service iptables start #启动防火墙
备注:-s 192.168.1.1/24 表示只允许这个ip段访问3306端口,可以根据需求修改
5、关闭SELINUX
vi /etc/selinux/config
#SELINUX=enforcing #注释掉
#SELINUXTYPE=targeted #注释掉
SELINUX=disabled #增加
:wq! #保存退出
setenforce 0 #使配置立即生效
6、修改ssh默认端口
把ssh默认远程连接端口22修改为222
vi /etc/ssh/sshd_config
在端口#Port 22下面增加Port 222
:wq! #保存退出
vi /etc/ssh/ssh_config
在端口#Port 22下面增加Port 222
:wq! #保存退出
/etc/init.d/sshd restart #重启sshd服务
vi /etc/sysconfig/iptables #编辑
把22端口修改为222
:wq! #保存退出
service iptables restart #重启防火墙使配置生效
7、临时目录/tmp、/var/tmp、/dev/shm安全加固
7.1、/tmp目录
7.1.1、如果/tmp是独立分区,修改/tmp对应的挂载属性,加上 nosuid, noexec, nodev 选项
vi /etc/fstab #编辑修改
LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0
:wq! #保存退出
参数说明:
nosuid、noexec、nodev:不允许任何suid程序,不允许执行任何脚本,不存在设备文件
mount -o remount /tmp
mount -a #重新挂载分区
7.1.2、如果/tmp是根目录下的一个目录,可以建一个loopback文件系统挂载/tmp
dd if=/dev/zero of=/mnt/tmpfs bs=1M count=5120
mke2fs -j /mnt/tmpfs
cp -ap /tmp /tmp.old
mount -o loop,noexec,nosuid,rw /mnt/tmpfs /tmp
chmod 1777 /tmp
mv -f /tmp.old/* /tmp/
rm -rf /tmp.old
vi /etc/fstab #编辑修改
/mnt/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
:wq! #保存退出
mount -o remount /tmp
mount -a #重新挂载分区
7.2、/var/tmp目录
7.2.1、如果/var/tmp是独立分区,修改/var/tmp对应的挂载属性,加上 nosuid, noexec, nodev 选项
vi /etc/fstab #编辑修改
LABEL=/var/tmp /var/tmp ext3 rw,nosuid,noexec,nodev 0 0
:wq! #保存退出
7.2.2、如果/var/tmp是/var分区下的一个目录,把/var/tmp目录下的数据移动到/tmp分区,在/var下做一个指向/tmp的软链接
cp -ap /var/tmp/* /tmp/
rm -rf /var/tmp
ln -sf /tmp /var/tmp
7.3、/dev/shm目录
修改/dev/shm的挂载属性
vi /etc/fstab #编辑修改
tmpfs /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0
:wq! #保存退出
mount -o remount /dev/shm
mount -a #重新挂载分区
五、修改主机名称
这里设置主机名为:www.osyunwei.com
1、hostname “www.osyunwei.com” #设置主机名为www.osyunwei.com
2、
vi /etc/sysconfig/network #编辑配置文件CentOS 5.x CentOS 6.x
HOSTNAME= www.osyunwei.com #修改localhost.localdomain为www.osyunwei.com
:wq! #保存退出
vi /etc/hostname #编辑配置文件CentOS 7.x
