linux操作规范

1.1安装流程
1.1.1 系统如无特殊要求一律采用小化安装方式进行安装。

1.1.2 安装过程开始之前需要根据实际情况进行CPU数量、磁盘容量、内存分配、文件系统、目录结构、磁盘分区规划、磁盘管理方案进行分析与设计，并按照方案进行系统的安装。

1.1.3 安装过程中，需要按照实际情况设置恰当的主机名、语言、字符集、键盘布局、网络参数。

1.2系统安全设置及优化设置
1.2.1 创建标准账号，授予sudo权限，指定特定账户可以su到root账户。禁止root用户通过ssh远程登录，使用安全性较高的ssh2协议进行登录，卸载telnet（如果已安装）。

禁止root的登录：找到/etc/ssh/sshd_config文件后修改其中的#PermitRootLogin yes为PermitRootLogin no

更改端口号:找到/etc/ssh/sshd_config文件后修改其中的#Port 22 为 Port 22022

仅使用SSH协议2:找到/etc/ssh/sshd_config文件后修改其中的#Protocol 2 为 Protocol 2

允许特定的组用户su切换到root: 将帐号加入wheel组usermod -G wheel youaccount 然后找到/etc/pam.d/su文件其中#auth            required        pam_wheel.so use_uid 去掉#注释，

找到/etc/login.defs文件在最末加上SU_WHEEL_ONLY yes

1.2.2 启用密码策略。

一、密码复杂度要求：

在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值
    修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 选3种，追加到password requisite pam_cracklib.so后面，添加到配置文件中。
    例如：password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1
    注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数

二、密码过期和长度要求

修改/etc/login.def

PASS_MAX_DAYS 90   //最大口令使用日期
       PASS_MIN_DAYS 10   //最小口令使用日期
       PASS_MIN_LEN 8    //最小口令长度
       PASS_WARN_AGE 5   //口令过期前警告天数

1.2.3 在应用部署之前需要按要求建好管理账户，做好应用目录的规划与权限设计，使用指定用户启动指定应用。

一、删除空账号

awk -F: '($2 == "") { print   $1 }' /etc/shadow 检查空口令帐号，如果有空账号删除空账号

awk -F: '($3 == 0) { print $1 }'   /etc/passwd 检查UID为0的帐号，如果UID为0删除

1.2.1 设置不活动用户登录超时自动退出登录并断开ssh连接。

在/etc/profile 后面添加
    export TMOUT=1800

1.2.5 设置HISTORYFILESIZE和HISTSIZE。

找到/etc/bashrc文件末尾添加

HISTFILESIZE=4000
       HISTSIZE=4000
       HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
       export HISTTIMEFORMAT

1.2.6 调整文件描述符。

找到/etc/security/limits.conf文件末尾添加

* soft nofile 655350
     * hard nofile 655350

1.2.7 关闭SELinux。

临时关闭：setenforce

永久关闭：找到/etc/sysconfig/selinux文件把SELINUX=enable改为SELINUX=disabled

1.2.8 使用或禁用防火墙。

systemctl stop firewalld

systemctl disable firewalld

1.2.9 设置NTP时间同步。

ntpdate time.ntp.org

1.2.10 锁定关键系统文件，防止被提权篡改。

上锁：chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

解锁：chattr -i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab

1.2.11 清除多余的系统虚拟账号。

games、lp、ftp等。

1.2.12 一些服务器可以设置禁ping。

找到/etc/sysctl.conf文件，末尾添加

net.ipv4.icmp_echo_ignore_all = 1    #1禁止，0允许

防火墙设置：

允许ping设置 ：

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

不允许ping：

iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP

1.2.13 配置内部yum源或者国内yum源。

# 进入yum源配置文件所在文件夹
      cd /etc/yum.repos.d/
      # 备份本地yum源
        mv CentOS-Base.repo CentOS-Base.repo_bak
      # 获取国内yum源（阿里、163二选一）

wget -O CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
       # wget -O CentOS-Base.repo http://mirrors.163.com/.help/CentOS7-Base-163.repo

# 清理yum缓存
       yum clean all
     # 重建缓存
      yum makecache
    # 升级Linux系统
      yum -y update

1.2.14 优化Linux内核参数（谨慎操作）。

1.2.15 禁止显示内核版本及系统版本信息。

清除/etc/issue 和 /etc/redhat-release文件的内容