运维经验之谈1
线上系统安装——最小化安装
策略:仅安装需要的,不安装不需要的
开发包,基本网络包,基本应用包
selinux
一般为关闭状态,为软件的运行提供安全 ,应用级别的安全
一般都是关闭的,因为很多应用都是不符合selinux 的安全策略的
命令行先关闭+修改文件(重启生效)
[root@VM_0_10_centos ~]# setenforce 0 [root@VM_0_10_centos ~]# vim /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=disabled
iptables 没有硬件防火墙的服务器必须开启此防护
/etc/sysconfig/iptables
推荐配置: iptables P INPUT ACCEPT iptables F iptables A INPUT p tcp m tcp dport 80 j ACCEPT iptables A INPUT s 1. 1 1 0/24 p tcp m tcp dport 22 j ACCEPT iptables A INPUT s 2 2 2 2 /32 p tcp m tcp dport 22 j ACCEPT iptables A INPUT i eth 1 j ACCEPT iptables A INPUT i lo j ACCEPT iptables A INPUT m state state RELATED,ESTABLISHED j ACCEPT iptables A INPUT p tcp m tcp tcp flags FIN,SYN,RST,PSH,ACK,URG NONE j DROP iptables A INPUT p tcp m tcp tcp flags FIN,SYN FIN,SYN j DROP iptables A INPUT p tcp m tcp tcp flags SYN,RST SYN,RST j DROP iptables A INPUT p tcp m tcp tcp flags FIN,RST FIN,RST j DROP iptables A INPUT p tcp m tcp tcp flags FIN,ACK FIN j DROP iptables A I NPUT p tcp m tcp tcp flags PSH,ACK PSH j DROP iptables A INPUT p tcp m tcp tcp flags ACK,URG URG j DROP iptables P INPUT DROP iptables P OUTPUT ACCEPT iptables P FORWARD DROP
ssh 登陆系统策略:
配置文件的修改:
备份: cp /etc/ssh/sshd_config sshd_config_bak (运维必备守则
建议修改的内容:
#SSH 链接默认端口 ,修改默认 22 端口为 1 万以上端口号,避免被扫描和攻击。 Port 22 221 # 不使用 DNS 反查,可提高 ssh 连接速度 UseDNS no # 关闭 GSSAPI 验证,可提高 ssh 连接速度 GSSAPIAuthentication no # 禁止 root 账号登陆 PermitRootLogin no
用户权限策略sudo
禁止root 用户远程登录系统,授权仅普通用户登录系统,需要管理员权限执行 sudo
即可,避免 root 用户之间登录。
/etc/sudoers 文件
格式要求:
<user list> <host list> = <operator list> <tag list> <command list>
常见的配置:iiveylinux ALL=( root ) NOPASSWD: /bin/mv, /bin/chmod
具体文件解析如下连接所示
https://www.cnblogs.com/betterquan/p/12189796.html
更新yum源
国内的阿里云,163这些官方源只是将CentOS源复制一份到国内、
epel 源:https://fedoraproject.org/wiki/EPEL repoforge 源:http://repoforge.org/use/
定时更新时间
通过定时任务设置时间同步:
/usr/sbin/ntpdate ntp.api.bz>> /var/log/ntp.log 2>&1; /sbin/hwclock –w
ntp常用服务器: 中国国家授时中心:210.72.145.44 NTP服务器(上海) :ntp.api.bz 美国:time.nist.gov 复旦:ntp.fudan.edu.cn 微软公司授时主机(美国) :time.windows.com 台警大授时中心(台湾):asia.pool.ntp.org
通过架设ntp server端:
修改配置文件:
/etc/ntp.conf
server 0.centos.pool.ntp.org iburst server 1.centos.pool.ntp.org iburst server 2.centos.pool.ntp.org iburst server 3.centos.pool.ntp.org iburst 上面都是默认的时间服务器,
删除不必要的系统用户和群组
[root@localhost ~]# vim shangchu.sh #!/bin/bash for i in adm lp sync shutdown halt news uucp video games gopher ftp do userdel $i done for j in adm lp news uucp games do userdel $j done
重要文件安全策略:
chattr +i /etc/sudoers chattr +i /etc/shadow chattr +i /etc/passwd chattr +i /etc/grub.conf [root@localhost ~]# lsattr /etc/sudoers ----i--------e- /etc/sudoers
系统故障排查 关注点
tail f /var/log/messages 应用日志查询 tail f /var/log/secure 登录日志查询 dmesg 系统日志查询 /var/tmp /tmp 容易攻击点查询 crontab -l /etc/crontab 计划任务查询(经常攻击对象)