Ubuntu系统设置


一 网络配置

修改ip地址
sudo vim /etc/network/interfaces
 
把此文件配置更改成如下状态：
#本地回环配置
auto lo
iface lo inet loopback
#网卡eth0的详细配置
auto eth0
iface eth0 inet static
    address 192.168.2.201
    netmask 255.255.255.0
    network 192.168.2.0
    broadcast 192.168.2.255
    gateway 192.168.2.2

修改DNS
sudo vim /etc/resolv.conf    
       
添加如下指令：
nameserver 119.6.6.6                #添加DNS地址

重启网卡使新配置生效
sudo /etc/init.d/networking restart




二 系统更新配置

修改更新源列表
sudo vim /etc/apt/sources.list    
 
在此文件中输入如下命令替换成最快的更新地址：
:%s/cn.archive.ubuntu.com/unbuntu.dormforce.net/g
ubuntu.cn99.com
更新源列表
sudo apt-get update                 


:%s/cn.archive.ubuntu.com/ubuntu.dormforce.net/g

三 远程登录基本配置

sudo vim /etc/ssh/sshd_config    

分别找到下面三行进行修改：

Port  30812                       #修改远程登录端口号
PermitRootLogin no                #禁止root远程登录
PasswordAuthentication no         #禁止使用密码登录

重启openssh使新配置生效
sudo service ssh restart          

为了加强安全性，远程登录全部使用密钥登录方式

OPENSSH密钥生成操作

ssh-keygen -t rsa  -C "test"     #以rsa2加密算法生成别名为test的一对密钥
执行后
首先会提示输入密钥名称
Enter file in which to save the key (/home/dkm/.ssh/id_rsa):  #输入密钥保存路径和名称，不输路径就在当前文件夹下

Enter passphrase (empty for no passphrase):   #提示输入密钥密码

Enter same passphrase again:                  #提示再次输入密钥密码

将密钥的公钥导入到相应服务器中，Linux系统里缺省都包含一个名为ssh-copy-id的工具.直接：
# ssh-copy-id -i ~/.ssh/id_rsa.pub user@server      #默认22端口导入方法实例

# ssh-copy-id -i ~/.ssh/id_rsa.pub "-p 10022 user@server"  #其他端口导入方法实例


用cat或者more命令看一下就知道ssh-copy-id本身其实就是一个shell脚本，用法很简单
# type ssh-copy-id
ssh-copy-id is /usr/bin/ssh-copy-id
 
利用私钥登录命令
ssh -i 私钥名称 -p 端口号 用户名@系统ip

如果在Windows下使用putty登录需要把私钥导入到puttygen中转换成.ppk格式的私钥格式即可使用，登录时在putty左侧的菜单栏中选择SSH--AUTH以后 ，右侧内private key file
for authentication栏内导入生成私钥ppk私钥即可进行登录。

取消私钥
删除.ssh/下面的authorized_keys文件
sudo rm  .ssh/authorized_keys



四 优化系统参数


系统时间同步更新
sudo ntpdate 210.72.145.44

修改系统打开文件最大链接数

sudo vim /etc/security/limits.conf
 
在最后添加如下指令：
* - nofile 65535

重启系统
sudo reboot  
                       
查看连接数是否生效
ulimit -n                           


sudo vim /etc/sysctrl.conf
 
在最后添加如下指令：         
net.ipv4.ip_default_ttl = 128      #修改ping返回参数ttl值为128

设置生效
sysctl -p









五  iptables防火墙设置


默认策略是全部放行，首先更改默认策略
设置所有进入的访问默认为拒绝
sudo  iptables -P INPUT  DROP
添加需要放行进入访问端口
sudo  iptables -A INPUT -p tcp --dport 30812 -j ACCEPT   #允许远程登录端口30812
sudo  iptables -A INPUT -i eth1 -p icmp -m icmp --icmp-type 0 -j ACCEPT  #允许ping出
sudo  iptables -A INPUT -i eth1 -p udp -m udp --sport 53 -j ACCEPT   #允许dns端口
sudo iptables -A INPUT -p udp --dport 123  -i eth1  -j ACCEPT  #允许时间同步
sudo iptables -A INPUT -i lo -j ACCEPT           #允许本地回环
sudo iptables -A INPUT -i eth0 -j ACCEPT         #允许eth0网卡所有通讯
其他需要的端口依此添加。

设置规则自动保存恢复
sudo vim /etc/network/interfaces  
在此文件中最后添加如下两行：
pre-up iptables-restore < /etc/iptables.up.rules
post-down iptables-save > /etc/iptables.up.rules

保存后重新启动计算机策略就自动生成并保存在/etc下面的iptables.up.rules里面，每次开机自动恢复上次的策略