CentOSの6.5強化のセキュリティとパフォーマンスの最適化

システムのパフォーマンスの最適化、システムをセキュリティで保護するシステム CentOS 6.5 既定設定を変更します。

環境:

システム: VMware vsphere (CPU:2 * 4 コア、メモリ 2 G)

システムのバージョン: Centos-6.5-x86_64 (最小インストール)

手順:

1. SELinux をオフに
[root@centos 〜] # vim/etc/selinux/config

ファイルを開く、変更、および保存

SELINUX 障害 # 禁止 =

強制することを設定する必要が力が必要な場合ある

SELINUX = 強制開始
[Root@CentOS 〜] # getenforce # チェック SELinux ステータス

2. 空し、ファイアウォール規則を設定

2.1 クリアとビュー

# クリア、すべての接続を許可するには

[Root@CentOS ~]#/sbin/INPUT 受け入れ # リモート接続ではなく、悲劇を防ぐために入力としてすべてのルールをクリアする前に、ポリシーを削除します。

# 空のルール

[Root@CentOS ~]#/sbin/# は、すべてのルールをクリアします。

[Root@CentOS ~]#/sbin/# は、すべてのルールをクリアします。

[Root@CentOS ~]#/sbin/# カウンターは 0 にリセットします。

[Root@CentOS ~]##/etc/init.d/iptables 状態 # ファイアウォール情報を表示するには

2.2 設定ルールやオンデマンドで、適切なポートを開く

[Root@CentOS 〜] # 同意 # パケットを許可する Lo インターフェイスからこのルールを持っていない場合しないことができますアクセス 127.0.0.1 ローカル サービスへ

[Root@CentOS 〜] # TCP – dport 同意 # TCP 22 = リモート ログイン プロトコル ポート

[Root@CentOS 〜] # TCP – dport 同意 #TCP 80 = ハイパー テキスト サーバー (Http)、遺言執行者、ポート RingZero

[Root@centos~]#10.122.78.ACCEPT# は、イントラネットの ip アドレスは、10.241.121.15 からすべての TCP 要求を受け入れる

[Root@CentOS 〜] # ICMP – ICMP タイプ同意 # ping を受け入れる

[Root@CentOS 〜] # 状態 – 状態を受け入れる # その通常と外部の通信を確保します。

# 要件によると、その他のルール

[Root@CentOS 〜] # TCP – dport 同意 #TCP 53 = DNS、Bonk (DOS 攻撃) ポート

[Root@CentOS 〜] # dport 同意 #TCP 53 の UDP – DNS、Bonk (DOS 攻撃) ポートを =

[Root@CentOS 〜] # UDP – dport 同意 #UDP 123 ネットワーク タイム プロトコル (NTP)、コント ローラー ポートを =

[root@centos 〜] # iptables – a 入力-p icmp -j を受諾

# マスク

[Root@CentOS 〜] 入力ドロップ # # ルールをシールドすべてを要求します。

2.3 保存設定

[root@centos 〜] #/etc/init.d/iptables を保存

2.4 再起動サービス

[root@centos 〜] #/etc/init.d/iptables 再起動

2.5 ステータスの表示

[root@centos 〜] #/etc/init.d/iptables ステータス

3. 正規ユーザーと須藤特権管理を追加します。

[root@centos 〜] # useradd ユーザー

[root@centos 〜] # エコー「123456」| パスワード – パスワードを標準ユーザー # 設定

[Root@CentOS ~]#/sudoers # または visudo が開き、追加ユーザーすべてのアクセス許可

ALL=(ALL) すべてのルート

ALL=(ALL) すべてのユーザー

4. ルート リモート ログインを無効にします。

[root@centos 〜] # vim/etc/ssh/sshd_config

PermitRootLoginno

PermitEmptyPasswords # ない空白のパスワード ログインを無効にします。

UseDNSno # 閉じる DNS クエリ

5. サービスを開始する不要なポストを閉じる

6. 不要なユーザーを削除します。

7. ターン オフ CTL + ALT + DEL キーの組み合わせをリセット

[root@centos 〜] # vim/etc/init/control-alt-delete.conf

#/今”コントロールの Alt-Deletepressed”# コメント アウト

8 サイズのファイル記述子を調整します。

[Root@CentOS 〜] # ulimit-n # デフォルトは 1024年

1024

[Root@CentOS 〜] # エコー「102400」>>/etc/rc.local # 設定が自動的に反映

9. システム情報を削除します。

[root@centos 〜] # エコー「サーバーにようこそ」>/etc/問題

[root@centos 〜] # エコー「サーバーにようこそ」>/等/redhat のリリース

10. 改訂履歴

[Root@CentOS ~]#/profile # 変更ログ 10

HISTSIZE = 10

11. システム時刻を同期します。

[Root@CentOS ~]#/share/zoneinfo/Asia/Shanghai/etc/localtime # 上海タイム ゾーンの設定

[Root@CentOS 〜] # ntpdate CN.pool.ntp.org; hwclock w # Blos ハードウェア同期時間し、書き込み時間

[Root@CentOS 〜] # crontab-e # セット ゼロ点一度毎日のスケジュールされたタスク

0 * * * */usr/sbin/ntpdate cn.pool.ntp.org; hwclock w

12. カーネルのパラメーター最適化

[Root@CentOS ~]#/sysctl.conf # end パラメーターに以下を追加します。

NET.IPv4.tcp_syncookies = 1 #1 を開くデフォルトは 0 で終了、SYN Cookies、SYN キューのオーバーフローが発生すると、配置する場合、クッキーを有効にし、少数の SYN 攻撃を防ぐことができます

NET.IPv4.tcp_tw_reuse = 1 #1 が再利用のため開くときは、デフォルトは 0 で終了、新しい TCP 接続の TIME_AIT ソケットについて許可されて再利用

失敗した NET.IPv4.tcp_tw_recycle の再送数 = 1 #TCP 既定値は 15、リリースされたカーネル リソースの数を減らす

NET.IPv4.ip_local_port_range = 4096 65000 # アプリケーションはポートの範囲を使用することができます

NET.IPv4.tcp_max_tw_buckets = 5000 # システム time_wait 状態のソケットの最大数を維持しながらこの数を超えた場合 TIME_WATI ソケットただちに取り去られるらしく、180000 の既定の警告メッセージを出力

NET.IPv4.tcp_max_syn_backlog = 4096 # SYN Bao の最大要求キューを入力、デフォルトは 1024年

NET.core.netdev_max_backlog = 10240 # 300 の既定のキューに送信されるパケットの最大デバイス キューを許可します。

NET.core.somaxconn = 2048年 #listen 最大数の保留中の要求、128 の既定

NET.core.wmem_default = 8388608 # 送信バッファー サイズの既定値

NET.core.rmem_default = 8388608 # デフォルト ソケット バッファー サイズ (単位: バイト) 値を受け入れる

NET.core.rmem_max = 16777216 # 最大最大受信バッファー サイズ

NET.core.wmem_max = 16777216 # 送信バッファー サイズの最大サイズ

NET.IPv4.tcp_synack_retries を振る = 2 #SYN-ACK 状態数、再試行の既定 5

NET.IPv4.tcp_syn_retries SYN ハンドシェイク = 2 # 再試行回数の既定値 4

NET.IPv4.tcp_tw_recycle = 1 # 高速リサイクル time_wait 状態のソケットは、TCP 接続を開く、デフォルトは 0 で終了

NET.IPv4.tcp_max_orphans = 3276800 # システムの TCP ソケットの最大数は、ファイル ハンドルのすべてのユーザーに関連付けられていないと、孤立した接続が今はリセットされ、警告メッセージを印刷する場合はこの数を超えると、

net.ipv4.tcp_mem = 94500000 915000000 927000000

NET.IPv4.tcp_mem[0]: この値を下回る TCP を持たないメモリ圧力;

NET.IPv4.tcp_mem[1]: 値、メモリ圧力の段階に入る

NET.IPv4.tcp_mem[2]: この値を上回る TCP ソケットを割り当てることを拒否します。 メモリ ユニットのページ、メモリが十分な大きさ、増加する、適切な場合、物理メモリのサイズに応じて調整できます。 これらのメモリ ユニットは、バイトではなくページです。

この CentOS 6.5_x64 最小インストール システムの最適化処理を完了すると、システムを再起動する必要があります。

Leave a Reply

Your email address will not be published. Required fields are marked *