CentOS 是一个构建在 Red Hat Enterprise Linux (RHEL) 源代码上的 Linux 发行版,并且从二进制的角度100%兼容 RHEL 软件包,简单的说 RHEL上 可以运行的软件包在 CentOS 上不需要编译就可以直接安装运行。除了少量的版权信息外,CentOS 和 RHEL 基本上一样。CentOS 是免费的,并且有着 RHEL 的稳定,因此深受各大 hosting 服务商支持,几乎所有 Linux VPS 都支持 CentOS。\n\n一般来说如果 VPS 配置较高我会选 CentOS,配置低的话就选 Debian,当然这是个人偏好,大多数 Linux VPS 服务商也会提供 Gentoo,不过每次安装程序,升级都要编译会消耗很多资源,耗时,而且性能没有明显提高,不推荐给配置低的 VPS。\n\nVPS 服务商一般给的操作系统版本都是最小安装版本,或者优化过的版本。每个 VPS 服务商提供的版本都可能不同,安装 CentOS 的系统最低要求至少 64MB 内存(纯文字界面),1GB 硬盘空间。\n
安装和升级系统
\n1、登录 VPS 安装 CentOS 5。\n\n2、安装完毕后马上升级整个系统。\n
yum update
\n有了一个干净的系统以后,剩下来就是加强和优化 Linux。\n
删除不必要的软件包,服务,用户,文件等
\n3、删除不需要的软件包。\n
yum remove Deployment_Guide-en-US finger cups-libs cups\nbluez-libs desktop-file-utils ppp rp-pppoe wireless-tools irda-utils\nnfs-utils nfs-utils-lib rdate fetchmail eject ksh mkbootdisk mtools\nsyslinux tcsh startup-notification talk apmd rmt dump setserial portmap yp-tools\nypbind
\n
rpm -qa (列出所有安装了的包)\nrpm -e package (删除某个包)\nrpm -qi package (查询某个包)\nrpm -qf command (根据程序查询包的名字)\nrpm -ql package (查询某个包所有的安装文件)
\n4、删除一些不安全的软件包,并且用相应安全的软件替代,如: ssh/sftp/scp 替代 telnet, rsh, ftp, rcp\n注意系统需要一个默认的 MAT,删除 Sendmail MAT 之前必须先安装一个,如: Postfix。\n
yum remove telnet rsh ftp rcp\nyum install postfix\nyum remove sendmail\n/sbin/chkconfig postfix off
\n5、停掉并且删除一些不需要的 xinetd 服务。\n
/sbin/service xinetd stop; /sbin/chkconfig xinetd off\nrm -rf /etc/xinetd.d
\n6、禁止一些 /etc/init.d/ 下面不需要的服务,更多信息请参考 Understanding your (Red Hat Enterprise Linux) daemons, by Len DiMaggio 和 Hardening Tips For Default Installation of Red Hat Enterprise Linux 5.\n
/sbin/chkconfig --list\n\nfor a in acpid anacron apmd atd autofs avahi-daemon bluetooth cpuspeed \ncups firstboot gpm haldaemon hidd ip6tables irqbalance isdn kdump \nkudzumcstrans messagebus microcode_ctl netfs nfs nfslock pcscd portmap \nreadahead_early readahead_later rpcgssd rpcidmapd sendmail \nsetroublesshoot smartd xfs xinetd yum-updatesd; \ndo /sbin/chkconfig $a off; done
\n7、重启系统后,检查一下正在运行中的服务,看看是不是都是必须的。\n
netstat -an | grep LISTEN\nnetstat -atunp
\n8、为了安全起见,删除一些不需要的用户。\n
cp /etc/passwd /etc/passwd.sav\ncp /etc/group /etc/group.sav\nfor a in adm lp sync news uucp operator games gopher mailnull nscd rpc;\ndo /usr/sbin/userdel $a -f; done\nfor a in lp news uucp games gopher users floopy nscd rpc rpcuser nfsnobody;\ndo /usr/sbin/groupdel $a -f; done
\n
加固和优化系统
\n9、打开防火墙。\n
system-config-securitylevel-tui
\n10、检查和禁止全局可写的 SUID 文件。\n
find / -perm +4000 -user root -type f -print\nfind / -perm +2000 -group root -type f -print\nchmod u-s /full/path/to/filename\nchmod g-s /full/path/to/filename
\n11、只允许 root 在一个 terminal 上登录,如: tty1。\n
vi /etc/securetty
\n12、避免其他用户按 Ctrl+Alt+Del 重启。\n
vi /etc/inittab
\n注释掉\n#ca::ctrlaltdel:/sbin/shutdown -t3 -r now\n\n13、/etc/security/console.apps/ 下面有 root 用户登录 console 后可以运行的程序,全部删除。\nrm -f /etc/security/console.apps/*\n\n14、删除一些登录信息。\n
vi /etc/issue (warning at login prompt)\nvi /etc/motd (warning after successful login)
\n15、只运行一个 virtual terminal,如果是 VPS 的话,自己不可能物理登录终端,可以全部禁止掉。\n
vi /etc/inittab\n# Run gettys in standard runlevels\n#1:2345:respawn:/sbin/mingetty tty1\n#2:2345:respawn:/sbin/mingetty tty2\n...
\n16、加固 SSH 安全。\n
vi /etc/ssh/sshd_config\nPort 2222\nProtocol 2\nPermitRootLogin no\nPermitEmptyPasswords no\nX11Forwarding no\nUsePAM no\nUseDNS no\nAllowUsers vpsee\nBanner /etc/issue
\n17、安装 Bastille 软件包帮助加固。\n
rpm -Uvh perl-Curses-1.15-1.el5.rf.i386.rpm\nrpm -ivh Bastille-3.0.9-1.0.noarch.rpm\n/usr/sbin/bastille -c
\n18、优化 Linux 内核。\n
vi /etc/sysctl.conf\nnet.ipv4.conf.all.send_redirects = 0\nnet.ipv4.conf.all.accept_redirects = 0
\n
定制 Linux 内核
\n19、定制,编译,安装 Linux 内核。\n
yum install rpm-build ncurses ncurses-devel\nrpm -ivh kernel-2.6.18-8.1.1.el5.src.rpm\ncd /usr/src/redhat/SPECS\nrpmbuild -bp --target i686 kernel-2.6.spec\ncd /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686\nsed -i 's/EXTRAVERSION = -prep/EXTRAVERSION = -8.1.1.custom.el5/' Makefile\nmake menuconfig\nmake rpm\ncd /usr/src/redhat/RPMS/i686\nrpm -ivh kernel-2.6.18prep-1.rpm\n/sbin/mkinitrd /boot/initrd-2.6.18-prep.img 2.6.18-prep (2.6.18-prep -> /lib/modules)\nvi /boot/grub/menu.1st
\n20、修改 iptables,只允许 ssh,http 和 https 端口打开。\n
/sbin/iptables -F\n/sbin/iptables -A INPUT -i lo -j ACCEPT\n/sbin/iptables -A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT\n/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n/sbin/iptables -A OUTPUT -j ACCEPT\n/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT\n/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT\n/sbin/iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT\n/sbin/iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT\n/sbin/iptables -A INPUT -j REJECT\n/sbin/iptables -A FORWARD -j REJECT
\n然后查看一下 iptables:\n
iptables -L