Linux的使用环境也日趋成熟，各种开源产品络绎不绝，大有百花齐放的盛景，那么当Linux落地企业，回归工作时，我们还要面对这Linux运维方面的诸多问题。下面就列举一些安全加固方面的操作。

RedHat和CentOS

选择红帽子系列产品，以centos为主，主要考虑有几个方面：

1. centos是redhat的编译版本，基本上没有什么大的变动
2. 现在很多环境都是集群环境，包括web集群，中间件集群，rac群集等等，OS层面本身的高可用系数已经不是100%要求那么高了。
3. 主流版本生命周期比较长，比较适合一个硬件的生命周期管理，基本上安装一次直到设备报废了。
4. 批量安装部署方便，硬件和软件兼容性都挺好。
5. 版本主要使用6版本，新上应用可以全面考虑升级使用7版本

SuSe

使用的Suse Linux Enterprise版，主要考虑因素如下：
1、该发行版本性能和稳定性比较突出
2、对客户的技术支持体系较为完备，服务响应较快（这基本上是最重要的因素）
3、对开源社区如openstack等生态拥抱得也较好。
4、版本主要是SUSE11 较多。

安全加固

本次安全加固内容主要参考的是Redhat和Centos系列版本系统。

1、注释掉系统不需要的用户和用户组

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。

2、关闭系统不需要的服务

3、给下面的文件加上不可更改属性，从而防止非授权用户获得权限

4、限制不同文件的权限

5、禁止使用Ctrl+Alt+Del快捷键重启服务器

6、使用yum update更新系统时不升级内核，只更新软件包

注意：由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启动，这是非常可怕的，没有特别的需要，建议不要随意升级内核。

7、关闭Centos自动更新

8、关闭多余的虚拟控制台

我们知道从控制台切换到 X 窗口，一般采用 Alt-F7 ，为什么呢？因为系统默认定义了 6 个虚拟控制台，
所以 X 就成了第7个。实际上，很多人一般不会需要这么多虚拟控制台的，修改/etc/inittab ，注释掉那些你不需要的。

9、修改history命令记录

10、隐藏服务器系统信息

在缺省情况下，当你登陆到linux系统，它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。
为了不让这些默认的信息泄露出来，我们要进行下面的操作，让它只显示一个"login:"提示符。
删除/etc/issue和/etc/issue.net这两个文件，或者把这2个文件改名，效果是一样的。

11、优化Linux内核参数

12、系统优化

13、服务器禁止ping

14、检查口令策略设置是否符合复杂度要求

15、检查登录提示-是否设置登录成功后警告Banner

修改文件/etc/motd的内容，如没有该文件，则创建它。

16、检查是否设置登录超时

执行备份：