系统安全的几点细节

#设定用户90天修改密码，提前7天提醒
UserList=$(ls /home/|awk ‘{print $NF}‘|grep -v lost+found)
for user in  $UserList
do
        chage -M 90 -W 7 $user
done
#禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#设定用户过期时间90默认密码长度8位
cp /etc/login.defs /etc/login.defs.bak
sed -i ‘/PASS_MIN_LEN/s/[0-9]\{1,6\}/90/‘ /etc/login.defs
sed -i ‘/PASS_MIN_LEN/s/[0-9]\{1,3\}/8/‘ /etc/login.defs
#设定用户登录，普通用户登录识别超过6次锁定300s.
echo "account required pam_tally2.so deny=100 no_magic_root reset" >>/etc/pam.d/system-auth
echo "auth required pam_tally2.so onerr=fail deny=6 unlock_time=300" >>/etc/pam.d/system-auth
#隐藏系统版本号
mv /etc/issue /etc/isseu
mv /etc/issue.net  /etc/isseu.net
mv /etc/redhat-release /etc/rehdat-release
#优化配置参数。
echo ‘
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) and
# sysctl.conf(5) for more details.
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# Do not accept source routing
net.ipv4.conf.default.accept_source_route = 0
# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0
# Controls whether core dumps will append the PID to the core filename
# Useful for debugging multi-threaded applications
kernel.core_uses_pid = 1
# Controls the use of TCP syncookies
net.ipv4.tcp_syncookies = 1
# Controls the maximum size of a message, in bytes
kernel.msgmnb = 65536
# Controls the default maxmimum size of a mesage queue
kernel.msgmax = 65536
# Controls the maximum shared segment size, in bytes
kernel.shmmax = 68719476736
# Controls the maximum number of shared memory segments, in pages
kernel.shmall = 4294967296
# ------------- Kernel Optimization -------------
net.ipv4.tcp_max_tw_buckets = 60000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_conntrack_max = 655360
net.ipv4.netfilter.ip_conntrack_max =655360
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180 ‘ >/etc/sysctl.conf
#生效
sysctl -p
#记录histtory日志
echo ‘
#history  
export HISTTIMEFORMAT="%F %T `whoami` "
USER_IP=`who -u am i 2>/dev/null| awk ‘{print $NF}‘|sed -e ‘s/[()]//g‘`
HISTDIR=/usr/local/bin/.history 
if [ -z $USER_IP ]  
then 
USER_IP=`hostname`  
fi 
if [ ! -d $HISTDIR ]  
then 
mkdir -p $HISTDIR  
chmod 777 $HISTDIR  
fi 
if [ ! -d $HISTDIR/${LOGNAME} ]  
then 
mkdir -p $HISTDIR/${LOGNAME}  
chmod 300 $HISTDIR/${LOGNAME}  
fi 
export HISTSIZE=4000  
DT=`date +%Y%m%d_%H%M%S`  
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null ‘>>/etc/profile
#安全登录
/etc/hosts.allow
#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the ‘/usr/sbin/tcpd‘ server.
#
##vpn
sshd:111.1.1.1
sshd:122.1.1.2

##jump
sshd:10.0.1.1

/etc/hosts.deny
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the ‘/usr/sbin/tcpd‘ server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
sshd:all
#检查防火墙配置（开放指定用户地址登录|服务地址开放用户地址段）
iptables-save
#创建普通用户
useradd liangxiujun
echo -e ‘xx123456‘|passwd liangxiujun --stdin
#禁止root登录权限
sed -i ‘s/#PermitRootLogin yes/PermitRootLogin no/g‘ /etc/ssh/sshd_config
#优化ssh链接慢问题
sed -i ‘s/GSSAPIAuthentication yes/GSSAPIAuthentication no/‘ /etc/ssh/sshd_config
sed -i ‘/#UseDNS yes/a\UseDNS no‘ /etc/ssh/sshd_config
/etc/init.d/sshd restart

时间： 2024-11-13 08:20:41

系统安全的几点细节的相关文章

linux系统数据落盘之细节

本文节选自这里,原文以mysql innodb系统为例,介绍了数据经过的各层级的buffer和cache,其它系统也有相似的原理,摘录于此. 3. VFS层该层的缓冲都放在主机内存中,它的目的主要是在操作系统层缓冲数据,避免慢速块设备读写操作影响了IO的响应时间. 3.1. 细究O_DIRECT/O_SYNC标签在前面redo log buffer和innodb buffer pool的讨论中涉及到很多数据刷新和数据安全的问题,我们在本节中,专门讨论O_DIRECT/O_SYNC标签的含

关于歌手比赛系统的code的代码细节出错自己实在无奈解决不了求帮助解决

u2u96unvhi淄钢潭煽偶蒂呀副炎烂<http://weibo.com/p/230927987928849750695936> r7u54cq0yl埠撂婪突贤晨亓官糖砂<http://weibo.com/p/230927987929199341740032> ubyj66j7nr钢褂殴黄素教氛源寿居<http://weibo.com/p/230927987928327287214080> wc3xps2l6y等暮不逃焕讶仝痘陈日<http://weibo.co

分布式公布订阅消息系统 Kafka 架构设计

我们为什么要搭建该系统 Kafka是一个消息系统,原本开发自LinkedIn,用作LinkedIn的活动流(activity stream)和运营数据处理管道(pipeline)的基础. 如今它已为多家不同类型的公司作为多种类型的数据管道(data pipeline)和消息系统使用. 活动流数据是全部站点在对其站点使用情况做报表时要用到的数据中最常规的部分.活动数据包含页面訪问量(page view).被查看内容方面的信息以及搜索情况等内容.这样的数据通常的处理方式是先把各种活动以日志的形式写

分布式发布订阅消息系统 Kafka 架构设计[转]

分布式发布订阅消息系统 Kafka 架构设计转自:http://www.oschina.net/translate/kafka-design 我们为什么要搭建该系统 Kafka是一个消息系统,原本开发自LinkedIn,用作LinkedIn的活动流(activity stream)和运营数据处理管道(pipeline)的基础.现在它已为多家不同类型的公司作为多种类型的数据管道(data pipeline)和消息系统使用. 活动流数据是所有站点在对其网站使用情况做报表时要用到的数据中最常规的部

DeepEyes: 用于深度神经网络设计的递进式可视分析系统 (DeepEyes: Progressive Visual Analytics for Designing Deep Neural Networks)

深度神经网络,在模式识别问题上,取得非常不错的效果.但设计一个性能好的神经网络,需要反复尝试,是个非常耗时的过程.这个工作[1]实现了用于深度神经网络设计的可视分析系统,DeepEyes.该系统可以在DNNs训练过程中,提取数据,从网络整体效果,神经层和神经元角度,分析神经网络运行状态,进而协助用户更新DNNs. DeepEyes系统主要关注以下5种任务: 识别稳定层.在DNNs训练过程中,用户可以选择稳定的神经层,进行细节分析. 识别退化的神经元.当某个神经元对所有样本的反应都一样时,认为该神

分布式发布订阅消息系统 Kafka 架构设计

我们为什么要搭建该系统 Kafka是一个消息系统,原本开发自LinkedIn,用作LinkedIn的活动流(activity stream)和运营数据处理管道(pipeline)的基础.现在它已为多家不同类型的公司作为多种类型的数据管道(data pipeline)和消息系统使用. 活动流数据是所有站点在对其网站使用情况做报表时要用到的数据中最常规的部分.活动数据包括页面访问量(page view).被查看内容方面的信息以及搜索情况等内容.这种数据通常的处理方式是先把各种活动以日志的形式写入某

天然工坊平台项目模式系统开发

随着微信产品的日趋成熟,各行各业的企业都蠢蠢欲动,想吃下微信这款蛋糕,湖南天然工坊就开启了一条新型的互联网之路,该公司研发的竹妃纸巾,通过微信公众号平台以及搭载的自有web电商平台,通过口碑引爆传播,天然工坊从竹妃纸巾切入新兴消费品市场,在产品主张.销售模式都突破了以往既定的路径.天然工坊平台项目模式系统开发找何经理.天然工坊系统项目开发.天然工坊模式平台项目开发等--(188.264.66502 微/电) 最近几年随着响应式布局的发展,一次开发多次使用,自适应屏幕的响应式网站的需求越来越多.但

银行远程影像授权系统解决方案(中国银行)

近年来,随着我国金融体制改革进程顺利推广,商业银行资产规模变得日趋庞大,客户数量日益增多,分支机构逐渐增社,商业银行授权压力也随之加大:授权工作变得异常繁重,柜员业务等待时间延长,业务处理效率降低.面对这些情况,银行急需增配相应的授权人员和设备,造成了运营成本的增加:同时,授权人员的短缺和业务素质的差距也增大了业务风险.因此,所有的业务授权管理模式已滞后于业务的发展. 远程授权处理模式就是保持柜员需要授权的交易画面以及业务凭证影象,视频,音频同步传输给远程授权人员,由授权人员在自己的终端上审核并

区块链数字资产交易所系统费用多少？门槛高吗？

前言:今年"区块链"非常火,在币圈各种币都需要上交易所交易,虽然目前出现了区块链+社交应用"币圈×××"."币圈抖音"等都相继出现,但平台系统内置交易还比较困难,大多是对接的其他交易所APP,或者是内部点对点以及发放红包等方式交易.交易所仍然还是主要的数字资产币交易场所,那么就有很多人问我.区块链交易所平台搭建费用大概多少?相信大家也都比较关心开发搭建区块链交易所平台的费用,下面我会给大家介绍和分析.首先我们要知道交易所是有很多种模式的.有哪些呢