CentOS系统常规初始化操作详解

准备环境:1)设置本地国际化语言为en_US.UTF-8[root@c58~]#sed-i's/^\(LANG=\).*$/\1"en_US.UTF-8"/'/etc/sysconfig/i18n[root@c58~]#cat/etc/sysconfig/i18nLANG="en_US.UTF-8"[root@c58~]#LANG=en_US.UTF-82)更新默认系统软件包备份yum源:find/etc/yum.repos.d-name'*.repo'-execmv{}{}.bak\;添加163yum源:redhat5或centos5:wgethttp://mirrors.163.com/.help/CentOS5-Base-163.repo-P/etc/yum.repos.dredhat6或centos6wgethttp://mirrors.163.com/.help/CentOS6-Base-163.repo-P/etc/yum.repos.d添加epelyum源:redhat5.x32bit:rpm-ivhhttp://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmredhat5.x64bit:rpm-ivhhttp://dl.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpmredhat6.x32bit:rpm-ivhhttp://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpmredhat6.x64bit:rpm-ivhhttp://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm>更新证书:yum-yupgradeca-certificates--disablerepo=epel更新所有系统软件包:yumcleanallyummakecacheyum-yupgrade下面以redhat5/centos5为例。
1、服务最小化原则是禁用所有开机自启动服务,只启用sshd、crond、network、iptables、syslog(redhat5)、rsyslog(redhat6),然后在此基础上添加必要的需求。
服务在启动时启动。
1)禁用所有自启动服务[root@c58~]#foriin`chkconfig--list|awk'{if($1~/^$/){exit0;}else{print$1}}'`;dochkconfig$ioff;done2)启用基本服务[root@c58~]#foriinsshdnetworksyslogcrondiptables;dochkconfig$ion;done3)检查启用服务[root@c58~]#chkconfig--list|grep'3:on'crond0:off1:off2:on3:on4:on5:on6:offiptables0:off1:off2:on3:on4:on5:on6:offrete0:关1:关2:开3:开4:开5:开6:offsshd0:关1:关2:开3:开4:开5:on6:offsyslog0:off1:off2:on3:on4:on5:on6:off2、用户访问限制1)禁止root用户使用ssh[root@c58~]#cd/etc/ssh[root@remotec58ssh]#cpsshd_configsshd_config~[root@c58ssh]#sed-i's/#\(PermitRootLogin\)yes/\1no/'sshd_config[root@c58ssh]#grep'PermitRoot'/etc/ssh/sshd_configPermitRootLoginno2)禁用登录提示信息[root@c58ssh]#>/etc/motd3)更改默认监听端口ofssh(tcp:22)#这里改为tcp端口11983[root@c58ssh]#sed-i's/#\(Port\)22/\11983/'sshd_config[root@c58ssh]#grep'Port'sshd_configPort119834)只允许指定的ip使用ssh(可选)方法一(使用tcpwrapper):#只允许192.168.124.0网段的ip使用sshecho"sshd:192.168.124.0/255.255.255.0">>/etc/hosts.allowecho"sshd:ALL">>/etc/hosts.deny方法2(使用iptables):#注意,这是必要的远程工作时要小心,避免即使被拒绝也会让自己陷入危险,导致无法远程连接。
例如只允许192.168.1.0网段内的所有IP进行ssh,其他IP均拒绝#先允许你的IP,避免后续操作意外损坏iptables-IINPUT-s10.0.0.1-ptcp--dport22-jACCEPT#允许网段192.168.1.0iptables-I2INPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT#拒绝所有设置iptables-I3INPUT-ptcp--dport22-jDROP#保存iptables是否存在:cp/etc/sysconfig/iptables/etc/sysconfig/iptables~iptables-save>/etc/sysconfig/iptables最后重启sshd服务做上面的配置就会生效(不用担心打开的远程终端连接会断线重启只会影响新打开的终端)[root@c58ssh]#/etc/init.d/sshdrestartStoppingsshd:[OK]Startingsshd:[OK]3.最小化用户和命令权限创建普通用户tom并添加sudo组,此用户作为系统管理员groupaddsudo#创建组用户sudoadd-Gsudotom#创建用户tom并加入组sudopasswdtom#设置用户Tom的登录密码并编辑sudo配置文件。
允许sudo组中的用户以root身份运行所有命令(可以为不同用户授予不同的运行命令权限。
所有命令都可以在这里运行。
生产环境中的系统管理员应该为用户分配所需的最少可执行命令数,以尽量减少用户执行的所有sudo操作都将记录在/var/log/sudo.log中,以帮助将来排除安全事件:[root@cloud~]#cat>>/etc/sudoers<%sudoALL=(root)ALL>Defaultslogfile=/var/log/sudo.log>EOF[root@cloud~]#visudo-c[root@cloud~]#echo"local2.debug/var/log/sudo.log">>/etc/syslog.conf[root@cloud~]#/etc/init.d/syslogrestart注意:“visudo-c”命令用于检查/etc/文件sudoers正确语法4.内核安全参数设置vim/etc/sysctl.conff#添加以下内容:#禁用响应数据包ping(可选,一般不推荐,因为不方便解决网络故障)net.ipv4.icmp_echo_ignore_all=1#禁用响应广播pingnet.ipv4.icmp_echo_ignore_broadcasts=1#启用syncookie,防止同步加载攻击,当等待syn的队列时溢出(syns数量超过设定值tcp_max_syn_backlog),启用cookie处理服务器在响应syn_ack之前,会首先请求客户端响应一个序列号,该序列号必须包含原始syn数据包文件。
信息,如果序列号不正确,服务器将忽略此连接syn。
net.ipv4.tcp_syncookies=1#设置sync_ack最大重传次数,默认值为5,范围0-255,重传5次的时间约为180snet.ipv4.tcp_synack_retries=3#keepalive时设置启用后,keepalive消息发送间隔默认为2小时(由于目前网络攻击等因素,利用此进行的攻击非常频繁。
如果双方建立连接,则不会发送任何数据或first/fin消息。
因此持续时间为2小时,得到空连接攻击,tcp_keepalive_time就是为了防止这种情况。
)net.ipv4.tcp_keepalive_time=1200保存退出后,运行“sysctl-p”命令加载5、内核性能参数设置(.可选)vim/etc/sysctl.conf#添加以下内容:#设置syn等待队列长度每台内存大于128的机器MB,默认值为1024。
当并发请求较大时,可以增大net.ipv4值。
tcp_max_syn_backlog#启用时间等待重用。
允许新的TCP连接重用time_waitsocketnet.ipv4.tcp_tw_reuse=1#启用TCP连接中time_waitsocket的快速回收net.ipv4.tcp_tw_recycle=1#TCP发送keeplive检测以确定连接已断开的次数。
默认值为9net.ipv4.tcp_keepalive_probes=5#指定发送探测消息的频率将此值乘以tcp_keepalive_probes即可得到从探测开始到连接被丢弃所需的时间。
默认值为75,这意味着空闲连接将在大约11分钟后被删除。
(对于普通应用程序,这个值有点太高了,可以根据需要减小。
特别是对于Web服务器,需要减小该值。
15是比较合适的值)net.ipv4.tcp_keepalive_intvl=15#表示系统维护TIME_WAIT套接字的最大数量,如果超过这个数量,TIME_WAIT套接字将立即被清除,并发出警告消息。
默认值为180000,改为5000。
对于Squid服务器来说,该参数可以控制TIME_WAIT套接字的最大数量,防止Squid服务器被大量TIME_WAIT套接字拖死。
net.ipv4.tcp_max_tw_buckets=5000#外部连接的端口范围。
默认值很小:32768~61000,修改为1024~65000net.ipv4.ip_local_port_range=102465000保存退出后,运行“sysctl-p”命令将以上设置加载到内核中并立即生效。

江苏省专转本技能六:Linux配置与管理(CentOS7)2

一、考察内容1Linux安装(CentOS7)1.1安装、启动和关闭Linux系统。
1.2本地登录和远程登录。
2、Linux安装、启动、关闭Linux系统(一)Linux安装:CentOS7安装教程(超详细实用版)(二)Linux启动和关闭①通过虚拟机启动,通过考试的概率很低②之后booting关闭并重新启动。
关机:执行“shutdown-hnow”命令重启:执行“rebo​​ot”命令三、本地登录和远程登录(1)本地登录①普通用户登录:输入“~$”②管理员用户(Root)登录:输入“~#”就可以了:③普通用户切换到管理员用户:使用命令“su-”,然后输入管理员密码④管理员用户切换到普通用户:使用命令“exit”,返回普通用户登录界面⑤查看系统所有用户:使用命令“cat/etc/passwd”⑥查看当前用户:使用命令“whoami”(2)远程登录使用Xshell、putty等工具远程登录①查看centos7的IP是多少②打开远程登录工具,这里以PUTTY为例③CentOS7启用SSH远程登录①打开sshd_config配置文件②设置第17行之前的数字,38、65去掉#,保存退出③启动ssh服务:执行“systemctlstartsshd”命令

centos怎么退出到到电脑

1.退出使用CentOS的计算机CentOS是一个基于Linux的操作系统。
退出计算机意味着您将离开CentOS并返回到计算机的主操作系统。
要退出CentOS,只需按Ctrl+Alt+Delete组合键,在弹出的选项菜单中选择“退出”或“关机”即可。
系统将采取适当的操作并将您返回到主操作系统桌面。
2.通过命令行退出计算机。
除了使用Ctrl+Alt+Delete组合键之外,还可以通过命令行退出CentOS,返回计算机的主操作系统。
首先,打开终端或命令行窗口。
然后,输入命令“exit”或“logout”并按Enter键。
系统将结束当前登录会话并返回到计算机的主操作系统。
3.通过虚拟化软件退出计算机如果您使用虚拟化软件在计算机上运行CentOS,退出计算机很容易。
虚拟化软件通常提供“关机”或“退出”功能,只需点击相应按钮即可退出CentOS虚拟机。
这将关闭虚拟机并返回到计算机的主操作系统,从而将您恢复到主机桌面。
请记住,在退出CentOS之前,请确保保存并关闭所有正在运行的应用程序和文件,以避免丢失数据。

CentOS怎样开启关闭系统服务

CentOS使用systemd服务管理器来管理服务。
1、systemd服务管理程序简介:systemctl是集成了前面的service和chkconfig的功能的主要工具。
它允许您永久或仅针对当前会话启用/禁用服务。
systemctl可以列出正在运行的服务的状态:systemd-cgls以树形形式列出正在运行的进程,并且可以递归地显示控制组的内容。
2.启动/停止、启用/禁用服务:systemctlstartpostfix.service。
重新启动服务:systemctlstatuspostfix.service启动。
服务:systemctlenablepostfix.service在启动时禁用服务:systemctldisablepostfix.service检查服务是否在启动时启动:systemctlis-enabledpostfix.service;echo$?检查启动的服务列表:systemctllist-unit-files|grepenabled