システムのパフォーマンスの最適化、システムをセキュリティで保護するシステム CentOS 6.5 既定設定を変更します。
環境:
システム: VMware vsphere (CPU:2 * 4 コア、メモリ 2 G)
システムのバージョン: Centos-6.5-x86_64 (最小インストール)
手順:
1. SELinux をオフに
[root@centos 〜] # vim/etc/selinux/config
ファイルを開く、変更、および保存
SELINUX 障害 # 禁止 =
強制することを設定する必要が力が必要な場合ある
SELINUX = 強制開始
[Root@CentOS 〜] # getenforce # チェック SELinux ステータス
2. 空し、ファイアウォール規則を設定
2.1 クリアとビュー
# クリア、すべての接続を許可するには
[Root@CentOS ~]#/sbin/INPUT 受け入れ # リモート接続ではなく、悲劇を防ぐために入力としてすべてのルールをクリアする前に、ポリシーを削除します。
# 空のルール
[Root@CentOS ~]#/sbin/# は、すべてのルールをクリアします。
[Root@CentOS ~]#/sbin/# は、すべてのルールをクリアします。
[Root@CentOS ~]#/sbin/# カウンターは 0 にリセットします。
[Root@CentOS ~]##/etc/init.d/iptables 状態 # ファイアウォール情報を表示するには
2.2 設定ルールやオンデマンドで、適切なポートを開く
[Root@CentOS 〜] # 同意 # パケットを許可する Lo インターフェイスからこのルールを持っていない場合しないことができますアクセス 127.0.0.1 ローカル サービスへ
[Root@CentOS 〜] # TCP – dport 同意 # TCP 22 = リモート ログイン プロトコル ポート
[Root@CentOS 〜] # TCP – dport 同意 #TCP 80 = ハイパー テキスト サーバー (Http)、遺言執行者、ポート RingZero
[Root@centos~]#10.122.78.ACCEPT# は、イントラネットの ip アドレスは、10.241.121.15 からすべての TCP 要求を受け入れる
[Root@CentOS 〜] # ICMP – ICMP タイプ同意 # ping を受け入れる
[Root@CentOS 〜] # 状態 – 状態を受け入れる # その通常と外部の通信を確保します。
# 要件によると、その他のルール
[Root@CentOS 〜] # TCP – dport 同意 #TCP 53 = DNS、Bonk (DOS 攻撃) ポート
[Root@CentOS 〜] # dport 同意 #TCP 53 の UDP – DNS、Bonk (DOS 攻撃) ポートを =
[Root@CentOS 〜] # UDP – dport 同意 #UDP 123 ネットワーク タイム プロトコル (NTP)、コント ローラー ポートを =
[root@centos 〜] # iptables – a 入力-p icmp -j を受諾
# マスク
[Root@CentOS 〜] 入力ドロップ # # ルールをシールドすべてを要求します。
2.3 保存設定
[root@centos 〜] #/etc/init.d/iptables を保存
2.4 再起動サービス
[root@centos 〜] #/etc/init.d/iptables 再起動
2.5 ステータスの表示
[root@centos 〜] #/etc/init.d/iptables ステータス
3. 正規ユーザーと須藤特権管理を追加します。
[root@centos 〜] # useradd ユーザー
[root@centos 〜] # エコー「123456」| パスワード – パスワードを標準ユーザー # 設定
[Root@CentOS ~]#/sudoers # または visudo が開き、追加ユーザーすべてのアクセス許可
ALL=(ALL) すべてのルート
ALL=(ALL) すべてのユーザー
4. ルート リモート ログインを無効にします。
[root@centos 〜] # vim/etc/ssh/sshd_config
PermitRootLoginno
PermitEmptyPasswords # ない空白のパスワード ログインを無効にします。
UseDNSno # 閉じる DNS クエリ
5. サービスを開始する不要なポストを閉じる
6. 不要なユーザーを削除します。
7. ターン オフ CTL + ALT + DEL キーの組み合わせをリセット
[root@centos 〜] # vim/etc/init/control-alt-delete.conf
#/今”コントロールの Alt-Deletepressed”# コメント アウト
8 サイズのファイル記述子を調整します。
[Root@CentOS 〜] # ulimit-n # デフォルトは 1024年
1024
[Root@CentOS 〜] # エコー「102400」>>/etc/rc.local # 設定が自動的に反映
9. システム情報を削除します。
[root@centos 〜] # エコー「サーバーにようこそ」>/etc/問題
[root@centos 〜] # エコー「サーバーにようこそ」>/等/redhat のリリース
10. 改訂履歴
[Root@CentOS ~]#/profile # 変更ログ 10
HISTSIZE = 10
11. システム時刻を同期します。
[Root@CentOS ~]#/share/zoneinfo/Asia/Shanghai/etc/localtime # 上海タイム ゾーンの設定
[Root@CentOS 〜] # ntpdate CN.pool.ntp.org; hwclock w # Blos ハードウェア同期時間し、書き込み時間
[Root@CentOS 〜] # crontab-e # セット ゼロ点一度毎日のスケジュールされたタスク
0 * * * */usr/sbin/ntpdate cn.pool.ntp.org; hwclock w
12. カーネルのパラメーター最適化
[Root@CentOS ~]#/sysctl.conf # end パラメーターに以下を追加します。
NET.IPv4.tcp_syncookies = 1 #1 を開くデフォルトは 0 で終了、SYN Cookies、SYN キューのオーバーフローが発生すると、配置する場合、クッキーを有効にし、少数の SYN 攻撃を防ぐことができます
NET.IPv4.tcp_tw_reuse = 1 #1 が再利用のため開くときは、デフォルトは 0 で終了、新しい TCP 接続の TIME_AIT ソケットについて許可されて再利用
失敗した NET.IPv4.tcp_tw_recycle の再送数 = 1 #TCP 既定値は 15、リリースされたカーネル リソースの数を減らす
NET.IPv4.ip_local_port_range = 4096 65000 # アプリケーションはポートの範囲を使用することができます
NET.IPv4.tcp_max_tw_buckets = 5000 # システム time_wait 状態のソケットの最大数を維持しながらこの数を超えた場合 TIME_WATI ソケットただちに取り去られるらしく、180000 の既定の警告メッセージを出力
NET.IPv4.tcp_max_syn_backlog = 4096 # SYN Bao の最大要求キューを入力、デフォルトは 1024年
NET.core.netdev_max_backlog = 10240 # 300 の既定のキューに送信されるパケットの最大デバイス キューを許可します。
NET.core.somaxconn = 2048年 #listen 最大数の保留中の要求、128 の既定
NET.core.wmem_default = 8388608 # 送信バッファー サイズの既定値
NET.core.rmem_default = 8388608 # デフォルト ソケット バッファー サイズ (単位: バイト) 値を受け入れる
NET.core.rmem_max = 16777216 # 最大最大受信バッファー サイズ
NET.core.wmem_max = 16777216 # 送信バッファー サイズの最大サイズ
NET.IPv4.tcp_synack_retries を振る = 2 #SYN-ACK 状態数、再試行の既定 5
NET.IPv4.tcp_syn_retries SYN ハンドシェイク = 2 # 再試行回数の既定値 4
NET.IPv4.tcp_tw_recycle = 1 # 高速リサイクル time_wait 状態のソケットは、TCP 接続を開く、デフォルトは 0 で終了
NET.IPv4.tcp_max_orphans = 3276800 # システムの TCP ソケットの最大数は、ファイル ハンドルのすべてのユーザーに関連付けられていないと、孤立した接続が今はリセットされ、警告メッセージを印刷する場合はこの数を超えると、
net.ipv4.tcp_mem = 94500000 915000000 927000000
NET.IPv4.tcp_mem[0]: この値を下回る TCP を持たないメモリ圧力;
NET.IPv4.tcp_mem[1]: 値、メモリ圧力の段階に入る
NET.IPv4.tcp_mem[2]: この値を上回る TCP ソケットを割り当てることを拒否します。 メモリ ユニットのページ、メモリが十分な大きさ、増加する、適切な場合、物理メモリのサイズに応じて調整できます。 これらのメモリ ユニットは、バイトではなくページです。
この CentOS 6.5_x64 最小インストール システムの最適化処理を完了すると、システムを再起動する必要があります。
Leave a Reply