如何限制linux所有进程可使用的总内存？

下面的shell脚本可以实时的监控系统中各个进程的CPU和内存的占用情况，用于限制进程CPU占用率更加合理。

#!/bin/shPIDS=`top -bn 1 | grep "^ *" | awk ’{ if($9 > 50 || $10 > 25 && id -u $2 > 500) print $1}’`for PID in $PIDSdo renice +10 $PID echo "renice +10 $PID"done能够将这个脚本放到cron中运行，比如每分钟检查一次，只需以root身份添加crontab项：

#crontab-e*****limit.sh 以后每个一分钟就会检查一次，调整占用50%以上CPU或25%内存的进程的nice值，从而使这样的进程优先级变低，被调度的机会减少，同时会向root发邮件提示该进程被调整过。

但是，限制内存使用最好还是用PAM，RedHat能够在/etc/security/limits.conf中配置。

linux加固10条建议？

10条建议:

1、设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng.51240.com/

2、设置密码策略

修改文件/etc/login.defs

3、对密码强度进行设置

编辑文件/etc/pam.d/password-auth

4、对用户的登录次数进行限制

编辑文件 /etc/pam.d/sshd

多次输入密码失败后提示信息

pam_tally2 查看被锁定的用户

pam_tally2 --reset -u username 将被锁定的用户解锁

5、进制root用户远程登录

禁止ROOT用户远程登录 。打开/etc/ssh/sshd_config

6、更改ssh端口

vim /etc/ssh/sshd_config ，更改Port或追加Port

7、安全组关闭没必要的端口

腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口

8、设置账户保存历史命令条数，超时时间

打开/etc/profile

五分钟未动，服务器超时自动断开与客户端的链接

9、定期查看查看系统日志

重要服务器可以将日志定向传输到指定服务器进行分析

10、定期备份数据

目录要有规划，并且有周期性的打包备份数据到指定的服务器。

limite文件是什么？

limits.conf 文件实际是 Linux PAM（插入式认证模块，Pluggable Authentication Modules）中 pam_limits.so 的配置文件，而且只针对于单个会话。

limits.conf的格式如下：

username|@groupname type resource limitusername|@groupname：设置需要被限制的用户名，组名前面加@和用户名区别。也可以用通配符*来做所有用户的限制。

在linux中如何开启telnet服务？

Linux默认没有开启telnet，首先更改/etc/xinetd。d/telnet文件，有的可能没有该文件，有比如krb5-telnet之类的，那就更改这个文件，如果实在一个跟telnet沾边的文件都没有；可能是没有安装telent服务，就需要拿盘再安装了，或者安装后还没有，就新建一个该文件，文件内容为：

# default: off

# description: The kerberized telnet server accepts normal telnet sessions,

# but can also use Kerberos 5 authentication。

service telnet

{

flags = REUSE

socket_type = stream

wait = no

user = root

server = /usr/kerberos/sbin/telnetd

log_on_failure += USERID

disable = yes

}

将其中的disable=yes的“yes”更改为“no”即可，

然后重启telnet服务

输入：service xinetd restart

Stopping xinetd:

Starting xinetd:

重启成功，

这时候可以用telnet连接开通的linux主机了；但是linux默认不允许root用户远程telnet登录，两种方法解决该问题：

1， 用非root‘用户登录，然后在切换到root用户，来源：www。

examda。com

2， 将/etc/pam。d/login文件的第二行注释掉：#auth required pam_securetty。so；但是我这里没有测试通过。

如何在Linux系统上加密文件和目录？

　　加密类型 　　我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密，在这种加密中，你可以选择性地加密某些文件或者目录(如，/home/alice)。对我而言，这是个十分不错的方法，你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而，文件系统级别的加密也有一些缺点。例如，许多现代应用程序会缓存(部分)文件你硬盘中未加密的部分中，比如交换分区、/tmp和/var文件夹，而这会导致隐私泄漏。 　　另外一种方式，就是所谓的全盘加密，这意味着整个磁盘都会被加密(可能除了主引导记录外)。全盘加密工作在物理磁盘级别，写入到磁盘的每个比特都会被加密，而从磁盘中读取的任何东西都会在运行中解密。这会阻止任何潜在的对未加密数据的未经授权的访问，并且确保整个文件系统中的所有东西都被加密，包括交换分区或任何临时缓存数据。 　　可用的加密工具 　　在Linux中要实施加密，有几个可供选择的工具。在本教程中，我打算介绍其中一个：eCryptFS，一个用户空间文件系统加密工具。下面提供了一个Linux上可用的加密工具摘要供您参考。 　　文件系统级别加密 　　EncFS：尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上，所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。 　　eCryptFS：一个POSIX兼容的加密文件系统，eCryptFS工作方式和EncFS相同，所以你必须挂载它。 　　磁盘级别加密 　　Loop-AES：最古老的磁盘加密方法。它真的很快，并且适用于旧系统(如，2.0内核分支)。 　　DMCrypt：最常见的磁盘加密方案，支持现代Linux内核。 　　CipherShed：已停止的TrueCrypt磁盘加密程序的一个开源分支。 　　eCryptFS基础 　　eCrypFS是一个基于FUSE的用户空间加密文件系统，在Linux内核2.6.19及更高版本中可用(作为encryptfs模块)。eCryptFS加密的伪文件系统是挂载到当前文件系统顶部的。它可以很好地工作在EXT文件系统家族和其它文件系统如JFS、XFS、ReiserFS、Btrfs，甚至是NFS/CIFS共享文件系统上。Ubuntu使用eCryptFS作为加密其家目录的默认方法，ChromeOS也是。在eCryptFS底层，默认使用的是AES算法，但是它也支持其它算法，如blowfish、des3、cast5、cast6。如果你是通过手工创建eCryptFS设置，你可以选择其中一种算法。 　　就像我所的，Ubuntu让我们在安装过程中选择是否加密/home目录。好吧，这是使用eCryptFS的最简单的一种方法。 　　Ubuntu提供了一个用户友好的工具集，通过eCryptFS可以让我们的生活更轻松，但是在Ubuntu安装过程中启用eCryptFS只创建了一个指定的预配置的设置。所以，如果默认的设置不适合你的需求，你需要进行手工设置。在本教程中，我将介绍如何在主流Linux发行版上手工设置eCryptFS。 　　eCryptFS的安装 　　Debian，Ubuntu或其衍生版： 　　代码如下: 　　$ sudo apt-get install ecryptfs-utils 　　注意，如果你在Ubuntu安装过程中选择加密家目录，eCryptFS应该已经安装了。 　　CentOS, RHEL or Fedora： 　　代码如下: 　　# yum install ecryptfs-utils 　　Arch Linux： 　　代码如下: 　　$ sudo pacman -S ecryptfs-utils 　　在安装完包后，加载eCryptFS内核模块当然会是一个很好的实践： 　　代码如下: 　　$ sudo modprobe ecryptfs 　　配置eCryptFS 　　现在，让我们开始加密一些目录，运行eCryptFS配置工具： 　　代码如下: 　　$ ecryptfs-setup-private 　　它会要求你输入登录密码和挂载密码。登录密码和你常规登录的密码一样，而挂载密码用于派生一个文件加密主密钥。这里留空可以生成一个(复杂的)，这样会更安全。登出然后重新登录。 　　你会注意到，eCryptFS默认在你的家目录中创建了两个目录：Private和.Private。~/.Private目录包含有加密的数据，而你可以在~/Private目录中访问到相应的解密后的数据。在你登录时，~/.Private目录会自动解密并映射到~/Private目录，因此你可以访问它。当你登出时，~/Private目录会自动卸载，而~/Private目录中的内容会加密回到~/.Private目录。 　　eCryptFS怎么会知道你拥有~/.Private目录，并自动将其解密到~/Private目录而不需要我们输入密码呢?这就是eCryptFS的PAM模块捣的鬼，它为我们提供了这项便利服务。 　　如果你不想让~/Private目录在登录时自动挂载，只需要在运行ecryptfs-setup-private工具时添加“--noautomount”选项。同样，如果你不想要~/Private目录在登出后自动卸载，也可以自动“--noautoumount”选项。但是，那样后，你需要自己手工挂载或卸载~/Private目录： 　　$ ecryptfs-mount-private ~/.Private ~/Private 　　$ ecryptfs-umount-private ~/Private 　　你可以来验证一下.Private文件夹是否被挂载，运行： 　　代码如下: 　　$ mount 　　现在，我们可以开始把任何敏感文件放进~/Private文件夹里头了，它们会在我们登出时自动被加密并锁在~/.Private文件内。 　　所有这一切看起来是那么得神奇。这主要是ecryptfs-setup-private工具让一切设置变得简单。如果你想要深究一点，对eCryptFS指定的方面进行设置，那么请转到官方文档。 　　结尾 　　综上所述，如果你十分关注你的隐私，最好是将基于eCryptFS文件系统级别的加密和全盘加密相结合。切记，只进行文件加密并不能保证你的隐私不受侵犯。