周期性地执行系统及用户配置的任务计划。有要周期性执行的任务，任要开启,此服务几乎是生产场景必须要用的一个软件。

sysstat

sysstat是一个软件包,包含检测系统性能及效率的一组工具,这些工具对于系统性能数据很有帮助,比如CPU使用率,硬盘和网络吞吐数据等,这些数据的分析,有利于判断系统运行是否正常,所以它是提高系统运行效率、安全运行服务器的助手。

sysstat软件包集成的主要工具为：

iostat工具提供CPU使用率及硬盘吞吐效率的数据；

mpstat工具提供与单个或多个处理器相关的数据；

sar工具负责收集、报告并存储系统活跃的信息；

其他不用开机自启动的处理方法：

1). setup-->SystemServices-->取消*表示关闭

2)netsysv-->取消*表示关闭

3)使用chkconfig进行关闭

chkconfig name off

使用for循环,配合awk清理不需要开机自启动服务

for i in `chkconfig --list | awk '{print $1}' | grep -Ev "sshd|network|rsyslog|sysstat|crond"`; do chkconfig $i off; donechkconfig --list |grep 3:on |awk '{print $1}'|grep -Ev "crond|network|rsyslog|sshd|sysstat" |sed -r 's/(.*)/chkconfig \1 off /g' |bash

2.Linux最小化安装

运维思想最小化原则

2.1、安装Linux系统最小化,即选包最小化,yum安装软件包也要最小化,无用的包不装。

2.2、操作命令最小化。例如：用rm -f text.txt 而不用rm -rf 

2.3、登录Linux用户最小化。平时没有需求不用root登录,用普通用户登录即可。

2.4、普通用户授权权限最小化,即只给必须的管理系统的命令。

2.5、Linux系统文件及目录的权限设置最小化,禁止随意创建、更改、删除。(理论上禁止)

3.SSH优化

配置文件

/etc/ssh/sshd_config服务端

/etc/ssh/ssh_config客户端

Port52113修改端口52113

UseDNS yes 修改为No会反向查询客户端主机名,进行验证,防止客户端欺骗

PermitRootlogin  no禁止root登录

GSSAPIAuthentication  yes 取消,打开NO解决Linux之间使用ssh连接慢的问题

PermitEmpasswordsno禁止使用空密码(默认为空)

ListenAddress192.168.1.x只运行服务器上的内网地址来进行远程连接,外网地址直接拒绝,可以用***做跳板进入局域网,通过这样来访问,更加的安全

配置文件修改

#####xuliangwei######Port 52113UseDNS noPermitRootlogin noGSSAPIAuthentication no######20150627######

可以使用sed来进行添加

[root@student ~]# sed -ir '12 iPort 52113\nUseDNS no\nPermitRootlogin no\nGSSAPIAuthentication no' /etc/ssh/sshd_config

4.其他优化请看

企业面试:Linux系统如何优化

Linux系统如何优化?

1.不用root管理,以普通用户的名义通过sudo授权管理。

2.更改默认的远程连接SSH服务端口,禁止root用户远程连接,甚至更改为只监听内网IP

3.

4.配置yum更新源,从国内更新源下载安装软件包。

5.关闭selinux及iptables(在工作场景中,如果有外部IP一般打开)

6.调整文件描述符的数量,进程及文件的打开都会消耗文件描述符。

7.定时自动清理邮件目录垃圾文件,防止inodes节点被沾满(注意centos5和centos6目录不同)

8.精简并保留必要的开机自启动服务(如crond、sshd、network、rsyslog、sysstat)

9.Linux内核参数优化/etc/sysctl.conf，执行sysctl -p 生效。

10.更改字符集,是其支持中文,但建议还是用英文字符集,防止出现乱码。

11.锁定关键系统文件如/etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

处理以上内容后把chattr、lsattr改名为xuliangwei,这样就安全多了。

12.清空/etc/issue、/etc/issue.net,去除系统及内核版本登录前的信息。

13.清楚多余的系统虚拟账号。

14.位grub菜单加密码。

15.禁止被PING

16.升级漏洞软件