1、关闭selinux安全机制

方法1：

直接替换sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

方法2：

vim /etc/sysconfig/selinux

注释掉SELINUX=enforcing

注释掉SELINUXTYPE=targeted

最后添加SELINUX=disabled

#让配置立刻生效

setenforce 0

2、精简开机自启动服务：关闭除了ssh,network,rsyslog,crond之外的所有服务

chkconfig --list|grep 3|egrep -v "ssh|network|rsyslog|crond"|awk '{print $1}'|sed -r "s#(.*)#chkconfig \1 off#g"|bash

3、更换yum源，更新系统软件

cd /etc/yum.repos.d/

cp CentOS-Base.repo CentOS-Base.repo_$(date +%F)bak

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

#清除所有的yum缓存

yum clean all

#新建yum缓存

yum makecache

#安装一些基本的软件

yum install tree nmap sysstat lrzsz dos2unix vim* -y

#升级漏洞软件

yum install openssl openssh bash -y

#暂时不需要的选项

#vim   ~/.vimrc       添加 set nu   让vim编辑器永久显示行号

#vim /boot/grub/grub.conf         删除rhgb，关闭开机进度条显示

#yum update    更新系统软件

4、添加普通账户，创建需要的目录

useradd -d /home/ywliyq -m ywliyq

passwd ywliyq

mkdir -p /server/{tools,scripts}

mkdir -p /app/logs

mkdir -p /application

5、修改sshd_config配置文件禁止root用户登录，修改ssh端口。（修改后需要在防火墙里添加新端口通过），再重启ssh！！！

#备份配置文件

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +%F)bak

cd /etc/ssh/

#使用命令添加如下信息到配置文件：

sed -ir '13 iPort 30024\nPermitRootLogin no\nPermitEmptyPasswords no\nUseDNS no\nGSSAPIAuthentication no'  sshd_config

--------------------------

Port 30024

PermitRootLogin no

PermitEmptyPasswords no

UseDNS no

GSSAPIAuthentication no

ListenAddress 10.9.9.28（设置内网监听IP）

--------------------------------------------------------

#修改防火墙通过端口，添加50024端口通过

vim /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m tcp -p tcp --dport 30024 -j ACCEPT

重启防火墙：/etc/init.d/iptables restart

重启ssh：/etc/init.d/sshd restart

6、为CRT、ssh终端设置超时

export TMOUT=600       临时生效

echo "export TMOUT=600" >>/etc/profile   永久生效

7、加大服务器文件描述符

查看当前文件描述符ulimit -n

临时调整ulimit -SHn 65535

永久调整 echo '*               -       nofile          65535 ' >>/etc/security/limits.conf

查看tail -1 /etc/security/limits.conf

8、设置服务器时间同步

# 同步互联网时间

yum install ntp -y

/usr/sbin/ntpdate time.nist.gov

/usr/sbin/ntpdate asia.pool.ntp.org

#设置定时任务命令

echo "*/5 * * * * /usr/sbin/ntpdate time.nist.gov >/dev/null 2>&1" >>/var/spool/cron/root

echo "*/5 * * * * /usr/sbin/ntpdate asia.pool.ntp.org >/dev/null 2>&1" >>/var/spool/cron/root

#检查设置

crontab -l

9、调整内核参数文件

vim /etc/sysctl.conf

#添加优化好的内容到文件末尾

######### youhua by jzh of ywliyq at 2016/03/29 ########

net.ipv4.tcp_fin_timeout = 2

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_keepalive_time = 600

net.ipv4.ip_local_port_range = 4000    65000

net.ipv4.tcp_max_syn_backlog = 16384

net.ipv4.tcp_max_tw_buckets = 36000

net.ipv4.route.gc_timeout = 100

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_synack_retries = 1

net.core.somaxconn = 16384

net.core.netdev_max_backlog = 16384

net.ipv4.tcp_max_orphans = 16384

#以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。

net.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_max = 25000000

net.netfilter.nf_conntrack_tcp_timeout_established = 180

net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120

net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60

net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

sysctl -p让配置文件生效

10、利用sudo控制用户权限

visudo，98行

给指定用户权限

切换sudo不需要每次输入密码

ywliyq  ALL=(ALL)       NOPASSWD: ALL

优化完成后重启服务器！