Centos7基础优化操作项

1.基础优化操作项：更新yum源信息
第一个：就近使用yum源地址，安装软件更快。
curl -s -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
第二个：安装RHEL/CentOS官方源不提供的软件包
curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo

2.安全优化:关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发流量的服务器可能无法开启）

# 关闭selinux
sed -i 's#SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
grep SELINUX=disabled /etc/selinux/config 
setenforce 0
getenforce

3.关闭firewalld防火墙服务

systemctl stop firewalld
systemctl disable firewalld
systemctl disable firewalld

4.基础优化操作项：设置普通用户提权操作（可选优化）
# 提权smile可以利用sudo

useradd smile
echo 123456|passwd --stdin smile
cp /etc/sudoers /etc/sudoers.ori
echo "smile ALL=(ALL) NOPASSWD: ALL " >>/etc/sudoers
tail -1 /etc/sudoers
visudo -c

5.设置系统中文UTF8字符集

[root@smile ~]# cat /etc/locale.conf
LANG="en_US.UTF-8"
修改命令如下：
cp /etc/locale.conf /etc/locale.conf.ori
echo 'LANG="zh_CN.UTF-8"' >/etc/locale.conf 
source /etc/locale.conf 
echo $LANG

6.基础优化操作项：时间同步设置
# 定时更新服务器时间，使其和互联网时间同步。

yum install ntpdate -y
/usr/sbin/ntpdate ntp3.aliyun.com

echo '#crond-id-001:time sync' >>/var/spool/cron/root
echo "*/5 * * * * /usr/sbin/ntpdate ntp3.aliyun.com >/dev/null 2>&1">>/var/spool/cron/root
crontab -l

7.基础优化操作项：提升命令行操作安全性（可选优化）
# 超时时间、操作记录数更改（可选配置）

echo 'export TMOUT=300' >>/etc/profile
echo 'export HISTSIZE=500' >>/etc/profile
echo 'export HISTFILESIZE=5' >>/etc/profile
tail -3 /etc/profile
. /etc/profile

8.基础优化操作项：加大文件描述符

# 实例演示：加大文件描述
echo '* - nofile 65535 ' >>/etc/security/limits.conf 
tail -1 /etc/security/limits.conf
ulimit -SHn 65535 
ulimit -n    #<==命令方式查看配置结果

9.基础优化操作项：优化系统内核

cat >>/etc/sysctl.conf<<EOF
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
#以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.wmem_max = 16777216
net.core.rmem_max = 16777216
EOF
sysctl -p

11.ssh服务配置优化：
####Start by smile#2019-04-26###
Port 52113 #使用大于10000的端口
PermitRootLogin no #禁止root远程登录，可以su - root，C7需要改yes为no
PermitEmptyPasswords no #禁止空密码登录，C7默认就是

UseDNS no #不使用dns解析,yes改为no
GSSAPIAuthentication no #禁止连接慢的解决配置
ListenAddress 172.16.1.61:52113 #只允许内网IP连接SSH（172.16.1.0）
####End by smile#2019-04-26###

最终配置为：
####Start by smile#2019-04-26###
PermitEmptyPasswords no
UseDNS no
GSSAPIAuthentication no
#ListenAddress 172.16.1.7:22
####End by smile#2019-04-26###

12.基础优化操作项：安装系统常用软件
CentOS6和CentOS7都要安装的企业运维常用基础工具包

yum install tree nmap dos2unix lrzsz nc lsof wget tcpdump htop iftop iotop sysstat nethogs -y

CentOS7要安装的企业运维常用基础工具包

yum install psmisc net-tools bash-completion vim-enhanced -y

11.打补丁并升级有已知漏洞的软件。

yum update

12.锁定关键系统文件,如/etc/passwd,/etc/shadow,/etc/group,/etc/gshadow,/etc/inittab，处理以上内容后吧chattr、lsattr改名为oldboy，转移走，这样就安全多了。

13.清空/etc/isuue、/etc/issue.net，去除系统及内核版本登录前的屏幕显示。

1 >/etc/issue
2 >/etc/issue.net
3 cat /etc/issue
4 cat /etc/issue.net