Linux优化与安全归纳总结

最新推荐文章于 2025-08-28 19:12:50 发布
翻译 最新推荐文章于 2025-08-28 19:12:50 发布 · 316 阅读 · 5
文章标签:

#Linux #Linux优化 #Linux优化与安全 #Linux安全 #优化与安全

本文提供了一套全面的Linux系统优化方案,包括用户权限管理、SSH服务端口更改、时间同步设置、YUM源配置、SELinux及IPTABLES管理、文件描述符调整、邮件目录清理、服务自启动优化、内核参数调优、字符集配置、系统文件保护、PING禁用、软件升级、SSH远程连接优化等关键操作。

第一点:Linux的管理尽量不用root用户,利用sudo命令来控制普通用户对系统的管理
新建一个用户,使用sudo命令添加权限,详细操作步骤如下:

(1)添加新的用户:useradd 新的用户名
(2)检查是否已成功添加:id 新的用户名
(3)设置该用户的密码:echo 123321|passwd --stdin 新的用户名
接下来需将新的用户添加管理员权限,这个新的用户就相当于管理员
(4)备份之前的权限文件:\cp /etc/sudoers{,.back}
(5)将新的用户添加管理员权限:
echo "新的用户名 ALL=(ALL) NOPASSWD: ALL " >> /etc/sudoers
(6)检查是否已成功添加:tail -1 /etc/sudoers
(7)配置生效:visudo -c

待以上操作完毕,那么此时的新的用户权限等同于root用户。

第二点:更改默认的远程连接SSH服务端口
(1)修改配置文件/etc/ssh/sshd_config

Port 22,改为Port 52113(范围0——65535);##默认端口为22
ListenAddress 0.0.0.0,改为ListenAddress 内网IP地址;##监听内网ip地址
PermitRootLogion yes,改为PermitRootLogion no;##root用户远程连接)

(2)重启生效:/etc/init.d/sshd reload
(3)查看端口状态:netstat -lntup|grep sshd

第三点:定时自动更新服务器时间,使其和互联网时间同步
(1)配置

echo '#time sync by 新的用户名 at 2019-04-01' >> /var/spool/cron/root
echo '/5 /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1' >> /var/spool/cron/root 
###每5分钟执行一次同步
###至于以哪个时间服务器为基准,以下地址可自己选择:
ntp1.aliyun.com
ntp2.aliyun.com
ntp3.aliyun.com
ntp4.aliyun.com
ntp5.aliyun.com
ntp6.aliyun.com
ntp7.aliyun.com

查看是否已更新:crontab -l
(3)最后备份下:\cp /var/spool/cron/root{,.back}

第四点:配置yum配置源
(1)创建备份文件存放目录

Mkdir -p /etc/yum.repos.d/{default,back}

(2)备份所有默认的配置文件

mv /etc/yum.repos.d/repo /etc/yum.repos.d/default

(3)从阿里云获取yum源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

(4)备份yum源

cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/default

第五点:关闭selinux及iptables

(1)关闭iptables:/etc/init.d/iptables stop
(2)检查是否已关闭:/etc/init.d/iptables status
(3)设置开机不自动启动:chkconfig iptables off
(4)确认配置:chkconfig --list iptables
(5)关闭selinux:

sed -i "s#SELINUX=enforcing#SELINUX=disabled#g" /etc/selinux/config

(6)查看并确认配置:cat /etc/selinux/config
备注:永久生效,需要重启计算机。(在工作场景中,如果有外部IP一般要打开iptables)

第六点:适当调整文件描述符的数量
鉴于进程及文件的打开都会消耗文件描述符,所以在运维过程中我们要调整下文件描述符的数量,表示形式为整数数字(0——65535)。

查看默认文件描述符:ulimit –n   ###一般默认为1024

在/etc/sercurity/limits.conf里面配置:

echo '* - nofile 65535' >>/etc/security/limits.conf
tail -1 /etc/security/limits.conf

第七点:定时自动清理邮件目录垃圾文件
防止inodes节点被占满。

第八点:精简并保留必要的开机自启动服务
(1)只保留重要的基础服务,其余全部关闭

chkconfig --list|egrep -v "sysstat|crond|sshd|network|rsyslog"|awk '{print "chkconfig "$1,"off"}'|bash

(2)确认配置:chkconfig --list|grep 3:on

第八点:优化Linux内核参数
(1)配置文件/etc/sysctl.conf,添加如下命令(可直接复制粘贴)

cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384

以下参数是对iptables防火墙的优化,防火墙关闭的情况下会提示,可以略过提示。

net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
EOF

(2)配置生效命令:sysctl -p

第九点:配置字符集
(1)查看配置文件:cat /etc/sysconfig/i18n
里面默认应该有以下2行内容:

LANG="en_US.UTF-8"      ###默认提示为英文

(2)先备份配置文件:cp /etc/sysconfig/i18n{,.back}
(3)修改配置文件:
说明:此项可将字符集修改为中文,也可不做修改。

echo 'LANG="zn_CN.UTF-8"' > /etc/sysconfig/i18n
echo 'SYSFONT="latarcyrheb-sun16"' >> /etc/sysconfig/i18n

(4)配置生效:source /etc/sysconfig/i18n
(5)确认配置是否成功:echo $LANG

第十点:锁定关键性系统文件,防止被篡改
配置命令:

chattr +i /etc/{passwd,shadow,group,gshadow}
lsattr -a /etc/{passwd,shadow,group,gshadow}

解除锁定命令:chattr -i
第十一点:禁止系统被ping
配置命令:echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf
配置生效命令:sysctl -p

第十二点:升级漏洞软件
查看相关软件的版本号:rpm -qa openssl openssh bash
执行升级:yum install openssl openssh bash

第十三点:优化SSH远程连接
(1)先备份配置文件:cp /etc/ssh/sshd_config{,.back}
(2)编辑ssh服务配置文件
编辑ssh服务的配置文件(vim /etc/ssh/sshd_config),在第12行下面添加如下内容:

Port 52113                 #使用大于10000的端口号
PermitRootLogin no          #禁止root远程登录
PermitEmptyPasswords no     #禁止空密码登录
UseDNS no                 #不使用dns解析
GSSAPIAuthentication no      #连接慢的解决配置

(3)确认配置:grep -A 5 -i 'Start by 新的用户名' /etc/ssh/sshd_config
(4)重启ssh服务:/etc/init.d/sshd restart
(5)确认配置是否成功:netstat -lntup | grep ssh

JAVA synchronized实现原理以及其中锁优化归纳总结
Heqianqian的博客
09-15 8261
在java中存在两种锁机制,分别是synchronized和Lock。Lock接口和实现类是JDK5添加的内容,而synchronized在JDK6开始提供了一系列的锁优化,下面总结一下synchronized的实现原理和涉及的一些锁优化机制1.synchronized内部实现原理synchronized关键字在应用层的语义是可以把任何一个非null对象作为锁,当synchronized作用在方法上
Linux基础优化安全归纳总结.pdf
06-14
Linux基础优化安全归纳总结.pdf
Linux基础优化安全归纳总结
u014389734的博客
04-25 98
一名运维工程师在运维岗位上时间久了,就会发现Linux优化的重要性,同时会给运维工作带来很多的便利性。本人逐渐认识到了这一点,所以特意在工作闲暇之余,通过阅读Linux相关书籍及向同事、同行高手咨询,针对Linux系统的一些基本优化做了如下归纳总结,如有不足之处,还望大伙补充完善。 本文主要描述一些基本的系统优化知识点,并未涉及Linux深化优化,关于Linux的深化优化知识本人后期会更新。...
服务器安全检测防御技术总结
2301_80222209的博客
08-13 878
包括蠕虫病毒(如 WannaCry 利用 MS17-010 漏洞传播)、恶意邮件、端口扫描、后门木马、间谍软件、口令暴力破解(字典法、规则法)等。Web 应用作为服务器对外服务的主要入口,面临的攻击集中且多样,Web 应用防火墙(WAF)是核心防护手段。DOS(拒绝服务)攻击通过消耗服务器资源或带宽,导致服务瘫痪,其分布式形态(DDoS)危害更甚。入侵防御系统(IPS)通过实时监控阻断攻击,弥补入侵检测系统(IDS)仅检测不阻断的不足。
性能优化 - 高级进阶: 性能优化全方位总结
小工匠
06-15 1234
本文是一份系统性能优化的结构化指南,从准备阶段到问题定位提供了完整方法论。首先明确优化目标范围,再搭建监控体系收集CPU、内存、I/O等关键指标。重点介绍了从整体到局部的分析流程:先确认异常场景,再通过工具定位具体瓶颈(如CPU热点、内存泄漏或I/O过高)。文中包含20余篇详细技术文章的索引链接,涵盖理论、工具和案例三大维度,涉及JMH基准测试、JVM调优、多线程优化等实用技巧。适用于排查线上问题、制定优化方案等场景,帮助团队系统性地提升系统性能。
Linux:线程同步互斥
QinMou
06-04 938
线程互斥,互斥量,条件变量,生产消费者模型,POSIX信号量,线程池设计,日志策略模式,单例模式,线程安全,重入问题,死锁
万字归纳总结 | 数据库表设计SQL编写技巧
朱小厮的博客
10-26 1425
点击上方“朱小厮的博客”,选择“设为星标”后台回复”加群“加入公众号专属技术群前言随着移动云平台系统业务不断增长,必然需要对各系统进行更新或者发布新版本,以满足用户的需求...
嵌入式Linux实时性能优化
toove的专栏
07-03 1673
1 引言   分析了Linux的实时性,针对其在实时应用中的技术障碍,在参考了此相关研究基础上,从三方面提出了改善Linux实时性能的改进措施。为提高嵌入式应用响应时间精度,提出两种细化Linux时钟粒度方法;为增强系统内核对实时任务的响应能力,采用插入抢占点和修改内核法增强Linux内核的可抢占性;为保证硬实时任务的时限要求,把原Linux的单运行队列改为双运行队列,硬实时任务单独被放在一个...
【Day 35】Linux-Mysql错误总结
2301_81654480的博客
08-28 1130
本文系统梳理了MySQL运维中的常见问题及解决方案,涵盖六个核心类别:1)基础操作服务故障:包括连接层错误、服务层错误、权限验证错误的排查处理;2)数据备份恢复:详细说明备份导入失败和误删数据恢复方案;3)表结构约束:解析表空间缺失、外键约束等问题的处理方法;4)查询SQL语法:归纳语法错误排查流程和查询优化技巧;5)ProxySQL相关:解析连接错误、配置要点和路由规则管理;6)版本差异:重点对比5.78.0在用户管理的四大关键区别。全文提供大量实操命令和问题定位思路,可作为MySQL运维的实用
大数据知识点归纳总结
weixin_42751488的博客
04-11 6306
BigData Introduction:收纳技术相关的基础知识 Redis、RocketMQ、Zookeeper、Netty、Tomcat 等总结! 文章目录Hadoop数据采集Flume应用架构安装使用KafkaKafka架构Kafka优点主要组件brokertopic(主题)partition(分区)offsetproducer(生产者)consumer(消费者)consumer group(消费者组)partition replicas(分区副本)segment文件message物理结构zookee
(完整版)Linux基础优化安全归纳总结.doc
06-14
(完整版)Linux基础优化安全归纳总结.doc
linux设备驱动归纳总结带书签
04-12
### Linux设备驱动归纳总结 #### 一、Linux设备驱动的作用及层次结构 Linux设备驱动作为连接硬件和内核之间的桥梁,扮演着至关重要的角色。它不仅使得操作系统能够识别和操作硬件设备,还提供了统一的接口供应用...
iommu相关知识点归纳总结
12-23
**IOMMU(输入/输出内存管理单元)**是计算机硬件中的一个重要组件,它在现代系统中扮演着关键角色,特别是在处理I/O设备主内存交互时的安全性和效率。IOMMU是一种硬件设备,用于管理和映射I/O设备的虚拟地址到...
springboot智能在线预约挂号系统【附万字论文+PPT+包部署+录制讲解视频】.zip
09-05
标题SpringBoot智能在线预约挂号系统研究AI更换标题第1章引言介绍智能在线预约挂号系统的研究背景、意义、国内外研究现状及论文创新点。1.1研究背景意义阐述智能在线预约挂号系统对提升医疗服务效率的重要性。1.2国内外研究现状分析国内外智能在线预约挂号系统的研究应用情况。1.3研究方法及创新点概述本文采用的技术路线、研究方法及主要创新点。第2章相关理论总结智能在线预约挂号系统相关理论,包括系统架构、开发技术等。2.1系统架构设计理论介绍系统架构设计的基本原则和常用方法。2.2SpringBoot开发框架理论阐述SpringBoot框架的特点、优势及其在系统开发中的应用。2.3数据库设计管理理论介绍数据库设计原则、数据模型及数据库管理系统。2.4网络安全数据保护理论讨论网络安全威胁、数据保护技术及其在系统中的应用。第3章SpringBoot智能在线预约挂号系统设计详细介绍系统的设计方案,包括功能模块划分、数据库设计等。3.1系统功能模块设计划分系统功能模块,如用户管理、挂号管理、医生排班等。3.2数据库设计实现设计数据库表结构,确定字段类型、主键及外键关系。3.3用户界面设计设计用户友好的界面,提升用户体验。3.4系统安全设计阐述系统安全策略,包括用户认证、数据加密等。第4章系统实现测试介绍系统的实现过程,包括编码、测试及优化等。4.1系统编码实现采用SpringBoot框架进行系统编码实现。4.2系统测试方法介绍系统测试的方法、步骤及测试用例设计。4.3系统性能测试分析对系统进行性能测试,分析测试结果并提出优化建议。4.4系统优化改进根据测试结果对系统进行优化和改进,提升系统性能。第5章研究结果呈现系统实现后的效果,包括功能实现、性能提升等。5.1系统功能实现效果展示系统各功能模块的实现效果,如挂号成功界面等。5.2系统性能提升效果对比优化前后的系统性能
基于机器学习方法的信用风险评估体系构建实现
09-05
在金融行业中,对信用风险的判断是核心环节之一,其结果对机构的信贷政策和风险控制策略有直接影响。本文将围绕如何借助机器学习方法,尤其是Sklearn工具包,建立用于判断信用状况的预测系统。文中将涵盖逻辑回归、支持向量机等常见方法,并通过实际操作流程进行说明。 一、机器学习基本概念 机器学习属于人工智能的子领域,其基本理念是通过数据自动学习规律,而非依赖人工设定规则。在信贷分析中,该技术可用于挖掘历史数据中的潜在规律,进而对未来的信用表现进行预测。 二、Sklearn工具包概述 Sklearn(Scikit-learn)是Python语言中广泛使用的机器学习模块,提供多种数据处理和建模功能。它简化了数据清洗、特征提取、模型构建、验证优化等流程,是数据科学项目中的常用工具。 三、逻辑回归模型 逻辑回归是一种常用于分类任务的线性模型,特别适用于二类问题。在信用评估中,该模型可用于判断借款人是否可能违约。其通过逻辑函数将输出映射为0到1之间的概率值,从而表示违约的可能性。 四、支持向量机模型 支持向量机是一种用于监督学习的算法,适用于数据维度高、样本量小的情况。在信用分析中,该方法能够通过寻找最佳分割面,区分违约非违约客户。通过选用不同核函数,可应对复杂的非线性关系,提升预测精度。 五、数据预处理步骤 在建模前,需对原始数据进行清理转换,包括处理缺失值、识别异常点、标准化数值、筛选有效特征等。对于信用评分,常见的输入变量包括收入水平、负债比例、信用历史记录、职业稳定性等。预处理有助于减少噪声干扰,增强模型的适应性。 六、模型构建验证 借助Sklearn,可以将数据集划分为训练集和测试集,并通过交叉验证调整参数以提升模型性能。常用评估指标包括准确率、召回率、F1值以及AUC-ROC曲线。在处理不平衡数据时,更应关注模型的召回率特异性。 七、集成学习方法 为提升模型预测能力,可采用集成策略,如结合多个模型的预测结果。这有助于降低单一模型的偏差方差,增强整体预测的稳定性准确性。 综上,基于机器学习的信用评估系统可通过Sklearn中的多种算法,结合合理的数据处理模型优化,实现对借款人信用状况的精准判断。在实际应用中,需持续调整模型以适应市场变化,保障预测结果的长期有效性。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
橙色s()_Orange's一个操作系统的实现(随书光盘).zip
09-05
橙色s()_Orange's一个操作系统的实现(随书光盘).zip
perl-Hash-Flatten-1.19-26.el8.tar.gz
最新发布
09-05
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
jackson-dataformat-smile-2.20.0.jar中文-英文对照文档.zip
09-05
1、压缩文件中包含: 中文-英文对照文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文-英文对照文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
Linux内核驱动学习资料大汇总
掌握这些知识可以帮助学习者更好地进行系统开发优化。 **Linux内核的学习路线** 从这些资料可以归纳出一个Linux内核的学习路线: - **基础了解**:首先需要了解Linux操作系统的基本知识和Linux哲学,比如一切皆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值