【linux】循序漸進學運維-基礎篇-操作系統初始化

原創 高胜寒|职场引路人 2020-07-07 21:30

大家好,我是高勝寒,本文是Linux運維-循序漸進學運維-基礎篇的第60篇文章

文章目錄

前言

今天有學員問安裝好操作系統之後應該做哪些初始化操作或者說優化。 其實在公司裏安裝好系統之後,都是直接用腳本跑一遍,很多人不喜歡看腳本,也就導致不知道腳本到底做了什麼樣的操作,那我們今天就來聊聊,安裝完系統之後的那些簡單優化。

安裝Linux後的初始化操作

1. 關閉selinux功能
[root@ecs-c13b ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

檢查是否完成配置文件的修改
在這裏插入圖片描述

2. 精簡開機啓動項
a) 開啓自啓動服務

一般服務安裝好後,有幾個很重要的服務是必須要開啓的
sshd,rsyslog,network, crond,sysstat

b) 刪除特殊的用戶和用戶組
  • Linux當中有很多系統默認的用戶,是可以刪除的
[root@ecs-c13b ~]# head -n 13 /etc/passwd |tail -n 10
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
  • linux中可以刪除的用戶組:
    adm.lp,news, uucp,games,dip 等
3. 用戶及密碼安全
1. 用戶密碼一般情況下要求大於8位數,儘量使用強密碼,有數字,大小寫及特殊符號三部分組成。
2. 儘量不使用root用戶登錄,把普通用戶變爲root用戶
[root@ecs-c13b ~]# useradd gaosh

修改/etc/passwd

root用戶限制登錄: 
root:x:0:0:root:/root:/bin/bash
改爲:
root:x:0:0:root:/root:/sbin/nologin

普通用戶改爲root用戶:
gaosh:x:500:500::/home/gaosh:/bin/bash
改爲
gaosh:x:0:0::/home/gaosh:/bin/bash

此時的gaosh就變成了root權限
在這裏插入圖片描述

3. 儘量使用祕鑰登陸
4. 鎖定重要文件

鎖定重要文件,這樣即使你有root權限,也依舊無法刪掉文件,具體操作步驟,參考下方文章裏的設置方法:

學會這個騷操作,再也不怕從刪庫到跑路

5. 文件權限的檢查與掃描

含有suid,sgid權限的文件,以及一些777權限的文件是很危險的,運維需要時間檢查發現並修改權限,除此之外還有一些沒有屬主的孤兒文件,也比較危險,往往成了黑客利用的工具。找到這些文件及時刪除或者修改權限。

關於suid和sgid的權限介紹及使用參考:
【linux】循序漸進學運維-基礎篇-文件特殊權限管理

如何查找特殊權限的文件,參考:
【linux】循序漸進學運維-基礎命令篇-查找類命令

6. 隱藏Linux版本信息

系統版本信息的保存位置

[root@ecs-c13b ~]# cat /etc/issue
CentOS release 6.9 (Final)
Kernel \r on an \m

[root@ecs-c13b ~]# cat /etc/issue.net 
CentOS release 6.9 (Final)
Kernel \r on an \m
[root@ecs-c13b ~]#

執行以下命令清楚系統版本信息

[root@gaosh ~]# > /etc/issue    
[root@gaosh ~]# > /etc/issue.net
7. 禁止Linux被ping

通過iptables讓內網IP可以ping通, 外網用戶除特定IP外不能ping童

其他操作

  1. 配置網絡
  2. 設置文件描述符的數量
  3. 修改字符集
  4. 內核參數調優
  5. 爲gurb加上密碼

爲grub加密碼可以參考:
【linux】循序漸進學運維-基礎篇-grub加密技術

總結

後面會寫到循序漸進學運維繫列的腳本篇的時候,會有初始化腳本的講解,在初始化腳本里面,可能除了以上內容之外還有一些,漏洞掃描等方面的安全操作。講到的時候我們在一起來探討。

今天就到這裏,我是高勝寒,一個教培行業不忘初心的人, 我們下篇文章再見!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Android C/C++ 內存泄漏分析 unreachable

背景 隨着對客戶端穩定性質量的不斷深入,部分的重點、難點問題逐步治理,內存質量逐步成爲了影響客戶端質量的最突出的問題之一。因此淘寶對此進行了系統性的內存治理,成立了內存專項。 “工欲善其事、必先利其器”。本文主要講述內存專項的工具之一,內

原創 2023-05-22 12:23:17

centos7 搭建 vsftpd

參考:https://wiki.archlinux.org/title/Very_Secure_FTP_Daemon 教程:https://help.aliyun.com/document_detail/92048.html 1、配置 vs

原創 2022-12-26 22:51:39

從零部署Linux服務器完全指南2022版(CentOS 8+Nginx+PHP)

之前我的一個CentOS 7 Apache的站點被攻擊,導致流量過載損失了一筆錢,由於也是邊學習邊部署的,有不少安全隱患,爲了避免常見安全隱患再次發生,後來找出大概的原因後決定重新部署一個基於CentOS 8 Nginx的服務器。這也是充

原創 2022-04-30 12:48:31

nginx open failed 13: Permission denied的其他情況

當Nginx以root用戶運行情況下,訪問Nginx資源仍然報權限問題,如以下錯誤信息: nginx open() failed (13: Permission denied), client server request: "GET /

原創 2022-04-30 12:20:17

有關Greenplum源碼編譯過程中遇到的gpcloud錯誤問題

在執行Greenplum源碼編譯過程中,經常會遇到如下錯誤: checking whether to build with OpenSSL support... no checking whether to build with SELin

原創 2022-04-30 11:10:03

java高級用法之:調用本地方法的利器JNA

簡介 JAVA是可以調用本地方法的,官方提供的調用方式叫做JNI,全稱叫做java native interface。要想使用JNI,我們需要在JAVA代碼中定義native方法,然後通過javah命令創建C語言的頭文件,接着使用C或者C

原創 2022-04-30 09:47:36

CentOS7單用戶模式修改密碼【轉載】

版權聲明:本文爲博主原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接和本聲明。本文鏈接:https://blog.csdn.net/ywd1992/article/details/83538730 --------

osc_vv34ugrq 2021-12-25 21:40:34

利用shell祕鑰登錄服務器

------------恢復內容開始------------ 一、點擊Xshell菜單欄的工具,選擇新建用戶密鑰生成嚮導,進行密鑰對生成操作。 注意選擇長度爲2048位祕鑰; 二、修改sshd的配置文件,啓用密鑰認證登錄,同時關閉密碼

osc_vv34ugrq 2021-12-25 21:40:34

Linux Apache虛擬主機配置方法

   apache 虛擬主機配置 注意: 虛擬主機可以開很多個 虛擬主機配置之後,原來的默認/etc/httpd/httpd.conf中的默認網站就不會生效了 練習: 主機server0 ip:172.25.0.11 hostn

osc_msepeizi 2021-12-25 21:39:12

CentOS7.x下創建本機yum源庫與(vsftpd)局域網yum源庫

OS:   CentOS 7.x IP: 192.168.15.132   關閉firewalld與selinux: systemctl stop firewalld systemctl disable fire

原創 2021-12-25 21:23:52

Linux Centos 物理機 備份 恢復 backup restore

最近有一個項目,客戶要做升級, 因爲centos 要變成滾動更新,所以逼不得已,只能把現在的centos 8.2升級成redhat 8 客戶主機是DELL PowerEdge R440刀片機,有Raid,4.4T 但買的時候沒有購買其他服務

原創 2021-12-25 21:19:54

Linux如何開放SSH服務監聽多個端口

Linux上默認SSH服務端口爲22,但是通常在一些公司裏面這個端口是禁用的,需要進行對應的修改。如果大家要開放多個端口的監聽,可以通過如下方法進行配置。 首先,修改sshd的配置文件,默認位置爲:/etc/ssh/sshd_config

原創 2021-12-25 21:16:45

Centos的文件搜索命令find

find [搜索範圍] [搜索條件] #搜索文件 find / -name install.log #避免大範圍搜索,會非常耗費系統資源 #find是在系統當中搜索符合條件的文件名。如果需要匹配, 使用通配符匹配,通配符是完全匹配。 [ro

原創 2021-10-08 21:27:19

docker 安裝nextcloud支持服務only office

基本docker安裝 下載yum鏡像庫和阿里雲鏡像庫 cd /etc/yum.repos.d/ wget https://download.docker.com/linux/centos/docker-ce.repo wget http:/

原創 2021-09-04 21:23:23

Linux系統通過keepalived配置nginx高可用(單播和多播配置)

先準備兩臺機器,用於測試,這裏使用 192.168.1.168 和 192.168.1.146 兩臺機器測試。 默認你的nginx已經搭建好了,我這裏使用的是docker方式搭建的,只是一個簡單的模擬  docker run -p 8123

原創 2021-08-05 21:42:11