1、修改yum源
http://mirrors.aliyun.com/
[root@localhost ~]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
安裝epel源
[root@localhost ~]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo
2、時間同步
[root@localhost ~]# ntpdate ntp1.aliyun.com 17 Jan 23:31:52 ntpdate[6104]: step time server 182.92.12.11 offset 3.869849 sec
添加到定時任務
[root@localhost ~]# crontab -e */5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com >/dev/null 2>&1 ;/sbin/hwclock -w
3、關閉防火牆
[root@localhost ~]# /etc/init.d/iptables stop
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
[root@localhost ~]# chkconfig iptables off
4、關閉Selinux
[root@localhost ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
修改完需要重啟才能生效,可以命令修改
[root@localhost ~]# setenforce 0 [root@localhost ~]# getenforce Permissive
5、精簡開機啟動
保留5個必須:sshd|rsyslog|network|crond|sysstat
sshd
遠程連接Linux服務器時需要用到這個服務器程序,所以必須要開啟,否則將無法連接Linux服務器。
rsyslog
是操作系統提供的一種機制,系統的守護程序通常會使用rsyslog將各種信息記錄系統日志文件中,Centos6以前服務器的名字為syslog
network
系統啟動時,若想激活/關閉各個網絡接口,則應(必須)考慮開啟。
crond
該服務用於周期性地執行系統及用戶配置的任務計划。有要周期性執行的任務,任要開啟,此服務幾乎是生產場景必須要用的一個軟件。
sysstat
sysstat是一個軟件包,包含檢測系統性能及效率的一組工具,這些工具對於系統性能數據很有幫助,比如CPU使用率,硬盤和網絡吞吐數據等,這些數據的分析,有利於判斷系統運行是否正常,所以它是提高系統運行效率、安全運行服務器的助手。
[root@localhost ~]# for i in `chkconfig --list|grep 3:on|grep -Ev "sysstat|sshd|rsyslog|crond|network"|awk '{print $1}'`;do chkconfig $i off;done
查看
[root@localhost ~]# chkconfig --list|grep 3:on crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off sysstat 0:off 1:on 2:on 3:on 4:on 5:on 6:off
6、ssh配置
ssh_config和sshd_config都是ssh服務器的配置文件,二者區別在於,前者是針對客戶端的配置文件,后者則是針對服務端的配置文件。
編輯文件前先拷貝
# cp sshd_config sshd_config.bak.20160223
主要修改內容:
"Port"設置sshd監聽的端口號。默認為22
13 行:Port 12321
"ListenAddress”設置sshd服務器綁定的IP地址。ip地址為本機網卡需要監聽的ip地址。
15 行:ListenAddress 192.168.88.100
設置是否允許root通過ssh登錄。這個選項從安全角度來講應設成"no",默認為開啟狀態,改為no之后依舊可以用普通用戶su – root切換到root用戶。
42 行:PermitRootLogin no
如果不想用戶密碼登錄修改此處
66 行:PasswordAuthentication no
關閉 SSH 的 DNS 反解析(ssh訪問慢的解決方法)
122 行:UseDNS no
GSSAPIAuthentication參數是用於Kerberos驗證的,而對於絕大多數人來說,不可能使用這種驗證機制,(ssh訪問很慢的解決方法)。
80行: GSSAPIAuthentication no 81 行:#GSSAPIAuthentication yes
修改后重啟sshd服務
[root@localhost ~]# /etc/init.d/sshd reload
Reloading sshd: [ OK ]
ssh連接排障
1、測試IP是否通
通
C:\Users\wxianj>ping 192.168.88.8 正在 Ping 192.168.88.8 具有 32 字節的數據: 來自 192.168.88.8 的回復: 字節=32 時間<1ms TTL=64
不通
C:\Users\wxianj>ping 192.168.88.8 正在 Ping 192.168.88.8 具有 32 字節的數據: 來自 192.168.88.1 的回復: 無法訪問目標主機。
不正常原因:可能是物理網絡問題,服務器IP配置、防火牆問題
2、看服務是否正常(telnet)
telenet安裝-->控制面板-->程序和功能-->啟動或關閉windows功能-->勾選Telnet客戶端
正常
C:\Users\wxianj>telnet 192.168.88.8 22 SSH-2.0-OpenSSH_5.3
不正常
C:\Users\wxianj>telnet 192.168.88.8 22 正在連接192.168.88.8...無法打開到主機的連接。 在端口 22: 連接失敗
不正常原因:服務器端防火牆阻擋、服務器端口沒開放
檢查服務
[root@localhost ~]# netstat -nlpt|grep sshd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 6264/sshd tcp 0 0 :::22 :::* LISTEN 6264/sshd
檢查服務端防火牆
[root@localhost ~]# /etc/init.d/iptables status
iptables: Firewall is not running.
檢查selinux
[root@localhost ~]# getenforce
Permissive