仓酷云
标题:
给大家带来临盆情况CentOS办事器体系宁静设置
[打印本页]
作者:
小女巫
时间:
2015-1-14 20:20
标题:
给大家带来临盆情况CentOS办事器体系宁静设置
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
第一章
账户宁静及权限
1、
禁用root之外的超等用户
1.
检测***:
cat/etc/passwd
检察口令文件,文件格局以下
login_name
:password:user_ID:group_ID:comment:home_dir:command
若user_ID=0,则该用户具有超等用户的权限。检察此处是不是有多个ID=0
2.
检测下令:
cat/etc/passwd|awk-F:{print$1,$3}|grep0$
3.
备份***:
cp-p/etc/passwd/etc/passwd_bak
4.
加固***
:
利用下令passwd-l<用户名>锁定不用要的超等账户
利用下令passwd-u<用户名>解锁必要规复的超等账户
或把用户shell改成/sbin/nologin
2、
删除不用要的账号
1.
应当删除一切默许的被操纵体系自己启动的而且不用要的账号,Linux供应了良多默许账号,而账号越多,体系就越简单遭到打击。
2.
可删除的用户,如
adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher
等
3.
可删除的组,如
adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers
等
4.
删除下令
userdelusername
groupdelgroupname
3、
用户口令设置
用户口令是Linux/Unix宁静的一个基础出发点,良多人利用的用户口令过于复杂,这即是给侵进者关闭了年夜门,固然从实际上说,只需有充足的工夫和资本能够使用,就没有不克不及破解的用户口令,但拔取妥当的口令是难于破解的。较好的用户口令是那些只要他本人简单记得并了解的一串字符,最好不要把暗码纪录出来,假如有必要的话,也要保管好纪录暗码的文件,大概将这个文件加密。
临盆情况口令请求:包括年夜写字母、小写字母、数字和特别字符四种中的三种,而且口令全体长度年夜于10位,每台办事器的口令不不异。
4、
反省空口令账号
假如发明有账号口令为空,必要强迫到场切合规格的口令
反省***:
#awk-F:($2==""){print$1}/etc/shadow
5、
口令文件加锁
chattr
下令给上面的文件加上不成变动属性,从而避免非受权用户取得权限。
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
6、
设置
root
账户主动刊出时限
修正情况引诱文件/etc/profile中的TMOUT参数,TMOUT参数按秒盘算
vim/etc/profile
在"HISTFILESIZE="前面到场上面这行
TMOUT=300
改动这项设置后,必需先刊出用户,再用该用户上岸才干激活这个功效
假如想修正某个用户的主动刊出时限,能够在用户目次下的".bashrc"文件中增加该值,以便体系对该用户实施特别的主动刊出工夫
7、
限定
su
下令
克制任何人可以su切换为root,编纂/etc/pam.d/su文件,增添以下行:
authrequiredpam_wheel.souse_uid
这时候,仅wheel组的用户能够su作为root。今后,假如但愿用户admin可以su作为root,能够运转以下下令:
#usermod–G10admin
8、
限定一般用户没法实行关机、重启、设置收集等敏感操纵
删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等步伐的会见把持文件,以克制一般用户实行该下令
也能够全体删除/etc/security/console.apps下的一切设置文件
rm–rf/etc/security/console.apps/*
9、
禁用
Ctrl+Alt+Delete
组合键从头启念头器下令
修正/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行正文失落。
10、
设置开机启动办事文件夹权限
设置/etc/rc.d/init.d/目次下一切文件的允许权限,此目次下文件
为开机启动项,运转以下下令:
#chmod–R700/etc/rc.d/init.d/
如许便唯一root能够读、写或实行上述一切剧本文件。
11、
制止
login
时显现体系和版本信息
删除信息文件:
rm–rf/etc/issue
rm–rf/etc/issue.net
第二章
限定收集会见
1、
NFS
会见
利用NFS收集文件体系办事,应当确保/etc/exports具有最严厉的会见权限设置,也就是意味着不要利用任何通配符、不同意root写权限而且只能装置为只读文件体系。编纂文件/etc/exports并到场以下两行。
/dir/to/exporthost1.mydomain.com(ro
,root_squash)
/dir/to/exporthost2.mydomain.com(ro
,root_squash)
/dir/to/export
是您想输入的目次,host.mydomain.com是登录这个目次的呆板名,ro意味着mount成只读体系,root_squash克制root写进该目次。为了使修改失效,运转以下下令。
#/usr/sbin/exportfs-a
2、
登录终端设置
/etc/securetty
文件指定了同意root登录的tty装备,由/bin/login步伐读取,其格局是一个被同意的名字列表,能够编纂/etc/securetty且正文失落以下的行。
#tty2
#tty3
#tty4
#tty5
#tty6
这时候,root仅可在tty1终端登录。
第三章
避免打击
1、
避免IP棍骗
编纂host.conf文件并增添以下几行来避免IP棍骗打击。
orderbind
,hosts
multioff
nospoofon
2、
避免DoS打击
对体系一切的用户设置资本限定能够避免DoS范例打击。如最猛进程数和内存利用数目等。比方,能够在/etc/security/limits.conf中增加以下几行:
*hardcore0
*hardrss5000
*hardnproc20
然后必需编纂/etc/pam.d/login文件反省上面一行是不是存在。
sessionrequired/lib/security/pam_limits.so
下面的下令克制调试文件,限定历程数为50而且限定内存利用为5MB。
欢迎大家来到仓酷云论坛!
作者:
若天明
时间:
2015-1-16 07:37
标题:
给大家带来临盆情况CentOS办事器体系宁静设置
为什么要学Linux呢?每个人都有不同的看法,下面我说说自己的感想吧。?
作者:
活着的死人
时间:
2015-1-25 16:23
应对Linux的发展历史和特点有所了解,Linux是抢占式多任务多用户操作系统,Linux最大的优点在于其作为服务器的强大功能,同时支持多种应用程序及开发工具。
作者:
乐观
时间:
2015-2-3 12:17
Linux操作系统这个名词记得在很早以前就听过,但当时并不知道具体是什么样的操作系统,只知道是一个与嵌入式密切相关的操作系统。
作者:
海妖
时间:
2015-2-9 01:53
有疑问前,知识学习前,先用搜索。
作者:
山那边是海
时间:
2015-2-26 19:06
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
作者:
变相怪杰
时间:
2015-3-8 17:44
我是学习嵌入式方向的,这学期就选修了这门专业任选课。
作者:
再现理想
时间:
2015-3-16 17:10
编程学习及开发,Linux是免费,开源的操作系统,并且可开发工具相当多,如果您支持自由软件,一定要同广大热爱自由软件人士一同为其不懈努力。
作者:
飘灵儿
时间:
2015-3-23 02:37
学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。
欢迎光临 仓酷云 (http://ckuyun.com/)
Powered by Discuz! X3.2