系统初始化配置。
系统初始化配置
1.关闭防火墙
很多工作内容会与防火墙冲突所以主机基本不开启防火墙。
临时关闭:systemctl stop firewald
永久禁用:systemctl disable firewalld
2.关闭Selinux
查看当前Selinux状态:getenfarce
临时关闭:setenforce
永久关闭:sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
setenforce 0
3.简化开机启动项
保留开机基本5项:sshd,rsyslong,network,crond,sysstat.
chkconfig --list #列出所有的系统服务
chkconfig --list|grep 3:on #列出在运行级别3为开启状态的所有服务
chkconfig ‘xx’on # 开启‘xx’服务
chkconfig ‘xx’off # 关闭‘xx’服务
4.ssh配置
vim /etc/ssh/sshd_config
#修改以下参数:
Port 22
Port 1022 #添加备用端口
PermitRootLogin no #禁止Root直接登陆
MaxAuthTries 6 #可以限制密码暴力破解攻击
GSSAPIAuthentication no
UseDNS no #禁止DNS解析主机名<br><br>
#修改完重启服务<br>systemctl restart sshd
5.时间同步
ntpdate ntp1.aliyun.com (时间同步至阿里云)
6.禁IPV6并改变网卡名称
修改网卡文件名:
mv /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-eth0
修改系统grub参数:
vim /etc/default/grub
#修改以下参数:
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=
centos/swap rhgb quiet net.ifnames=0 biosdevname=0 ipv6.disable=1"
crashkernel=auto:为kdump 预留的内存
net.ifnames=0 biosdevname=0 修改网卡为eth0
ipv6.disable=1 禁止IPV6
7.用户登陆密码设置
vim /etc/login.defs
#修改以下参数:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 15
PASS_WARN_AGE 15
8.密码错误锁定
vim /etc/pam.d/sshd
#添加以下策略:
auth required pam_tally2.so deny=5 unlock_time=600
even_deny_root root_unlock_time=300
普通用户登陆密码错误5次,则用户锁定600秒;root用户则锁定300秒。
9.设置会话超时时间
vim /etc/profile
#添加以下命令:
export TMOUT=1800
10.禁止热键关机
删除配置文件:
rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
11.禁止yum升级内核
内核的升级可能出错影响整个进程
添加参数:
vim /etc/yum.conf
exclude=kernel*