求大佬写个centos 定时执行脚本脚本
点击联系发帖人
时间:2018-05-16 09:50
一键配置CentOS iptables防火墙的Shell脚本分享
转载 & & 投稿:junjie
这篇文章主要介绍了一键配置CentOS iptables防火墙Shell脚本分享,可保存到一个脚本文件中,在新安装的CentOS系统时一条命令搞定iptables配置,需要的朋友可以参考下
手里几台VPS配置iptables太繁琐,看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本,借来改了一下,给需要的人用;
只提供常用端口的设置,如果你有特殊需求只需自行添加或减少相应的端口即可;
使用方法:
代码如下:chmod +x iptables.sh
./iptables.sh
设置iptables开机自动启动:
代码如下:chkconfig --level 345 iptables on
完整Shell:
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
function support_distro(){
if [ -z "`egrep -i "centos" /etc/issue`" ];then
echo "Sorry,iptables script only support centos system now."
support_distro
echo "============================iptables configure============================================"
# Only support CentOS system
# 获取SSH端口
if grep "^Port" /etc/ssh/sshd_config&/dev/then
sshdport=`grep "^Port" /etc/ssh/sshd_config | sed "s/Port\s//g" `
sshdport=22
# 获取DNS服务器IP
if [ -s /etc/resolv.conf ];then
nameserver1=`cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'`
nameserver2=`cat /etc/resolv.conf |grep nameserver |awk 'NR==2{print $2 }'`
IPT="/sbin/iptables"
# 删除已有规则
$IPT --delete-chain
$IPT --flush
# 禁止进,允许出,允许回环网卡
$IPT -P INPUT DROP&&
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连接的通行
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 限制80端口单个IP的最大连接数为10
$IPT -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
# 允许80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的连接
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# 允许SSH端口的连接,脚本自动侦测目前的SSH端口,否则默认为22端口
$IPT -A INPUT -p tcp -m tcp --dport $sshdport -j ACCEPT
# 允许ping
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
[ ! -z "$nameserver1" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver1 --dport 53 -j ACCEPT
[ ! -z "$nameserver2" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver2 --dport 53 -j ACCEPT
# 保存规则并重启IPTABLES
service iptables save
service iptables restart
echo "============================iptables configure completed============================================"
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具linux centos6 系统优化脚本-经典 - 开源中国社区
当前访客身份:游客 [
当前位置:
发布于 日 20时,
这个脚本只能针对centos6x&其他还没有测试,但centos7肯定不行的。请注意一下脚本优化我会继续检查测试,如果发现问题,请联系我学习,大家共同来做好IT运维管理技术交流群&
代码片段(1)
1.&[代码]linux centos6 系统优化脚本-经典&&&&
#!/bin/bash
# Author Ricky
# CentOS 6 系统初始优化脚本 IT运维管理技术交流群
# version 1.1.0
# 检查是否为root用户,脚本必须在root权限下运行 #
if [[ "$(whoami)" != "root" ]]; then
echo "please run this script as root !" &&2
echo -e "\033[31m the script only Support CentOS_6 x86_64 \033[0m"
echo -e "\033[31m system initialization script, Please Seriously. press ctrl+C to cancel \033[0m"
# 按Y继续默认N,其他按键全部退出 #
echo "please input [Y\N]"
echo -n "default [N]: "
if [ "$yn" != "y" -a "$yn" != "Y" ]; then
echo "bye-bye!"
# 倒计时 #
for i in `seq -w 3 -1 1`
echo -ne "\b&&&&&$i";
echo -e "\b\Good Luck"
# 检查是否为64位系统,这个脚本只支持64位脚本
platform=`uname -i`
if [ $platform != "x86_64" ];then
echo "this script is only for 64bit Operating System !"
echo "the platform is ok"
# 安装必要支持工具及软件工具
yum -y install redhat-lsb vim unzip openssl-client gcc gcc-c++
echo "Tools installation is complete"
# 检查系统版本为centos 6
distributor=`lsb_release -i | awk '{print $NF}'`
version=`lsb_release -r | awk '{print substr($NF,1,1)}'`
if [ $distributor != 'CentOS' -o $version != '6' ]; then
echo "this script is only for CentOS 6 !"
cat && EOF
+---------------------------------------+
your system is CentOS 6 x86_64
start optimizing
+---------------------------------------+
# instll repo
yum_update(){
#make the 163.com as the default yum repo
if [ ! -e "/etc/yum.repos.d/bak" ]; then
mkdir /etc/yum.repos.d/bak
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/bak/CentOS-Base.repo.backup
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo -O /etc/yum.repos.d/CentOS-Base.repo
#add the third-party repo
#rpm -Uvh http://download.Fedora.RedHat.com/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm
rpm -Uvh ftp://ftp.muug.mb.ca/mirror/centos/6.7/extras/x86_64/Packages/epel-release-6-8.noarch.rpm
#add the epel
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
#add the rpmforge
rpm -Uvh http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
#update the system
yum clean all && yum makecache
yum -y update glibc\*
yum -y update yum\* rpm\* python\*
yum -y update
echo -e "\033[31m yum update ok \033[0m"
#time zone
zone_time(){
#install ntp
yum -y install ntp
#time zone
if [ `date +%z` != "+0800" ]; then
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Shanghai"
if [ `date +%z` != "+0800" ]; then
echo "The Shanghai time zone error"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Chongqing /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Chongqing"
if [ `date +%z` != "+0800" ]; then
echo "The Chongqing time zone error"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Hong_Kong /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Hang_Kong"
if [ `date +%z` != "+0800" ]; then
echo "The Hang_Kong time zone error, To write Shanghai time zone "
echo -e "\033[31m time zone error , please manual settings \033[0m"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Shanghai"
echo "Present time zone:"`date +%z`
cat /etc/sysconfig/clock
echo -e "\033[31m time zone ok \033[0m"
# set time
echo "update time please wait!"
/usr/sbin/ntpdate 210.72.145.44 & /dev/null 2&&1
#sed -i "/ntpdate/s/^/#/g" /var/spool/cron/root
sed -i "/ntpdate/d" /var/spool/cron/root
sed -i "/hwclock/d" /var/spool/cron/root
cat && /var/spool/cron/root && EOF
*/5 * * * * /usr/sbin/ntpdate 210.72.145.44 & /dev/null 2&&1
* * * * */1 /usr/sbin/hwclock -w & /dev/null 2&&1
chmod 600 /var/spool/cron/root
/sbin/service crond restart
echo -e "\033[31m time zone ok \033[0m"
# set hosts
#修改hostname为127.0.0.1
if [ "$(hostname -i)" != "127.0.0.1" ]; then
sed -i "s@^127.0.0.1\(.*\)@127.0.0.1 `hostname`\1@" /etc/hosts
hostname -i
echo -e "\033[31m hosts ok \033[0m"
#set the file limit
limits_config(){
#修改文件打开数
sed -i "/^ulimit -SHn.*/d" /etc/rc.local
echo "ulimit -SHn 102400" && /etc/rc.local
sed -i "/^ulimit -s.*/d" /etc/profile
sed -i "/^ulimit -c.*/d" /etc/profile
sed -i "/^ulimit -SHn.*/d" /etc/profile
cat && /etc/profile && EOF
ulimit -c unlimited
ulimit -s unlimited
ulimit -SHn 102400
source /etc/profile
cat /etc/profile | grep ulimit
echo -e "\033[31m hosts ok \033[0m"
if [ ! -f "/etc/security/limits.conf.bak" ]; then
cp /etc/security/limits.conf /etc/security/limits.conf.bak
sed -i "/^*.*soft.*nofile/d" /etc/security/limits.conf
sed -i "/^*.*hard.*nofile/d" /etc/security/limits.conf
sed -i "/^*.*soft.*nproc/d" /etc/security/limits.conf
sed -i "/^*.*hard.*nproc/d" /etc/security/limits.conf
cat && /etc/security/limits.conf && EOF
#---------custom-----------------------
cat /etc/security/limits.conf | grep "^*
echo -e "\033[31m limits ok \033[0m"
# tune kernel parametres #优化内核参数
sysctl_config(){
if [ ! -f "/etc/sysctl.conf.bak" ]; then
cp /etc/sysctl.conf /etc/sysctl.conf.bak
sed -i "/^net.ipv4.ip_forward/d" /etc/sysctl.conf
sed -i "/^net.ipv4.conf.default.rp_filter/d" /etc/sysctl.conf
sed -i "/^net.ipv4.conf.default.accept_source_route/d" /etc/sysctl.conf
sed -i "/^kernel.sysrq/d" /etc/sysctl.conf
sed -i "/^kernel.core_uses_pid/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_syncookies/d" /etc/sysctl.conf
sed -i "/^kernel.msgmnb/d" /etc/sysctl.conf
sed -i "/^kernel.msgmax/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_tw_buckets/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_sack/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_window_scaling/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_rmem/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_wmem/d" /etc/sysctl.conf
sed -i "/^net.core.wmem_default/d" /etc/sysctl.conf
sed -i "/^net.core.rmem_default/d" /etc/sysctl.conf
sed -i "/^net.core.rmem_max/d" /etc/sysctl.conf
sed -i "/^net.core.wmem_max/d" /etc/sysctl.conf
sed -i "/^net.core.netdev_max_backlog/d" /etc/sysctl.conf
sed -i "/^net.core.somaxconn/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_orphans/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_syn_backlog/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_timestamps/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_synack_retries/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_syn_retries/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_tw_recycle/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_tw_reuse/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_mem/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_fin_timeout/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_keepalive_time/d" /etc/sysctl.conf
sed -i "/^net.ipv4.ip_local_port_range/d" /etc/sysctl.conf
#sed -i "/^net.ipv4.tcp_tw_len/d" /etc/sysctl.conf
cat && /etc/sysctl.conf && EOF
#-------custom---------------------------------------------
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096
net.ipv4.tcp_wmem = 4096
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max =
net.core.wmem_max =
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
#net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_synack_retries = 2
#net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 000000
#net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024
#net.ipv4.tcp_tw_len = 1
echo 6000 & /proc/sys/net/ipv4/tcp_max_tw_buckets
sed -i "/^kernel.shmmax/d" /etc/sysctl.conf
sed -i "/^kernel.shmall/d" /etc/sysctl.conf
shmmax=`free -l |grep Mem |awk '{printf("%d\n",$2*)}'`
shmall=$[$shmmax/4]
echo "kernel.shmmax = "$shmmax && /etc/sysctl.conf
echo "kernel.shmall = "$shmall && /etc/sysctl.conf
modprobe bridge
lsmod|grep bridge
#reload sysctl
/sbin/sysctl -p
echo -e "\033[31m sysctl ok \033[0m"
# control-alt-delete
set_key(){
#set the control-alt-delete to guard against the miSUSE
sed -i 's#^exec /sbin/shutdown -r now#\#exec /sbin/shutdown -r now#' /etc/init/control-alt-delete.conf
cat /etc/init/control-alt-delete.conf | grep /sbin/shutdown
echo -e "\033[31m control-alt-delete ok \033[0m"
#disable selinux #关闭SELINUX
selinux(){
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
setenforce 0
echo -e "\033[31m selinux ok \033[0m"
#set sshd_config UseDNS
ssh_GSS(){
#sed -i 's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config
sed -i '/^#UseDNS/s/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config
sed -i 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config
sed -i 's/#PermitEmptyPasswords no/PermitEmptyPasswords no/g' /etc/ssh/sshd_config
/etc/init.d/sshd restart
cat /etc/ssh/sshd_config | grep -i usedns
cat /etc/ssh/sshd_config | grep -i PermitEmptyPasswords
echo -e "\033[31m sshd ok \033[0m"
#define the backspace button can erase the last character typed
backspace_button(){
sed -i "/^stty erase ^H/d" /etc/profile
echo 'stty erase ^H' && /etc/profile
sed -i "/^syntax.*/d" /root/.vimrc
echo "syntax on" && /root/.vimrc
echo -e "\033[31m backspace ok \033[0m"
cat /etc/profile | grep -i "stty erase ^H"
cat /root/.vimrc | grep -i "syntax"
#stop some crontab
stop_crond(){
if [ ! -e "/etc/cron.daily.bak" ]; then
mkdir /etc/cron.daily.bak
mv /etc/cron.daily/makewhatis.cron /etc/cron.daily.bak & /dev/null 2&&1
mv /etc/cron.daily/mlocate.cron /etc/cron.daily.bak & /dev/null 2&&1
echo -e "\033[31m crond ok \033[0m"
#disable some service
dissable_service(){
chkconfig bluetooth off & /dev/null 2&&1
chkconfig cups off
& /dev/null 2&&1
chkconfig ip6tables off
& /dev/null 2&&1
chkconfig | grep -E "cups|ip6tables|bluetooth"
echo -e "\033[31m service ok \033[0m"
#disable the ipv6
stop_ipv6(){
cat & /etc/modprobe.d/ipv6.conf && EOFI
#---------------custom-----------------------
alias net-pf-10 off
options ipv6 disable=1
sed -i "/^NETWORKING_IPV6.*/d" /etc/sysconfig/network
echo "NETWORKING_IPV6=off" && /etc/sysconfig/network
cat /etc/sysconfig/network | grep NETWORKING_IPV6
echo -e "\033[31m ipv6 ok \033[0m"
#language..
inittab(){
if [ -z "$(cat /etc/redhat-release | grep '6\.')" ];then
sed -i 's/3:2345:respawn/#3:2345:respawn/g' /etc/inittab
sed -i 's/4:2345:respawn/#4:2345:respawn/g' /etc/inittab
sed -i 's/5:2345:respawn/#5:2345:respawn/g' /etc/inittab
sed -i 's/6:2345:respawn/#6:2345:respawn/g' /etc/inittab
sed -i 's/ca::ctrlaltdel/#ca::ctrlaltdel/g' /etc/inittab
sed -i 's@LANG=.*$@LANG="en_US.UTF-8"@g' /etc/sysconfig/i18n
sed -i 's@^ACTIVE_CONSOLES.*@ACTIVE_CONSOLES=/dev/tty[1-2]@' /etc/sysconfig/init
sed -i 's@^start@#start@' /etc/init/control-alt-delete.conf
/sbin/init q
echo $LANG
echo -e "\033[31m inittab ok \033[0m"
# iptables
iptables(){
#add iptables
yum -y install iptables
#iptables conf bak
if [ ! -e "/etc/sysconfig/iptables.bak" ]; then
cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak & /dev/null 2&&1
#add config
cat & /etc/sysconfig/iptables && EOF
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
# 防火墙规则有先后顺序,修改前请测试确定后更改
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
#RELATED,ESTABLISHED
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 6379 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 9000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH --rsource -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
需要限制情况下可以取消第一行注释
#-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#https 500 * 90% 需要限制情况下可以取消第一行注释
#-A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
#---service--------------------------------------------------
#DNS 安装DNS服务器后需要打开
#-A INPUT -p udp --sport 53
#ntp 配置ntp服务器时候需要打开
#-A INPUT -p udp --sport 123 -j ACCEPT
#对外访问,比如api接口 需要结合OUTPUT DROP 全部关闭情况下才需要打开,这种限制非常严格情况下才配置
#-A OUTPUT -p tcp --dport 80 -j ACCEPT
#-A OUTPUT -p tcp --dport 443 -j ACCEPT
######################################################################################
#以下#号部分未测试或为成功,并可能有错误开启之前请先测试,并保证能与你的环境匹配
#syn-flood
#-A syn-flood -p tcp -m limit --limit 500/sec --limit-burst 10000 -j RETURN
#------FIN SYN RST ACK SYN-----------------
#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 100 -j ACCEPT
######################################################################################
#PORTSAN 端口扫描拒绝,缺少工具没能测试好,请慎用。
#-A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
#-A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
/sbin/service iptables restart
source /etc/profile
chkconfig iptables on
/sbin/iptables -L -v
chkconfig | grep iptables
echo -e "\033[31m iptables ok \033[0m"
# initdefault
sed -i 's/^id:.*$/id:3:initdefault:/' /etc/inittab
/sbin/init q
cat /etc/inittab | grep "id:"
# PS1 /tmp/
sed -i "/^PS1=.*/d" /etc/profile
echo 'PS1="\[\e[37;40m\][\[\e[32;40m\]\u\[\e[37;40m\]@\h \[\e[35;40m\]\W\[\e[0m\]]\\$ \[\e[33;40m\]"' && /etc/profile
sed -i 's/^HISTSIZE=.*$/HISTSIZE=300/' /etc/profile
cat /etc/profile | grep "^HISTSIZE"
# Record command
sed -i "/^export PROMPT_COMMAND=.*/d" /root/.bash_profile
echo "export PROMPT_COMMAND='{ msg=\$(history 1 | { echo \$y; });user=\$(whoami); echo \$(date \"+%Y-%m-%d %H:%M:%S\"):\$user:\`pwd\`/:\$msg ---- \$(who am i); } && /tmp/\`hostname\`.\`whoami\`.history-timestamp'" && /root/.bash_profile
# Wrong password five times locked 180s
sed -i "/^auth
pam_tally2.so deny=5 unlock_time=180/d" /etc/pam.d/system-auth
sed -i '4a auth
pam_tally2.so deny=5 unlock_time=180' /etc/pam.d/system-auth
source /etc/profile
cat /etc/pam.d/system-auth | grep "auth
pam_tally2.so"
echo -e "\033[31m other ok \033[0m"
done_ok(){
cat && EOF
+-------------------------------------------------+
optimizer is done
it's recommond to restart this server !
Please Reboot system
+-------------------------------------------------+
yum_update
limits_config
sysctl_config
backspace_button
stop_crond
dissable_service
开源中国-程序员在线工具:
相关的代码(32)
10回/90570阅
[Shell/批处理]
5回/10261阅
[Shell/批处理]
16回/5662阅
[Shell/批处理]
0回/5731阅
[Shell/批处理]
6回/5648阅
45回/4492阅
0回/3811阅
[Shell/批处理]
7回/3127阅
24回/2973阅
4回/2893阅
开源从代码分享开始
金陵守兵的其它代码求!centos命令脚本
[问题点数:40分]
求!centos命令脚本
[问题点数:40分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2014年6月 Linux/Unix社区大版内专家分月排行榜第二2014年1月 Linux/Unix社区大版内专家分月排行榜第二2013年11月 Linux/Unix社区大版内专家分月排行榜第二2010年6月 Windows专区大版内专家分月排行榜第二2010年4月 Windows专区大版内专家分月排行榜第二2010年3月 Windows专区大版内专家分月排行榜第二2009年12月 Windows专区大版内专家分月排行榜第二2009年11月 Windows专区大版内专家分月排行榜第二2008年7月 Windows专区大版内专家分月排行榜第二2008年1月 Windows专区大版内专家分月排行榜第二2007年12月 Windows专区大版内专家分月排行榜第二2007年11月 Windows专区大版内专家分月排行榜第二2007年10月 Windows专区大版内专家分月排行榜第二2007年6月 Windows专区大版内专家分月排行榜第二
2014年7月 Linux/Unix社区大版内专家分月排行榜第三2014年4月 Linux/Unix社区大版内专家分月排行榜第三2013年1月 Linux/Unix社区大版内专家分月排行榜第三2010年5月 Windows专区大版内专家分月排行榜第三2009年9月 Windows专区大版内专家分月排行榜第三2009年8月 Windows专区大版内专家分月排行榜第三2008年8月 Windows专区大版内专家分月排行榜第三2008年6月 Windows专区大版内专家分月排行榜第三2007年9月 Windows专区大版内专家分月排行榜第三2007年7月 Windows专区大版内专家分月排行榜第三2007年4月 Windows专区大版内专家分月排行榜第三
2013年3月 C/C++大版内专家分月排行榜第三
2014年6月 Linux/Unix社区大版内专家分月排行榜第二2014年1月 Linux/Unix社区大版内专家分月排行榜第二2013年11月 Linux/Unix社区大版内专家分月排行榜第二2010年6月 Windows专区大版内专家分月排行榜第二2010年4月 Windows专区大版内专家分月排行榜第二2010年3月 Windows专区大版内专家分月排行榜第二2009年12月 Windows专区大版内专家分月排行榜第二2009年11月 Windows专区大版内专家分月排行榜第二2008年7月 Windows专区大版内专家分月排行榜第二2008年1月 Windows专区大版内专家分月排行榜第二2007年12月 Windows专区大版内专家分月排行榜第二2007年11月 Windows专区大版内专家分月排行榜第二2007年10月 Windows专区大版内专家分月排行榜第二2007年6月 Windows专区大版内专家分月排行榜第二
2014年7月 Linux/Unix社区大版内专家分月排行榜第三2014年4月 Linux/Unix社区大版内专家分月排行榜第三2013年1月 Linux/Unix社区大版内专家分月排行榜第三2010年5月 Windows专区大版内专家分月排行榜第三2009年9月 Windows专区大版内专家分月排行榜第三2009年8月 Windows专区大版内专家分月排行榜第三2008年8月 Windows专区大版内专家分月排行榜第三2008年6月 Windows专区大版内专家分月排行榜第三2007年9月 Windows专区大版内专家分月排行榜第三2007年7月 Windows专区大版内专家分月排行榜第三2007年4月 Windows专区大版内专家分月排行榜第三
匿名用户不能发表回复!|}
转载 & & 投稿:junjie
这篇文章主要介绍了一键配置CentOS iptables防火墙Shell脚本分享,可保存到一个脚本文件中,在新安装的CentOS系统时一条命令搞定iptables配置,需要的朋友可以参考下
手里几台VPS配置iptables太繁琐,看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本,借来改了一下,给需要的人用;
只提供常用端口的设置,如果你有特殊需求只需自行添加或减少相应的端口即可;
使用方法:
代码如下:chmod +x iptables.sh
./iptables.sh
设置iptables开机自动启动:
代码如下:chkconfig --level 345 iptables on
完整Shell:
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
function support_distro(){
if [ -z "`egrep -i "centos" /etc/issue`" ];then
echo "Sorry,iptables script only support centos system now."
support_distro
echo "============================iptables configure============================================"
# Only support CentOS system
# 获取SSH端口
if grep "^Port" /etc/ssh/sshd_config&/dev/then
sshdport=`grep "^Port" /etc/ssh/sshd_config | sed "s/Port\s//g" `
sshdport=22
# 获取DNS服务器IP
if [ -s /etc/resolv.conf ];then
nameserver1=`cat /etc/resolv.conf |grep nameserver |awk 'NR==1{print $2 }'`
nameserver2=`cat /etc/resolv.conf |grep nameserver |awk 'NR==2{print $2 }'`
IPT="/sbin/iptables"
# 删除已有规则
$IPT --delete-chain
$IPT --flush
# 禁止进,允许出,允许回环网卡
$IPT -P INPUT DROP&&
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
# 允许已建立的或相关连接的通行
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# 限制80端口单个IP的最大连接数为10
$IPT -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
# 允许80(HTTP)/873(RSYNC)/443(HTTPS)/20,21(FTP)/25(SMTP)端口的连接
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 873 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
# 允许SSH端口的连接,脚本自动侦测目前的SSH端口,否则默认为22端口
$IPT -A INPUT -p tcp -m tcp --dport $sshdport -j ACCEPT
# 允许ping
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
[ ! -z "$nameserver1" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver1 --dport 53 -j ACCEPT
[ ! -z "$nameserver2" ] && $IPT -A OUTPUT -p udp -m udp -d $nameserver2 --dport 53 -j ACCEPT
# 保存规则并重启IPTABLES
service iptables save
service iptables restart
echo "============================iptables configure completed============================================"
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具linux centos6 系统优化脚本-经典 - 开源中国社区
当前访客身份:游客 [
当前位置:
发布于 日 20时,
这个脚本只能针对centos6x&其他还没有测试,但centos7肯定不行的。请注意一下脚本优化我会继续检查测试,如果发现问题,请联系我学习,大家共同来做好IT运维管理技术交流群&
代码片段(1)
1.&[代码]linux centos6 系统优化脚本-经典&&&&
#!/bin/bash
# Author Ricky
# CentOS 6 系统初始优化脚本 IT运维管理技术交流群
# version 1.1.0
# 检查是否为root用户,脚本必须在root权限下运行 #
if [[ "$(whoami)" != "root" ]]; then
echo "please run this script as root !" &&2
echo -e "\033[31m the script only Support CentOS_6 x86_64 \033[0m"
echo -e "\033[31m system initialization script, Please Seriously. press ctrl+C to cancel \033[0m"
# 按Y继续默认N,其他按键全部退出 #
echo "please input [Y\N]"
echo -n "default [N]: "
if [ "$yn" != "y" -a "$yn" != "Y" ]; then
echo "bye-bye!"
# 倒计时 #
for i in `seq -w 3 -1 1`
echo -ne "\b&&&&&$i";
echo -e "\b\Good Luck"
# 检查是否为64位系统,这个脚本只支持64位脚本
platform=`uname -i`
if [ $platform != "x86_64" ];then
echo "this script is only for 64bit Operating System !"
echo "the platform is ok"
# 安装必要支持工具及软件工具
yum -y install redhat-lsb vim unzip openssl-client gcc gcc-c++
echo "Tools installation is complete"
# 检查系统版本为centos 6
distributor=`lsb_release -i | awk '{print $NF}'`
version=`lsb_release -r | awk '{print substr($NF,1,1)}'`
if [ $distributor != 'CentOS' -o $version != '6' ]; then
echo "this script is only for CentOS 6 !"
cat && EOF
+---------------------------------------+
your system is CentOS 6 x86_64
start optimizing
+---------------------------------------+
# instll repo
yum_update(){
#make the 163.com as the default yum repo
if [ ! -e "/etc/yum.repos.d/bak" ]; then
mkdir /etc/yum.repos.d/bak
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/bak/CentOS-Base.repo.backup
wget http://mirrors.163.com/.help/CentOS6-Base-163.repo -O /etc/yum.repos.d/CentOS-Base.repo
#add the third-party repo
#rpm -Uvh http://download.Fedora.RedHat.com/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm
rpm -Uvh ftp://ftp.muug.mb.ca/mirror/centos/6.7/extras/x86_64/Packages/epel-release-6-8.noarch.rpm
#add the epel
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
#add the rpmforge
rpm -Uvh http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
#update the system
yum clean all && yum makecache
yum -y update glibc\*
yum -y update yum\* rpm\* python\*
yum -y update
echo -e "\033[31m yum update ok \033[0m"
#time zone
zone_time(){
#install ntp
yum -y install ntp
#time zone
if [ `date +%z` != "+0800" ]; then
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Shanghai"
if [ `date +%z` != "+0800" ]; then
echo "The Shanghai time zone error"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Chongqing /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Chongqing"
if [ `date +%z` != "+0800" ]; then
echo "The Chongqing time zone error"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Hong_Kong /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Hang_Kong"
if [ `date +%z` != "+0800" ]; then
echo "The Hang_Kong time zone error, To write Shanghai time zone "
echo -e "\033[31m time zone error , please manual settings \033[0m"
rm -rf /etc/localtime
ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
cat & /etc/sysconfig/clock && EOF
ZONE="Asia/Shanghai"
echo "Present time zone:"`date +%z`
cat /etc/sysconfig/clock
echo -e "\033[31m time zone ok \033[0m"
# set time
echo "update time please wait!"
/usr/sbin/ntpdate 210.72.145.44 & /dev/null 2&&1
#sed -i "/ntpdate/s/^/#/g" /var/spool/cron/root
sed -i "/ntpdate/d" /var/spool/cron/root
sed -i "/hwclock/d" /var/spool/cron/root
cat && /var/spool/cron/root && EOF
*/5 * * * * /usr/sbin/ntpdate 210.72.145.44 & /dev/null 2&&1
* * * * */1 /usr/sbin/hwclock -w & /dev/null 2&&1
chmod 600 /var/spool/cron/root
/sbin/service crond restart
echo -e "\033[31m time zone ok \033[0m"
# set hosts
#修改hostname为127.0.0.1
if [ "$(hostname -i)" != "127.0.0.1" ]; then
sed -i "s@^127.0.0.1\(.*\)@127.0.0.1 `hostname`\1@" /etc/hosts
hostname -i
echo -e "\033[31m hosts ok \033[0m"
#set the file limit
limits_config(){
#修改文件打开数
sed -i "/^ulimit -SHn.*/d" /etc/rc.local
echo "ulimit -SHn 102400" && /etc/rc.local
sed -i "/^ulimit -s.*/d" /etc/profile
sed -i "/^ulimit -c.*/d" /etc/profile
sed -i "/^ulimit -SHn.*/d" /etc/profile
cat && /etc/profile && EOF
ulimit -c unlimited
ulimit -s unlimited
ulimit -SHn 102400
source /etc/profile
cat /etc/profile | grep ulimit
echo -e "\033[31m hosts ok \033[0m"
if [ ! -f "/etc/security/limits.conf.bak" ]; then
cp /etc/security/limits.conf /etc/security/limits.conf.bak
sed -i "/^*.*soft.*nofile/d" /etc/security/limits.conf
sed -i "/^*.*hard.*nofile/d" /etc/security/limits.conf
sed -i "/^*.*soft.*nproc/d" /etc/security/limits.conf
sed -i "/^*.*hard.*nproc/d" /etc/security/limits.conf
cat && /etc/security/limits.conf && EOF
#---------custom-----------------------
cat /etc/security/limits.conf | grep "^*
echo -e "\033[31m limits ok \033[0m"
# tune kernel parametres #优化内核参数
sysctl_config(){
if [ ! -f "/etc/sysctl.conf.bak" ]; then
cp /etc/sysctl.conf /etc/sysctl.conf.bak
sed -i "/^net.ipv4.ip_forward/d" /etc/sysctl.conf
sed -i "/^net.ipv4.conf.default.rp_filter/d" /etc/sysctl.conf
sed -i "/^net.ipv4.conf.default.accept_source_route/d" /etc/sysctl.conf
sed -i "/^kernel.sysrq/d" /etc/sysctl.conf
sed -i "/^kernel.core_uses_pid/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_syncookies/d" /etc/sysctl.conf
sed -i "/^kernel.msgmnb/d" /etc/sysctl.conf
sed -i "/^kernel.msgmax/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_tw_buckets/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_sack/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_window_scaling/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_rmem/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_wmem/d" /etc/sysctl.conf
sed -i "/^net.core.wmem_default/d" /etc/sysctl.conf
sed -i "/^net.core.rmem_default/d" /etc/sysctl.conf
sed -i "/^net.core.rmem_max/d" /etc/sysctl.conf
sed -i "/^net.core.wmem_max/d" /etc/sysctl.conf
sed -i "/^net.core.netdev_max_backlog/d" /etc/sysctl.conf
sed -i "/^net.core.somaxconn/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_orphans/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_max_syn_backlog/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_timestamps/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_synack_retries/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_syn_retries/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_tw_recycle/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_tw_reuse/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_mem/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_fin_timeout/d" /etc/sysctl.conf
sed -i "/^net.ipv4.tcp_keepalive_time/d" /etc/sysctl.conf
sed -i "/^net.ipv4.ip_local_port_range/d" /etc/sysctl.conf
#sed -i "/^net.ipv4.tcp_tw_len/d" /etc/sysctl.conf
cat && /etc/sysctl.conf && EOF
#-------custom---------------------------------------------
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096
net.ipv4.tcp_wmem = 4096
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max =
net.core.wmem_max =
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
#net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_synack_retries = 2
#net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 000000
#net.ipv4.tcp_fin_timeout = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_keepalive_time = 30
net.ipv4.ip_local_port_range = 1024
#net.ipv4.tcp_tw_len = 1
echo 6000 & /proc/sys/net/ipv4/tcp_max_tw_buckets
sed -i "/^kernel.shmmax/d" /etc/sysctl.conf
sed -i "/^kernel.shmall/d" /etc/sysctl.conf
shmmax=`free -l |grep Mem |awk '{printf("%d\n",$2*)}'`
shmall=$[$shmmax/4]
echo "kernel.shmmax = "$shmmax && /etc/sysctl.conf
echo "kernel.shmall = "$shmall && /etc/sysctl.conf
modprobe bridge
lsmod|grep bridge
#reload sysctl
/sbin/sysctl -p
echo -e "\033[31m sysctl ok \033[0m"
# control-alt-delete
set_key(){
#set the control-alt-delete to guard against the miSUSE
sed -i 's#^exec /sbin/shutdown -r now#\#exec /sbin/shutdown -r now#' /etc/init/control-alt-delete.conf
cat /etc/init/control-alt-delete.conf | grep /sbin/shutdown
echo -e "\033[31m control-alt-delete ok \033[0m"
#disable selinux #关闭SELINUX
selinux(){
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
setenforce 0
echo -e "\033[31m selinux ok \033[0m"
#set sshd_config UseDNS
ssh_GSS(){
#sed -i 's/^GSSAPIAuthentication yes$/GSSAPIAuthentication no/' /etc/ssh/sshd_config
sed -i '/^#UseDNS/s/#UseDNS yes/UseDNS no/g' /etc/ssh/sshd_config
sed -i 's/#UseDNS yes/UseDNS no/' /etc/ssh/sshd_config
sed -i 's/#PermitEmptyPasswords no/PermitEmptyPasswords no/g' /etc/ssh/sshd_config
/etc/init.d/sshd restart
cat /etc/ssh/sshd_config | grep -i usedns
cat /etc/ssh/sshd_config | grep -i PermitEmptyPasswords
echo -e "\033[31m sshd ok \033[0m"
#define the backspace button can erase the last character typed
backspace_button(){
sed -i "/^stty erase ^H/d" /etc/profile
echo 'stty erase ^H' && /etc/profile
sed -i "/^syntax.*/d" /root/.vimrc
echo "syntax on" && /root/.vimrc
echo -e "\033[31m backspace ok \033[0m"
cat /etc/profile | grep -i "stty erase ^H"
cat /root/.vimrc | grep -i "syntax"
#stop some crontab
stop_crond(){
if [ ! -e "/etc/cron.daily.bak" ]; then
mkdir /etc/cron.daily.bak
mv /etc/cron.daily/makewhatis.cron /etc/cron.daily.bak & /dev/null 2&&1
mv /etc/cron.daily/mlocate.cron /etc/cron.daily.bak & /dev/null 2&&1
echo -e "\033[31m crond ok \033[0m"
#disable some service
dissable_service(){
chkconfig bluetooth off & /dev/null 2&&1
chkconfig cups off
& /dev/null 2&&1
chkconfig ip6tables off
& /dev/null 2&&1
chkconfig | grep -E "cups|ip6tables|bluetooth"
echo -e "\033[31m service ok \033[0m"
#disable the ipv6
stop_ipv6(){
cat & /etc/modprobe.d/ipv6.conf && EOFI
#---------------custom-----------------------
alias net-pf-10 off
options ipv6 disable=1
sed -i "/^NETWORKING_IPV6.*/d" /etc/sysconfig/network
echo "NETWORKING_IPV6=off" && /etc/sysconfig/network
cat /etc/sysconfig/network | grep NETWORKING_IPV6
echo -e "\033[31m ipv6 ok \033[0m"
#language..
inittab(){
if [ -z "$(cat /etc/redhat-release | grep '6\.')" ];then
sed -i 's/3:2345:respawn/#3:2345:respawn/g' /etc/inittab
sed -i 's/4:2345:respawn/#4:2345:respawn/g' /etc/inittab
sed -i 's/5:2345:respawn/#5:2345:respawn/g' /etc/inittab
sed -i 's/6:2345:respawn/#6:2345:respawn/g' /etc/inittab
sed -i 's/ca::ctrlaltdel/#ca::ctrlaltdel/g' /etc/inittab
sed -i 's@LANG=.*$@LANG="en_US.UTF-8"@g' /etc/sysconfig/i18n
sed -i 's@^ACTIVE_CONSOLES.*@ACTIVE_CONSOLES=/dev/tty[1-2]@' /etc/sysconfig/init
sed -i 's@^start@#start@' /etc/init/control-alt-delete.conf
/sbin/init q
echo $LANG
echo -e "\033[31m inittab ok \033[0m"
# iptables
iptables(){
#add iptables
yum -y install iptables
#iptables conf bak
if [ ! -e "/etc/sysconfig/iptables.bak" ]; then
cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak & /dev/null 2&&1
#add config
cat & /etc/sysconfig/iptables && EOF
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
# 防火墙规则有先后顺序,修改前请测试确定后更改
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:syn-flood - [0:0]
#RELATED,ESTABLISHED
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 6379 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 6379 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 11211 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 11211 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 9000 -j ACCEPT
#-A INPUT -s 127.0.0.1/32 -p tcp -m tcp --dport 9000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --name SSH --rsource -j DROP
#-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
需要限制情况下可以取消第一行注释
#-A INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#https 500 * 90% 需要限制情况下可以取消第一行注释
#-A INPUT -p tcp -m tcp --dport 443 -m connlimit --connlimit-above 500 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
#---service--------------------------------------------------
#DNS 安装DNS服务器后需要打开
#-A INPUT -p udp --sport 53
#ntp 配置ntp服务器时候需要打开
#-A INPUT -p udp --sport 123 -j ACCEPT
#对外访问,比如api接口 需要结合OUTPUT DROP 全部关闭情况下才需要打开,这种限制非常严格情况下才配置
#-A OUTPUT -p tcp --dport 80 -j ACCEPT
#-A OUTPUT -p tcp --dport 443 -j ACCEPT
######################################################################################
#以下#号部分未测试或为成功,并可能有错误开启之前请先测试,并保证能与你的环境匹配
#syn-flood
#-A syn-flood -p tcp -m limit --limit 500/sec --limit-burst 10000 -j RETURN
#------FIN SYN RST ACK SYN-----------------
#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 100 -j ACCEPT
######################################################################################
#PORTSAN 端口扫描拒绝,缺少工具没能测试好,请慎用。
#-A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
#-A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A syn-flood -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
/sbin/service iptables restart
source /etc/profile
chkconfig iptables on
/sbin/iptables -L -v
chkconfig | grep iptables
echo -e "\033[31m iptables ok \033[0m"
# initdefault
sed -i 's/^id:.*$/id:3:initdefault:/' /etc/inittab
/sbin/init q
cat /etc/inittab | grep "id:"
# PS1 /tmp/
sed -i "/^PS1=.*/d" /etc/profile
echo 'PS1="\[\e[37;40m\][\[\e[32;40m\]\u\[\e[37;40m\]@\h \[\e[35;40m\]\W\[\e[0m\]]\\$ \[\e[33;40m\]"' && /etc/profile
sed -i 's/^HISTSIZE=.*$/HISTSIZE=300/' /etc/profile
cat /etc/profile | grep "^HISTSIZE"
# Record command
sed -i "/^export PROMPT_COMMAND=.*/d" /root/.bash_profile
echo "export PROMPT_COMMAND='{ msg=\$(history 1 | { echo \$y; });user=\$(whoami); echo \$(date \"+%Y-%m-%d %H:%M:%S\"):\$user:\`pwd\`/:\$msg ---- \$(who am i); } && /tmp/\`hostname\`.\`whoami\`.history-timestamp'" && /root/.bash_profile
# Wrong password five times locked 180s
sed -i "/^auth
pam_tally2.so deny=5 unlock_time=180/d" /etc/pam.d/system-auth
sed -i '4a auth
pam_tally2.so deny=5 unlock_time=180' /etc/pam.d/system-auth
source /etc/profile
cat /etc/pam.d/system-auth | grep "auth
pam_tally2.so"
echo -e "\033[31m other ok \033[0m"
done_ok(){
cat && EOF
+-------------------------------------------------+
optimizer is done
it's recommond to restart this server !
Please Reboot system
+-------------------------------------------------+
yum_update
limits_config
sysctl_config
backspace_button
stop_crond
dissable_service
开源中国-程序员在线工具:
相关的代码(32)
10回/90570阅
[Shell/批处理]
5回/10261阅
[Shell/批处理]
16回/5662阅
[Shell/批处理]
0回/5731阅
[Shell/批处理]
6回/5648阅
45回/4492阅
0回/3811阅
[Shell/批处理]
7回/3127阅
24回/2973阅
4回/2893阅
开源从代码分享开始
金陵守兵的其它代码求!centos命令脚本
[问题点数:40分]
求!centos命令脚本
[问题点数:40分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
2014年6月 Linux/Unix社区大版内专家分月排行榜第二2014年1月 Linux/Unix社区大版内专家分月排行榜第二2013年11月 Linux/Unix社区大版内专家分月排行榜第二2010年6月 Windows专区大版内专家分月排行榜第二2010年4月 Windows专区大版内专家分月排行榜第二2010年3月 Windows专区大版内专家分月排行榜第二2009年12月 Windows专区大版内专家分月排行榜第二2009年11月 Windows专区大版内专家分月排行榜第二2008年7月 Windows专区大版内专家分月排行榜第二2008年1月 Windows专区大版内专家分月排行榜第二2007年12月 Windows专区大版内专家分月排行榜第二2007年11月 Windows专区大版内专家分月排行榜第二2007年10月 Windows专区大版内专家分月排行榜第二2007年6月 Windows专区大版内专家分月排行榜第二
2014年7月 Linux/Unix社区大版内专家分月排行榜第三2014年4月 Linux/Unix社区大版内专家分月排行榜第三2013年1月 Linux/Unix社区大版内专家分月排行榜第三2010年5月 Windows专区大版内专家分月排行榜第三2009年9月 Windows专区大版内专家分月排行榜第三2009年8月 Windows专区大版内专家分月排行榜第三2008年8月 Windows专区大版内专家分月排行榜第三2008年6月 Windows专区大版内专家分月排行榜第三2007年9月 Windows专区大版内专家分月排行榜第三2007年7月 Windows专区大版内专家分月排行榜第三2007年4月 Windows专区大版内专家分月排行榜第三
2013年3月 C/C++大版内专家分月排行榜第三
2014年6月 Linux/Unix社区大版内专家分月排行榜第二2014年1月 Linux/Unix社区大版内专家分月排行榜第二2013年11月 Linux/Unix社区大版内专家分月排行榜第二2010年6月 Windows专区大版内专家分月排行榜第二2010年4月 Windows专区大版内专家分月排行榜第二2010年3月 Windows专区大版内专家分月排行榜第二2009年12月 Windows专区大版内专家分月排行榜第二2009年11月 Windows专区大版内专家分月排行榜第二2008年7月 Windows专区大版内专家分月排行榜第二2008年1月 Windows专区大版内专家分月排行榜第二2007年12月 Windows专区大版内专家分月排行榜第二2007年11月 Windows专区大版内专家分月排行榜第二2007年10月 Windows专区大版内专家分月排行榜第二2007年6月 Windows专区大版内专家分月排行榜第二
2014年7月 Linux/Unix社区大版内专家分月排行榜第三2014年4月 Linux/Unix社区大版内专家分月排行榜第三2013年1月 Linux/Unix社区大版内专家分月排行榜第三2010年5月 Windows专区大版内专家分月排行榜第三2009年9月 Windows专区大版内专家分月排行榜第三2009年8月 Windows专区大版内专家分月排行榜第三2008年8月 Windows专区大版内专家分月排行榜第三2008年6月 Windows专区大版内专家分月排行榜第三2007年9月 Windows专区大版内专家分月排行榜第三2007年7月 Windows专区大版内专家分月排行榜第三2007年4月 Windows专区大版内专家分月排行榜第三
匿名用户不能发表回复!|}
我要回帖
更多关于 centos 写脚本 的文章
更多推荐
- ·超萌猪卡通图片可爱呆萌 头像猪头像来啦🐷
- ·MacBook Air苹果电脑转换器器在哪儿买?
- ·有没有那种女追男后放弃男主反追小说推荐,男主傲娇最后追妻「火葬场」的言情小说推荐?
- ·为何阿雅老公怎么当上活佛娶阿雅
- ·是你歌曲230526张靓颖&王赫野天赐的声音王赫野哪一期
- ·无刷直流无刷伺服电机马达哪种品牌好?
- ·请问我们在画图工具怎么画虚线框的时候出现的“A'”是什么意思。
- ·细看各路大神分析后三不定位技巧?
- ·学校举行了运动会要举办运动会要会需要买1600个气球,星星超市有805个气球。百龄超市那气球数比900多。两!
- ·Microsoft visual basic 6内存溢出
- ·问题事件名称: APPCRASH 应用程序分类名称名: WINWORD.EXE
- ·帮我编写一个通达信公式编写100例如图
- ·如果这个世界没有机密和隐私和机密的话不能讲会怎么样?
- ·为什么球会往上滚是滚一球哪个网站可以呢???
- ·你的让大量人加你微信方法加不了
- ·四维星软件收费吗有渲染的功能吗
- ·绝命毒师几季1-5季百度云资源 哪位大神有 谢谢了
- ·10612123短信是什么号码
- ·不同型号的单片机ms延时程序延时程序怎么写? { ms = ms * 30; while(ms--); }
- ·晶非商城购买影院墙面隔音墙面装饰板效果图有吗?http://www.jf315.com/merchants_store.php?merchant_id=278
- ·求大佬写个centos 定时执行脚本脚本
- ·H55主板上sata接口接哪个的sata口是2还是3
- ·魅蓝手机官网专卖店6手机液体露出
- ·伙头智多星星威客网能否让自己的专业快速提升?
- ·华为M5华为平板电脑10寸能安装正版CAD
- ·c++问题导向的定义,前面的类的定义我知道,后面的在Point类中定义一个Distance(), Display(),Distance()
- ·斗破苍穹第二季9百度云
- ·大家喜欢在哪个网站能玩滚球串的网站一球呢???
- ·李志管弦乐的电声与管弦乐II ,百度云 谢谢
- ·微信投票多少钱一票5000票多少钱?多久可以投好呢?
- ·海纳电商71海纳71团平台是真的吗吗
- ·高考无线密码正确但显示密码错误登录错误怎么,问老师也没有无线密码正确但显示密码错误怎么办
- ·System.IO.DirectoryNotFoundException:c 未能找到路径径D:\RM_Log\SysLog\Backup_Restore_Log.log的一部分。
- ·我微信被骗了5000,微信付款被骗怎么找回回,然后你不要跟我说你被骗了也追回了,哈哈,没时间陪你玩
- ·想上网快的电脑配置看电脑的什么配置?
