总结出来三点:
-
SELinux
-
防火墙
防火墙推荐配置
设置默认允许策略
iptables -P INPUT ACCEPT
清空现有的所有策略
iptables -F
允许业务需要的端口
iptables -A INPUT -p tcp -m tcp--dport 80 -j ACCEPT
允许远程登陆的端口
iptables -A INPUT -s 1.1.1.1 -p tcp -m tcp--dport 22 -j ACCEPT
允许内网网卡全通--如果服务器有内网ip和外网ip,一般内网那张卡是全开的
iptables -A INPUT -i eth1 -j ACCEPT
回环会话一定要打开
iptables -A INPUT -i lo -j ACCEPT
安全防护措施
照抄图片就行
系统登陆安全与ssh配置
1授权用户登陆与sudo设定
- 禁止root用户登陆
- 配置普通用户 允许所有来源 所有程序都不需要密码
- /etc/sudoers 权限必须是440
2ssh安全登陆经验
- 需要默认ssh端口为4位端口(数字建议大一点)
- ssh不使用dns反查,提高ssh连接速度
- ssh关闭GSSAPI验证,提高ssh连接速度
- 禁止root账号登陆
- 登陆普通用户后使用sudo su- 完全切换到root账户
yum源配置建议
1配置第三方源
一定要配置的两个源:
- epel 源----是红帽和Centos的可信源
- repoforge 源
这两个源更新速度非常快,能在这里找到新版本的软件。
2升级系统内核及更新软件
上线之前必须更新内核和系统补丁
清空yum缓存
yum clean all
生成缓存
yum makecache
更新内核
yum install kernel -y
更新系统及内核
yum upgrade
必备软件
yum install ntpdate wget -y
服务器定期对时
登录后复制
ntp时间服务器
用crontab计划任务对时
/usr/sbin/ntpdate ntp.aliyun.com>>/var/log/ntp.log 2>&1;/sbin/hwclock -w