CentOS 安装后操作

andyyuduo

　　一、关闭selinux功能
　　1、SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。
　　** SELinux有三种状态： **
　　enforcing - SELinux security policy is enforced.
　　permissive - SELinux prints warnings instead of enforcing.
　　disabled - No SELinux policy is loaded.
　　配置文件位置:/etc/selinux/config和/etc/sysconfig/selinux，只不过/etc/sysconfig/selinux是连接到/etc/selinux/config的

[iyunv@zhang-1 ~]# ls -l /etc/sysconfig/selinux

　　lrwxrwxrwx. 1 root root 17 Nov 17 16:28 /etc/sysconfig/selinux ../selinux/config
　　用sed命令修改配置文件，使其永久关闭
　　sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
　　注：修改完毕之后必须重启才可生效
　　查看状态

[iyunv@zhang ~]# getenforce

　　Disabled
　　使用命令暂时关闭selinux

[iyunv@zhang ~]# setenforce

　　usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

[iyunv@zhang ~]# setenforce 0

[iyunv@zhang ~]# getenforce

　　Permissive
二. 精简系统开机启动项
　　和Windows系统一样，在Linux服务器运行的过程中，也会有很多无用的软件服务默认就在运行，这些服务占用了很多系统资源，而且也带来了安全隐患，因此要关闭掉。
　　建议企业环境新装Linux系统之后必须自动开启的服务：

• 　　sshd 远程连接Linux服务器，，需要这个服务程序，必须开启，否则无法远程连接Linux服务器（必须开启）
  
• 　　rsyslog 是操作系统的一种机制，守护程序通常使用这些机制将各种信息写到各个系统日志文件（必须开启）
  
• 　　network 激活/关闭启动时的各个网口（必须）应考虑开启
  
• 　　crond 周期的运行用户调度的任务，配置更简单，有周期执行任务时，要开启
  

　　将来根据服务器的业务使用场景可以进行调整，所以调整就是增加，上面的四个服务中只能增加不能减少，关闭系统所有开机自启动服务的方法：
　　方法1：
[iyunv@zhang ~]# chkconfig --list|grep "3:on"|awk '{print $1}'|sed 's#^#chkconfig #g'|sed 's#$# off#g'|bash　　方法2：
[iyunv@zhang ~]# chkconfig --list|grep 3:on|awk '{print $1}'|sed -r 's#(.*)#chkconfig \1 off#g'|bash　　方法3：
[iyunv@zhang ~]# chkconfig --list|grep 3:on|grep -vE "crond|sshd|network|rsyslog" |awk '{print $1}'|sed -r 's#(.*)#chkconfig \1 off#g'|bash　　方法4：
[iyunv@zhang ~]# for name in `chkconfig --list|grep 3:on|grep -vE "crond|sshd|network|rsyslog" |awk '{print $1}'`; \
do chkconfig $name off; \
done　　方法5：
[iyunv@zhang ~]# for n in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $n off;done　　启动需要的服务
[iyunv@zhang ~]# for n in crond network rsyslog sshd ;do chkconfig --level 3 $n on;done　　检查开机自启动的服务器
[iyunv@zhang ~]# chkconfig --list|grep 3:on
crond 0:off 1:off 2:off 3:on 4:off 5:off 6:off
network 0:off 1:off 2:off 3:on 4:off 5:off 6:off
rsyslog 0:off 1:off 2:off 3:on 4:off 5:off 6:off
sshd 0:off 1:off 2:off 3:on 4:off 5:off 6:off三. 关闭iptables防火墙
[iyunv@zhang ~]# /etc/init.d/iptables stop
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]　　或者
[iyunv@zhang ~]# service iptables stop　　关闭开机自启动
[iyunv@zhang ~]# chkconfig iptables off　　检查
[iyunv@zhang ~]# /etc/init.d/iptables status
iptables: Firewall is not running.[iyunv@zhang ~]# chkconfig --list iptables
iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off四. Linux最小化原则
　　最小化原则：既多一事不如少一事，具体为：
　　1) 安装Linux系统最小化，既选包最小化，yum安装软件最小化；
　　2) 开机自启动程序服务最小化，既无用的服务不启动（少开一扇窗）
　　3) 操作命令最小化原则，rm –f test.txt,不用rm –rf test
　　4) 登陆Linux最小化，禁止root从远程终端登录，平时没有需求不用root，用普通用户登录。
　　5) 文件及目录的权限设置最小化。
　　6) 各种网络服务，系统配置参数合理，不要最大化。
五. 更改ssh服务端远程登录的配置
　　SSHD的配置文件在/etc/ssh/目录下
　　ssh_config：客户端
　　sshd_config：服务端
[iyunv@zhang ]# vim sshd_config　　修改的内容
Port 2222               #更改SSH远程连接的端口
PermitRootLogin no       #设置是否允许root通过ssh登录，这个选项从安全角度来讲应设成"no"。
PermitEmptyPasswords no  #设置是否允许用口令为空的帐号登录。
UseDNS no                #关闭UseDNS加速SSH登录
GSSAPIAuthentication no  #是否允许使用基于GSSAPI的用户认证.默认值为"no".仅用于SSH-2.
[iyunv@zhang ssh]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]　　当前连接不重启不会中断，占用的连接没断开不会断开
六. 通过sudo管理权限
　　让一个用户可以拥有原本他没有执行这个命令的权限，这个命令的权限可能是其他用户的，它可以用其他用户执行，用sudo执行的权限都是需要当前执行sudo用户的密码。
　　sudo 是一种程序，用于提升用户的权限，在linux中输入sodu就是调用这个程序提升权限，是一个命令解析器，sudo cd是错误的，因为cd是内置的，不是系统里面的，sudo可以运行系统带的命令，但无法用系统中一个软件中的命令
　　创建一个普通用户
[iyunv@zhang ~]# useradd zhang　　非交互式设置密码
[iyunv@zhang ~]# echo "123456"|passwd --stdin zhang
Changing password for user zhang.
passwd: all authentication tokens updated successfully.#把echo的输出通过—stdin参数传输为zhang这个用户的密码[iyunv@zhang ~]# su - zhang
[zhang@zhang~]$ whoami
zhang　　注：
　　1)超级管理员用户切换到普通用户不需要密码，普通用户切换普通用户需要密码，普通用户切换超级管理员用户也需要密码
　　2)普通用户的权限比较小，只能做基本的信息查看，无法更改
　　3)#超级管理员 $普通用户
[iyunv@zhang ~]# visudo
#在99行下面添加以下内容
zhang ALL=(ALL) ALL
#如果是命令使用下面的方式：AnSheng ALL=(ALL) /bin/touch（多个权限用“，”分开，ALL所有权限，NOPASSWD: ALL免密码）七.时间同步
　　CentOS系统时间同步的步骤如下：
　　新装的CentOS系统服务器可能设置了错误的,需要调整时区并调整时间.
　　如下是CentOS系统使用NTP来从一个时间服务器同步
　　注：需要有外网
　　yum  install  -y  ntpdate
　　cp /usr/share/zoneinfo/Asia/Shanghai  /etc/localtime
　　ntpdate us.pool.ntp.org
　　下面解析一下,第一句是把当前时区调整为上海就是+8区,想改其他时区也可以去看看/usr/share/zoneinfo目录;
　　然后第二句是利用ntpdate同步标准时间.
　　加入定时计划任务，每隔10分钟同步一下时钟
　　crontab -e
　　0-59/10 * * * * /usr/sbin/ntpdate us.pool.ntp.org | logger -t NTP
　　这样，我们就可以来解决在CentOS系统中时间不准确的问题了。
八. 隐藏Linux版本信息显示
>/etc/issue  或 cat /dev/null >etc/issue1[iyunv@zhang ~]# cat /etc/issueCentOS release 6.5 (Final)
Kernel \r on an \m
[iyunv@zhang ~]# >/etc/issue #清空/etc/issue
[iyunv@zhang ~]# cat /etc/issue
[iyunv@zhang ~]#　　也可以编辑/etc/motd文件，来隐藏真正的版本信息。
　　/etc/motd即messageoftoday（布告栏信息）。
　　每次用户登录时，/etc/motd文件的内容会显示在用户的终端。系统管理员可以在文件中编辑系统活动消息。

[iyunv@zhang ~]# vi /etc/motd

　　RHEL>　　
"/etc/motd" 2L, 39C written
保存重启即可