一、不用root用戶登錄,以普通用戶通過sudo管理授權
普通用戶涉及到超級權限的運用,管理員如果想讓該普通用戶通過su來切換到root獲得超級權限,就必須把root權限密碼告訴用戶。但是如果普通用戶有了root權限,可以通過root權限做任何事,這會對系統的安全造成一定的威脅
sudo是一種權限管理機制,管理員可以授權於一些普通用戶去執行一些root執行的操作,而該普通用戶而不需要知道root的密碼,它依賴於/etc/sudoers這個文件,可以授權於某個普通用戶在主機上能夠以管理員的身份執行什麼樣的管理命令,而且是有限的。這個文件相當於就是一個授權表
實例:visudo(或vi /etc/sudoers)
語法
user MACHINE=COMMANDS
user想要分配的用戶
MACHINE希望用戶管理的機器
COMMANDS希望用戶擁有哪些權限(權限以命令爲單位)
root ALL=(ALL) ALL
括號裏表示允許該用戶以哪個用戶的權限去做事
(1)
此時的Ian普通用戶就相當於root了。
但普通用戶Ian在執行root操作時,必須得在命令前面加sudo,不然還是不能執行的。執行root操作時,需要的密碼也不再是root超級用戶的密碼,而是普通用戶的密碼。
(2)
[root@muban ~]# which useradd #which 查看命令所在路徑 /usr/sbin/useradd
二、更改ssh服務的遠程連接端口,禁止root用戶遠程登錄。
linux遠程連接默認端口port 22
配置文件
三、定時自動更新服務器時間,使其與互聯網時間同步
四、配置yum更新源,從國內更新源下載安裝軟件包
五、關閉selinux及iptables(如果有外網ip開啓)
六、調整文件描述符的數量,進程及文件的打開都會消耗文件描述符
七、定時自動清理郵件目錄垃圾文件,防止inodes節點佔滿
八、精簡併保留必要的開機自啓動服務
九、linux內核參數優化/etc/sysctl.conf , 然後執行sysctl -p 生效。
十、更改字符集使其支持中文,但還是建議使用英文,防止出現亂碼問題
十一、鎖定關鍵系統文件,防止提權篡改
十二、清空/etc/issue /etc/issue.net ,去除系統及內核版本登陸前的屏幕顯示
十三、清除多餘的系統賬號
十四、爲grub菜單加密