Linux CentOS简单优化

1.关闭无用的开机服务(chkconfig),只保留messagebus、networ、rsyslog、udev-post、sshd、iptables服务,其他全部关闭。

2.修改开机会执行的/etc/rc.d/rc.local文件,把里面所有的内容全部用#注释掉。

完成上面两个步骤重启开机系统centos6.5只占用70MB左右内存。

3.修改root密码passwd。

4.创建一个普通用户(useradd),设置密码。

5.修改ssh的端口,禁止root用户登录ssh,(没重启服务没断开不会影响这次连接)。

6.安装vsftpd,修改vsftpd端口,vsftpd配置允许本地用户登录(不包括root,简单为上),开启pasv模式,设置pasv端口。

7.配置iptables防火墙,默认禁止所有INPUT,FORWARD端口,允许INPUT的80端口,vftp端口,ssh端口访问。

8.如果你有安装apache,将apache默认端口修改成非80端口,然后在iptables配置里将XXX端口转发到80端口上。(因为非root用户是没有权限开启80端口的,这样能解决这个问题)。

9.设置swap,大小是物理内存*1.5的原则,swap一般都是使用空间都是0基本用不到,但是要留在防止内存不够用服务器会挂了。

上面操作后,重启系统。用ssh登录,这时已经无法用root用户登录了,只能先用普通用户登录ssh后,再用suroot,换成root登录。这样是不是安全级别又上了一级?

但是还需要检查以下几个问题,ecs是否还能对外ping?是否还能访问数据库?如果不行就要修改iptables了。

用ftp工具登录vsftp(这里只能用普通用户登录ftp了),上传你需要安装程序所需文件,先用root解压安装,然后设置权限。

以下是我在centos系统的使用程序的安全经验,这里举个例子,环境是apache+php:

1.将apache+php文件夹设置成只读只执行,也是5。命令是chmod-R500apache。要设置里面所有的。

2.将apache中日志文件夹和临时文件夹设置为读写的权限。如果你网站上有上传文件夹,也要将上传文件夹设置为可读写,其他文件夹只能读取和执行(浏览目录)。

3.网站的文件夹中可读写的文件夹要在apache中单独做禁止php代码执行的配置(即使网站已经限制了上传php文件,但再加一层锁也无妨)。

4.然后将文件夹所有者修改成普通用户(chown)。

5.su到普通用户,用普通用户来启动apache。

上面步骤操作操作后,网站就安全了很多,只要你没有把root密码设置得太简单。

2015051802

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址