刚安装好系统之后，如何对服务器进行基础优化：

1. 关闭SElinux
   SElinux是美国国家安全局NSA对于强制访问控制的实现

[root@xinsz08-64 ~]# setenforce 0[root@xinsz08-64 ~]# vim /etc/selinux/config [root@xinsz08-64 ~]# sed -i 's#SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config

1. 精简开机系统启动
   linux服务器在运行过程中，会有很多默认的服务在运行，而且这些服务通常是没用，这些服务占用了系统资源，存在安全隐患，关闭这些没用的服务

重要的服务，需要开启：

1） sshd
远程连接服务，需要开启，要不然无法连接linux。
2） rsyslog
是操作系统中提供的一种机制，系统的守护程序通常会使用rsyslog 将各种信息写到系统日志文件中，
3） . network
系统启动时，若想关闭或者激活各个网络接口，就必须启动该服务

4） cron
一次性计划任务： at
周期计划任务： crontab

5） sysstat
该服务包括监控系统性能及效率的一组工具。这些工具对于收集系统的性能数据很有帮助：核心工具包：
iostat : cpu使用率及硬盘吞吐效率工具
mpstat：提供单个或者多个处理器的数据
sar 负责收集，报告并存储系统活跃的信息

1. . 关闭防火墙

[root@xinsz08-64 ~]# iptables -F[root@xinsz08-64 ~]# /etc/init.d/iptables stopiptables：将链设置为政策 ACCEPT：filter                    [确定]iptables：清除防火墙规则：                                 [确定]iptables：正在卸载模块：                                   [确定][root@xinsz08-64 ~]# chkconfig iptables off[root@xinsz08-64 ~]# service iptables stop[root@xinsz08-64 ~]#

1. 最小化原则安装
   1 ）linux系统最小化安装，最选包最小化，yum安装软件包也要最小化，没用的包不安装。
   2） 操作系统命令最小化

1. 登录linux用户量最小化，不要使用root，使用普通用户即可
   4） 普通授权最小化，即只给必须的管理系统的命令
   5）linux系统文件及目录权限设置最小化，禁止随便修改，更改，删除。

1. 更改ssh服务端远程登录的配置
   1） 端口不要使用22
   2） UseDNS no 是否使用DNS，设置为no之后登录速度会快
   3）#PermitRootLogin no 设置不允许root登录
   4）GSSAPIAuthentication no 解决ssh链接慢的问题
   5） PasswordAuthentication yes 密码验证是必须的，默认yes

1. PermitEmptyPasswords no 空密码是否允许登录
   7）#LoginGraceTime 2m 当使用者连接上ssh server的时候，会出现输入密码的画面，在这个画面中，多久没有成功连接上就强迫断线

实验：

LoginGraceTime 5

[root@xinsz08-64 ~]# service sshd restart
停止 sshd： [确定]
正在启动 sshd：

测试：
[root@xinsz08-1 ~]# ssh 192.168.1.20
root@192.168.1.20’s password:
Connection closed by 192.168.1.20
[root@xinsz08-1 ~]#

8） #PrintMotd yes //登入后是否显示一些信息，比如上次登录时间，地点。

[root@xinsz08-1 ~]# ssh 192.168.1.20root@192.168.1.20's password: 
Last login: Fri Mar  6 13:22:32 2020 from 192.168.1.4"警告： 从现在开始，你的所有行踪和操作，将被记录下来作为对波公堂的证据"

1. sudo控制用户对系统命令的最小化
2. 设置Linux服务器的时间同步

echo '*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1' >>/var/spool/cron/root

关于ntp服务
8. 加大服务器文件描述符

[root@xinsz08-64 ~]# vim /etc/security/limits.conf [root@xinsz08-64 ~]# ulimit -n65535

1. 禁止ping

echo 'net.ipv4.icmp_echo_ignore_all = 1' >>/etc/sysctl.conf
sysctl -p

后续待添加