运维经验之谈1

线上系统安装——最小化安装

策略:仅安装需要的,不安装不需要的

    开发包,基本网络包,基本应用包

 

selinux

一般为关闭状态,为软件的运行提供安全 ,应用级别的安全

一般都是关闭的,因为很多应用都是不符合selinux 的安全策略的
命令行先关闭+修改文件(重启生效)

[root@VM_0_10_centos ~]# setenforce 0
[root@VM_0_10_centos ~]# vim /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=disabled

  

 

iptables  没有硬件防火墙的服务器必须开启此防护

/etc/sysconfig/iptables

 

推荐配置:
iptables P INPUT ACCEPT
iptables F
iptables A INPUT p tcp m tcp dport 80 j ACCEPT
iptables A INPUT s 1. 1 1 0/24 p tcp m tcp dport 22 j ACCEPT
iptables A INPUT s 2 2 2 2 /32 p tcp m tcp dport 22 j ACCEPT
iptables A INPUT i eth 1 j ACCEPT
iptables A INPUT i lo j ACCEPT
iptables A INPUT m state state RELATED,ESTABLISHED j ACCEPT
iptables A INPUT p tcp m tcp tcp flags FIN,SYN,RST,PSH,ACK,URG NONE j DROP
iptables A INPUT p tcp m tcp tcp flags FIN,SYN FIN,SYN j DROP
iptables A INPUT p tcp m tcp tcp flags SYN,RST SYN,RST j DROP
iptables A INPUT p tcp m tcp tcp flags FIN,RST FIN,RST j DROP
iptables A INPUT p tcp m tcp tcp flags FIN,ACK FIN j DROP
iptables A I NPUT p tcp m tcp tcp flags PSH,ACK PSH j DROP
iptables A INPUT p tcp m tcp tcp flags ACK,URG URG j DROP
iptables P INPUT DROP
iptables P OUTPUT ACCEPT
iptables P FORWARD DROP

  

ssh 登陆系统策略:

配置文件的修改:

备份:
cp /etc/ssh/sshd_config sshd_config_bak (运维必备守则

  

建议修改的内容:

#SSH
链接默认端口 ,修改默认 22 端口为 1 万以上端口号,避免被扫描和攻击。
Port 22 221
#
不使用 DNS 反查,可提高 ssh 连接速度
UseDNS no
#
关闭 GSSAPI 验证,可提高 ssh 连接速度
GSSAPIAuthentication no
#
禁止 root 账号登陆
PermitRootLogin no

  

 

用户权限策略sudo

禁止root 用户远程登录系统,授权仅普通用户登录系统,需要管理员权限执行 sudo

即可,避免 root 用户之间登录。

 /etc/sudoers 文件

格式要求:

<user list> <host list> = <operator list> <tag list> <command list>

常见的配置:iiveylinux ALL=( root ) NOPASSWD: /bin/mv, /bin/chmod

具体文件解析如下连接所示

https://www.cnblogs.com/betterquan/p/12189796.html

 

更新yum源

国内的阿里云,163这些官方源只是将CentOS源复制一份到国内、

epel 源:https://fedoraproject.org/wiki/EPEL
repoforge 源:http://repoforge.org/use/

 

定时更新时间

通过定时任务设置时间同步:

/usr/sbin/ntpdate ntp.api.bz>> /var/log/ntp.log 2>&1; /sbin/hwclock –w

  ntp常用服务器:
    中国国家授时中心:210.72.145.44
    NTP服务器(上海) :ntp.api.bz
    美国:time.nist.gov 
    复旦:ntp.fudan.edu.cn 
    微软公司授时主机(美国) :time.windows.com 
    台警大授时中心(台湾):asia.pool.ntp.org

  

通过架设ntp server端:

修改配置文件:

/etc/ntp.conf

server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst

上面都是默认的时间服务器,

  

删除不必要的系统用户和群组

[root@localhost ~]# vim shangchu.sh

#!/bin/bash
for i in adm lp sync shutdown halt news uucp video games gopher ftp
do
    userdel  $i
done

for j in adm lp news uucp games
do
    userdel $j
done

  

重要文件安全策略:

chattr +i /etc/sudoers
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/grub.conf
[root@localhost ~]# lsattr /etc/sudoers
----i--------e- /etc/sudoers

  

系统故障排查 关注点

tail f /var/log/messages     应用日志查询
tail f /var/log/secure     登录日志查询
dmesg     系统日志查询
/var/tmp  /tmp     容易攻击点查询
crontab -l  /etc/crontab     计划任务查询(经常攻击对象)    

  

posted @ 2020-01-13 23:05  linux——quan  阅读(276)  评论(0编辑  收藏  举报