Linux系统调整与加固 linux加固手段

一、系统调优

1.内核参数优化

增大文件句柄：

fs.file-max = 65000

内核tcp参数优化：

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_window_scaling = 1

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

net.ipv4.tcp_rmem = 4096 87380 16777216

net.ipv4.tcp_wmem = 4096 87380 16777216

扩大随机端口范围：

net.ipv4.ip_local_port_range = 1024 65000

2.禁止ssh DNS解析

3.文件子系统调优

最大打开文件数 ulimit -n 20000

每用户自大进程 ulimit -u 4000

数据段长度 ulimit -d unlimited

最大内存大小 ulimit -m unlimited

堆栈大小 ulimit -s 10240

CPU事件 ulimit -t unlimited

虚拟内存 ulimit -v unlimited

二、安全加固

1.限制root远程登录，登录用oper用户，密码xxxx

2.账号口令安全设置 ：口令最长使用天数90天、最短使用0天、密码到期提前7天提醒、不存在空口令

3.账号口令强度设置：长度最少8位、并包括数字、小写字母、大写字母和特殊符号4类中至少2类

4.账号口令锁定策略：用户连续认证失败次数超过10次，锁定该用户使用的帐号，锁定时间120秒

5.限制root账号只能从tty01终端登录

6.默认umask值设置到027

7.限制重要目录和命令可执行权限

8.登陆超时时间180秒

9.日志审计：所有登陆事件都记录

10.禁止生成core dump

11.现在ssh登录范围(范围地址）

三、应用安全

1.可以考虑nginx不启动80端口，外网访问80端口，防火墙映射到内部非80端口

2.tomcat安全加固

3.等等

四、监控和告警

1.memchached可用性监控

2.tomcat可用性监控

3.nginx可用性监控

4.部署健康检查服务，引入第三方监控工具监控宝

5.等等