如何给安装好Linux服务器进行优化设置和安全设置

1、 关闭不需要的服务

这个应该很容易理解的，凡是我们的系统不需要的服务，一概关闭，这样一个好处是减少内存和CPU时间的占用，另一个好处相对可以提高安全性

那么哪些服务是肯定要保留的呢

在linux机器上通常有四项服务是必须保留的

iptables

linux下强大的防火墙，只要机器需要连到网上，哪里离得开它

network

linux机器的网络，如果不上网可以关闭，只要上网当然要打开它

sshd

这是openssh server,如果你的机器不是本地操作，而是托管到IDC机房，

那么访问机器时需要通过这个sshd服务进行

syslog

这是linux系统的日志系统，必须要有，

否则机器出现问题时会找不到原因

除了这四项必需的服务之外，其他的服务需要保留哪些呢

这时就可以根据系统的用途而定，比如：数据库服务器，就需要启用mysqld(或oracle)

web服务器，就需要启用apache

2、 关闭不需要的tty

请编辑你的/etc/inittab

找到如下一段：

1:2345:respawn:/sbin/mingetty tty1

2:2345:respawn:/sbin/mingetty tty2

3:2345:respawn:/sbin/mingetty tty3

4:2345:respawn:/sbin/mingetty tty4

5:2345:respawn:/sbin/mingetty tty5

6:2345:respawn:/sbin/mingetty tty6

这段命令使init为你打开了6个控制台，分别可以用alt+f1到alt+f6进行访问

此6个控制台默认都驻留在内存中，事实上没有必要使用这么多的

你用ps auxf这个命令可以看到，是六个进程

root 3004 00 00 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1

root 3037 00 00 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2

root 3038 00 00 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3

root 3051 00 00 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4

root 3056 00 00 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5

root 3117 00 00 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6

3 如何关闭这些进程

通常我们保留前2个控制台就可以了，

把后面4个用#注释掉就可以了

然后无需重启机器，只需要执行 init q 这个命令即可

init q

q作为参数的含义：重新执行/etc/inittab中的命令

修改完成后需重启机器使之生效

4 、如何关闭atime

一个linux文件默认有3个时间：

atime:对此文件的访问时间

ctime:此文件inode发生变化的时间

mtime:此文件的修改时间

如果有多个小文件时通常没有必要记录文件的访问时间，

这样可以减少磁盘的io,比如web服务器的页面上有多个小

如何进行设置呢

修改文件系统的配置文件：vi /etc/fstab

在包含大量小文件的分区中使用noatime,nodiratime两项

例如：

/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0

这样文件被访问时就不会再产生写磁盘的io

5、 一定要让你的服务器运行在level 3上

做法：

vi /etc/inittab

id:3:initdefault:

让服务器运行X是没有必要的

6, 优化sshd

X11Forwarding no //不进行x图形的转发

UseDNS no //不对IP地址做反向的解析

7、 优化shell

修改命令history记录

# vi /etc/profile

找到 HISTSIZE=1000 改为 HISTSIZE=100

然后 source /etc/profile

03系统例举

01首先打开控制面板，进入“管理工具”，然后双击打开“本地安全策略”

02使用鼠标右键单击左方的“ip

安全策略，在

本地计算机”选项，并选择“创建

ip

安全策略”选项

03点击“下一步”按钮

04设置一个ip策略名称，例如设置为“端口限制策略”，使用其它名称也可以

05点击“下一步”按钮

06去掉“激活默认响应规则”选项的勾

07点击“下一步”按钮

08点击“完成”按钮

09去掉右导”选项的勾

10现在先开始添止所有机器访问服务器，点击“添加”按钮

11点击“添加”按钮

12设置ip筛选器的名称，例如设置为“禁止所有机器访问服务器”，使用其它名称也可以

13点击“添加”按钮

14如果该服务器不打算上网，则可以将“源地址”设置为“任何

ip

地址”。如果需要上网，建议设置为“一个特定的

ip

子网”，并设置ip地址为与该服务器ip地址相同的网段，例如服务器ip地址是192168110，则可以设置为19216810，也就是前面3个数字是相同的，后面最后一位填1即可，并设置子网掩码，这个设置和服务器子网掩码一致即可（具体请自行查看服务器的子网掩码），如果局域网都是在1921681的范围，则直接设置为2552552550即可

15将“目标地址”设置为“我的

ip

地址”

16点击“确定”按钮

17点击“确定”按钮

18选择刚创建的ip筛选器（即12步中设置的名称）

19切换到“筛选器操作”选项页

20去掉“使用添加向导”选项的勾

21点击“添加”按钮

22选择“阻止”选项

23切换到“常规”选项页

24设置筛选器操作名称，建议设置为“禁止”或“阻止”，使用其它名称也可以

25点击“确定”按钮

26选择刚创建的筛选器操作（即24步设置的名称）

27点击“应用”按钮

28点击“确定”按钮

29现在开始添加允许访问该服务器的机器，点击“添加”按钮

30点击“添加”按钮

31设置ip筛选器名称，建议设置为“允许访问的机器”，使用其它名称也可以

32点击“添加”按钮

33将“源地址”设置为“一个特定的

ip

地址”，并设置下方的ip地址为允许访问该服务器的ip中的一个（每次只能添加一个，所以需要慢慢添加）

34设置“目标地址”为“我的

ip

地址”

35点击“确定”按钮

36重复32至35步将要允许访问该服务器的ip全部添加

37点击“确定”按钮

38选择刚创建的“ip

筛选器”（即31步设置的名称）

39切换到“筛选器操作”选项页

40选择“许可”选项

41点击“应用”按钮

42点击“确定”按钮

43点击“确定”按钮

44使用鼠标右键单击刚创建的ip策略（即第4步设置的名称），并选择“指派”即可

45以后需要添加、修改、删除允许访问的ip时，可以编辑该ip策略的ip筛选器进行设置

注意：需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器，因为如果他人知道您允许哪个ip访问该服务器，对方可以修改自己的ip地址，以获得访问权限ip，这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址（可以使用arp

-s命令来绑定），并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限，因此使用ip安全策略并非绝对安全。

1、打开Securefx软件，在左侧菜单栏中选择“FTP服务器”，在FTP服务器设置窗口中，点击“添加”按钮，在弹出的“添加FTP服务器”窗口中，输入FTP服务器的名称和IP地址。

2、选择“使用本地用户数据库”选项，并点击“下一步”，在弹出的“本地用户数据库设置”窗口中，选择要使用的用户数据库类型，可以选择Windows本地用户数据库或自定义数据库，如果选择自定义数据库，需要点击“浏览”按钮指定数据库文件的位置，如果选择Windows本地用户数据库，则不需要进行此步骤。

3、在“管理员”选项卡中，可以设置管理员的权限和账户信息，在“安全设置”选项卡中，可以设置FTP服务器的安全选项，例如限制特定IP地址访问、启用身份验证等，完成设置后，点击“完成”按钮保存配置，就可以使用FTP客户端连接到搭建的FTP服务器，并使用本地用户登录。