CentOS6.5サーバーのセキュリティ強化とパフォーマンスの最適化

1.ホスト名の設定
[root@localhost~]# vi /etc/sysconfig/network
HOSTNAME=arkgame.com
[root@localhost~]# hostname arkgame.com

2.SELinuxを無効にする
[root@localhost~]# vi /etc/selinux/config
SELINUX=disabled
[root@localhost~]# setenforce
[root@localhost~]# getenforce #selinux状態を調べる

3.ファイアウォールをクリーンアップ、ルールを設定
[root@localhost~]# iptables -F #ファイウォールルールをクリーンアップ
[root@localhost~]# iptables -L #ファイウォールルールを確認
[root@localhost~]# iptables -A INPUT -p tcp –dport 80 -j ACCEPT
[root@localhost~]# iptables -A INPUT -p tcp –dport 22 -j ACCEPT
[root@localhost~]# iptables -A INPUT -p tcp –dport 53 -j ACCEPT
[root@localhost~]# iptables -A INPUT -p udp –dport 53 -j ACCEPT
[root@localhost~]# iptables -A INPUT -p udp –dport 123 -j ACCEPT
[root@localhost~]# iptables -A INPUT -p icmp -j ACCEPT
[root@localhost~]# iptables -P INPUT DROP
[root@localhost~]# /etc/init.d/iptables save

 

4.通常のユーザと管理権限を追加

[root@localhost~]# useradd user
[root@localhost~]# echo “123456" | passwd –stdin user #パスワードを設定
[root@localhost~]# vi /etc/sudoers #visudoで開いて,ユーザのすべての権限を追加
root ALL=(ALL) ALL
user ALL=(ALL) ALL

 

5.rootログインを無効にする

[root@localhost~]# vi /etc/ssh/sshd_config
PermitRootLoginno
PermitEmptyPasswords no #空のパスワードを禁止
UseDNSno #DNSクエリを禁止

6.不要な自動起動サービスをオフにする

 

7.不要なシステムユーザーを削除

 

8.ctl-alt-delete組み合わせ鍵を無効

[root@localhost ~]# vi /etc/init/control-alt-delete.conf
#exec /sbin/shutdown -r now “Control-Alt-Deletepressed" #内容をコメント

9.ファイル記述子のサイズを調整

[root@localhost ~]# ulimit –n #ディフォルトは1024
1024
[root@localhost ~]# echo “ulimit -SHn 102400">> /etc/rc.local #自動的に有効になる

10.システム関連の情報を除去

[root@localhost ~]# echo “Welcome to arkgame.com Server" >/etc/issue 
[root@localhost ~]# echo “Welcome to arkgame.com Server" >/etc/redhat-release 

11.historyレコードを修正

[root@localhost ~]# vi /etc/profile #レコード10を設定
HISTSIZE=10

12.システムの時刻を同期させる

[root@localhost ~]#cp /usr/share/zoneinfo/Asia/Tokyo /etc/localtime #東京のタイムゾーンを設定
[root@localhost ~]# ntpdate -v ntp.nict.jp ;hwclock–w #biosのハードウェア時間に同期時間を書く
[root@localhost ~]# crontab –e #毎日0時一回システム時間を同期
0 * * * * /usr/sbin/ntpdate ntp.nict.jp ; hwclock -w

 

13.カーネルパラメータの最適化

[root@localhost ~]# vi /etc/sysctl.conf #
net.ipv4.tcp_syncookies = 1 #SYN Cookiesを有効
net.ipv4.tcp_tw_reuse = 1 #TCPに再接続
net.ipv4.tcp_tw_recycle = 1 #TCPの再送失敗数
net.ipv4.ip_local_port_range = 4096 65000 #アプリケーションのポート範囲
net.ipv4.tcp_max_tw_buckets = 5000 #TIME_WAITソケットの最大数
net.ipv4.tcp_max_syn_backlog = 4096 #SYNの最大請求列
net.core.netdev_max_backlog = 10240 #最大のデバイスリスト
net.core.somaxconn = 2048 #listen最大リクエスト数
net.core.wmem_default = 8388608 #デフォルトの送信バッファサイズ
net.core.rmem_default = 8388608 #ソケットバッファサイズのデフォルト値
net.core.rmem_max = 16777216 #最大受信バッファサイズ
net.core.wmem_max = 16777216 #最大送信バッファサイズ
net.ipv4.tcp_synack_retries = 2 #SYN-ACKハンドシュークス数
net.ipv4.tcp_syn_retries = 2 #外向けSYN数
net.ipv4.tcp_tw_recycle = 1 #TIME_WAITソケットクイックリカバリ
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_mem[0]:
net.ipv4.tcp_mem[1]:
net.ipv4.tcp_mem[2]:

Source

Posted by arkgame