一、端口与服务关闭不必要端口Linux系统共有65536个端口，以1024作为分割点。1~1023端口，只有root用户才能启用。1024+的端口，不受root用户控制，留给客户端软件使用的。[roo

一、端口与服务

关闭不必要端口

Linux系统共有65536个端口，以1024作为分割点。

1~1023端口，只有root用户才能启用。

1024+的端口，不受root用户控制，留给客户端软件使用的。

[root@ balckfox ~]# netstat -tunl #　查看端口监听状态[root@ balckfox ~]# netstat -tun #　查看端口已联机的连接状态

关闭不必要服务

系统运行必须服务：

# 查看服务开启或关闭[root@ balckfox ~]# chkconfig --list sendmail # centos7前[root@ balckfox ~]# systemctl status sshd # centos7后[root@ balckfox ~]# chkconfig --level 35 sendmail off # 关闭运行级别3、5下的sendmail服务（centos7前）[root@ balckfox ~]# systemctl disable sshd.service # centos7后

二、密码登陆安全

推荐使用秘钥认证方式登陆系统

使用xshell生成秘钥
选择非对称加密：DSA/RSA

上传Linux服务端

[root@ balckfox ~]# mkdir /root/.ssh [root@ balckfox ~]# chmod 700 /root/.ssh# ... 上传pub后缀的秘钥[root@ balckfox ~]# ssh-keygen -i -f [name].pub >> /root/.ssh/authorized_keys # 导入pub文件

xshell设置秘钥登陆

移除密码登陆

[root@ balckfox ~]# vi /etc/ssh/sshd_config# Protocol 2 　# 仅允许使用SSH2 # PubkeyAuthentication yes # 启用PublicKey认证 # AuthorizedKeysFile .ssh/authorized_keys # PublicKey文件路径# PasswordAuthentication no # 不使用密码认证[root@ balckfox ~]# systemctl restart sshd.service

三、其他一些简单配置

[root@ balckfox ~]# echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_all # 禁止ping请求，默认0# 添加上面一行命令到/etc/rc.d/rc.local文件中，每次系统重启后自动运行[root@ balckfox ~]# vi /etc/profile # 限制Shell记录历史HISTSIZE=30，默认1000[root@ balckfox ~]# userdel adm #　删除不必要用户adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher[root@ balckfox ~]# groupdel adm #　删除不必要的组adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers　# 关闭SELinux(内核强制访问控制安全系统)[root@ balckfox ~]# getenforce # 查看是否启用[root@ balckfox ~]# vi /etc/sysconfig/selinux # SELINUX=enforcing 改为SELINUX=disabled,重启系统。# 设定tcp_wrappers防火墙（第二层，第一层iptables）# 仅涉及/etc/hosts.allow 和/etc/hosts.deny两个配置# ALL:ALL EXCEPT 192.168.60.132 # 除指定ip外，任何机器执行服务时会被允许或拒绝。格式：service:host(s) [:action]# 能否使用取决于该服务是否使用libwrapped库[root@ balckfox ~]# rpm -q tcp_wrappers # 检查是否已安装，同 rpm -qa| grep tcp # firewall-cmd 防火墙，centos7 默认安装[root@ balckfox ~]# firewall-cmd --add-service=ftp # 暂时开放服务[root@ balckfox ~]# firewall-cmd --add-service=ftp --permanent # 永久开放[root@ balckfox ~]# firewall-cmd --remove-service=ftp --permanent # 永久关闭[root@ balckfox ~]# systemctl restart firewalld[root@ balckfox ~]# iptables -L -n | grep 21 # 查看是否生效[root@ balckfox ~]# firewall-cmd --state # 查看状态[root@ balckfox ~]# firewall-cmd --list-all # 查看全部[root@ balckfox ~]# firewall-cmd --get-service # 在firewalld的服务名称[root@ balckfox ~]# firewall-cmd --query-service ftp # 查看启用状态[root@ balckfox ~]# firewall-cmd --add-port=3128/tcp # 添加开放端口

四、备份linux

Linux备份文件可分为：系统级配置文件和用户级配置文件

系统级配置，如：/etc/目录、/home/目录、/boot/目录、/root/目录等。
用户级配置，如：/usr/local/目录、/var/www/目录、/etc/目录等。

常用备份工具：tar/cpio/rsync

不常用备份脚本：

#!/bin/sh# 将系统与用户的备份数据分别保存在两个不同的本地磁盘disk1和disk2中，# 且保留最近三天的数据，三天前的数据自动删除。BAKDATE='date +%y%m%d' DATA3='date -d "3 days ago" +%y%m%d'osdata=/disk1userdata=/disk2 echo "backup OS data starting"tar -zcvf /$osdata/etc.data/etc_$BAKDATE.tar.gz /etc tar -zcvf /$osdata/boot.data/boot_$BAKDATE.tar.gz /boottar -zcvf /$osdata/home.data/home_$ BAKDATE.tar.gz /hometar -zcvf /$osdata/root.data/root_$ BAKDATE.tar.gz /root tar -zcvf /$userdata/usr_data/usrlocal_$BAKDATE.tar.gz /usr/localtar -zcvf /$userdata/var_www/www_$BAKDATE.tar.gz /var/wwwcp –r /$osdata/* 　/$userdata cp –r /$userdata/* /$osdata echo "Backup OS data complete!"echo "delete OS data 3 days ago"rm -rf /$osdata/etc.data/etc_$DATA3.tar.gz rm –rf /$osdata/boot.data/boot_$DATA3.tar.gz rm –rf /$osdata/home.data/home_$DATA3.tar.gz rm –rf /$osdata/root.data/root_$ DATA3.tar.gzrm –rf /$osdata/usr_data/usrlocal_$DATA3.tar.gz rm –rf /$osdata/var_www/www_$DATA3.tar.gzrm -rf /$userdata/etc.data/etc_$DATA3.tar.gzrm –rf /$userdata/boot.data/boot_$DATA3.tar.gzrm –rf /$userdata/home.data/home_$DATA3.tar.gzrm –rf /$userdata/root.data/root_$ DATA3.tar.gzrm –rf /$userdata/usr_data/usrlocal_$DATA3.tar.gzrm –rf /$userdata/var_www/www_$DATA3.tar.gzecho "delete cws ok!"

使用rsync同步数据：

博主太懒了，不肯测试，发个参考算了：http://man.linuxde.net/rsync

目录CONTENT

Linux基本安全处理