1.禁止系统响应从外部/内部来的ping请求

 在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1  若要开Ping 把1改成0就行了
 默认情况下icmp_echo_ignore_all的值为“0”,表示响应ping值
 可以添加到/etc/rc.d/rc.local文件中,以使每次系统启动后自动运行
2.删除系统默认的不必要的用户和组
 删除的用户,如adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等
 删除的组:如adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers等
3.修改ssh端口

 编辑/etc/ssh/sshd_config 把#Port 22前注释去掉,加上Port 888 重启ssh服务,使用888端口ssh

 成功后,把Port 22删除
4.取消root登录
 编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉,并修改成no,然后重启sshd服

 务,并且创建一个用户用来ssh切换到root用户。

5.设置特定组可以su到root
 编辑 /etc/pam.d/su文件,找到这行auth            required        pam_wheel.so use_uid 把
 前面的注释去掉,同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。
6.启用iptables防火墙
 根据具体要求来具体设置,基本对一些端口进行开启和关闭。
7.只允许对root对/etc/init.d/下服务进行操作
 chmod 700 -R /etc/init.d/
8.限制shell历史记录命令大小
 编辑/etc/profile文件,把默认的HISTSIZE=1000改为HISTSIZE=50
9.使用yum update更新系统时不升级内核,只更新软件包
 编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*
10.Selinux修改
  修改/etc/selinux/config 修改成SELINUX=disabled
11.转发重要或者错误日志到自己邮箱
  编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱
12.不允许从不同的控制台进行root登陆
  编辑/etc/securetty,把禁止登录的tty设备前加#号进行注释。
13.设置允许ssh远程的IP
  在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip  -j ACCEPT。
14.强制使用复杂密码
  先通过rpm -qa | grep cracklib 查询一下cracklib是否安装,然后编辑/etc/pam.d/system-  
  auth,将password    requisite     pam_cracklib.so try_first_pass retry=3 修改成

  password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 difok=5

15.设置自动注销帐号的登录

  编辑/etc/profile文件,在HISTSIZE后面加入TMOUT=300这行,表示登录用户在300s内没有操作,

  系统就自动注销这个账户

16.阻止任何人su到root
  编辑/etc/pam.d/su,添加以下两行
  auth sufficient /lib/security/$ISA/pam_rootok.so debug
  auth required /lib/security/$ISA/pam_wheel.so group=wheel意味着只有wheel组内的用户才可

  以su到root