大家好，我是高胜寒，本文是Linux运维-循序渐进学运维-基础篇的第60篇文章

文章目录

• 前言
• 安装Linux后的初始化操作
• 1. 关闭selinux功能
• 2. 精简开机启动项
• a) 开启自启动服务
• b) 删除特殊的用户和用户组
• 3. 用户及密码安全
• 1. 用户密码一般情况下要求大于8位数，尽量使用强密码，有数字，大小写及特殊符号三部分组成。
• 2. 尽量不使用root用户登录，把普通用户变为root用户
• 3. 尽量使用秘钥登陆
• 4. 锁定重要文件
• 5. 文件权限的检查与扫描
• 6. 隐藏Linux版本信息
• 7. 禁止Linux被ping
• 其他操作
• 总结

前言

今天有学员问安装好操作系统之后应该做哪些初始化操作或者说优化。 其实在公司里安装好系统之后，都是直接用脚本跑一遍，很多人不喜欢看脚本，也就导致不知道脚本到底做了什么样的操作，那我们今天就来聊聊，安装完系统之后的那些简单优化。

安装Linux后的初始化操作

1. 关闭selinux功能

[root@ecs-c13b ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 

检查是否完成配置文件的修改

2. 精简开机启动项

a) 开启自启动服务

一般服务安装好后，有几个很重要的服务是必须要开启的
sshd，rsyslog,network, crond,sysstat

b) 删除特殊的用户和用户组

• Linux当中有很多系统默认的用户，是可以删除的

[root@ecs-c13b ~]# head -n 13 /etc/passwd |tail -n 10
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin

• linux中可以删除的用户组：
  adm.lp,news, uucp,games,dip 等

3. 用户及密码安全

1. 用户密码一般情况下要求大于8位数，尽量使用强密码，有数字，大小写及特殊符号三部分组成。

2. 尽量不使用root用户登录，把普通用户变为root用户

[root@ecs-c13b ~]# useradd gaosh

修改/etc/passwd

root用户限制登录： 
root:x:0:0:root:/root:/bin/bash
改为：
root:x:0:0:root:/root:/sbin/nologin

普通用户改为root用户：
gaosh:x:500:500::/home/gaosh:/bin/bash
改为
gaosh:x:0:0::/home/gaosh:/bin/bash

此时的gaosh就变成了root权限

3. 尽量使用秘钥登陆

4. 锁定重要文件

锁定重要文件，这样即使你有root权限，也依旧无法删掉文件，具体操作步骤，参考下方文章里的设置方法：

学会这个骚操作，再也不怕从删库到跑路

5. 文件权限的检查与扫描

含有suid，sgid权限的文件，以及一些777权限的文件是很危险的，运维需要时间检查发现并修改权限，除此之外还有一些没有属主的孤儿文件，也比较危险，往往成了黑客利用的工具。找到这些文件及时删除或者修改权限。

关于suid和sgid的权限介绍及使用参考：
【linux】循序渐进学运维-基础篇-文件特殊权限管理

如何查找特殊权限的文件，参考：
【linux】循序渐进学运维-基础命令篇-查找类命令

6. 隐藏Linux版本信息

系统版本信息的保存位置

[root@ecs-c13b ~]# cat /etc/issue
CentOS release 6.9 (Final)
Kernel \r on an \m

[root@ecs-c13b ~]# cat /etc/issue.net 
CentOS release 6.9 (Final)
Kernel \r on an \m
[root@ecs-c13b ~]# 

执行以下命令清楚系统版本信息

[root@gaosh ~]# > /etc/issue 
[root@gaosh ~]# > /etc/issue.net 

7. 禁止Linux被ping

通过iptables让内网IP可以ping通， 外网用户除特定IP外不能ping童

其他操作

1. 配置网络
2. 设置文件描述符的数量
3. 修改字符集
4. 内核参数调优
5. 为gurb加上密码

为grub加密码可以参考：
【linux】循序渐进学运维-基础篇-grub加密技术

总结

后面会写到循序渐进学运维系列的脚本篇的时候，会有初始化脚本的讲解，在初始化脚本里面，可能除了以上内容之外还有一些，漏洞扫描等方面的安全操作。讲到的时候我们在一起来探讨。

今天就到这里，我是高胜寒，一个教培行业不忘初心的人， 我们下篇文章再见！