仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 501|回复: 7
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来CentOS宁静设置

[复制链接]
精灵巫婆 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:23:02 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
欢迎大家来到仓酷云论坛!注:以下全体内容来历于《熟习linux体系宁静与优化》一书局部节选。
1、体系宁静纪录文件
#more/var/log/secure
统计会见IP及次数。
#grep-oP(d+.){3}d+/var/log/secure|sort|uniq-c
2、启动和登录宁静性
1.用户口令
修正改暗码长度/etc/login.defs
#vi/etc/login.defs
PASS_MIN_LEN8
2.正文失落不必要的用户和用户组
vi/etc/passwd
vi/etc/group
3.口令文件
chattr下令给上面的文件加上不成变动属性,从而避免非受权用户取得权限。
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
4.克制CtrlAltDelete从头启念头器下令
修正/etc/inittab文件,将ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行正文失落。
然后从头设置/etc/rc.d/init.d/目次下一切文件的允许权限,运转以下下令:
#chmod-R700/etc/rc.d/init.d/*
如许便唯一root能够读、写或实行上述一切剧本文件。
5.限定su下令
当不想任何人可以su作为root,能够编纂/etc/pam.d/su文件,增添以下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时候,仅isd组的用户能够su作为root。今后,假如但愿用户admin可以su作为root,能够运转以下下令:
#usermod-G10admin
6.变动SSH端口,最好改成10000以上,他人扫描到端口的机率也会下落
不同意利用低版本的SSH协定
vi/etc/ssh/ssd_config
将#protocol2,1
改成protocol2
将PORT改成1000以上端口
vi/etc/ssh/sshd_config
Port10000
同时,创立一个一般登任命户,并作废间接root登录
useraddusername
passwdusername
vi/etc/ssh/sshd_config
PermitRootLoginno
#作废root间接近程登录
7.封闭那些不必要的办事,记着少开一个办事,就少一个伤害。
以下仅列出必要启动的办事,未列出的办事一概封闭:
#setup
acpid
anacron
cpuspeed
crond
irqbalance仅当办事器CPU为S.M.P架构或撑持双中心、HT手艺时,才需开启,不然封闭。
microcode_ctl
network
random
sendmail
sshd
syslog
yum-updatesd
8.启用iptables防火墙,对增添体系宁静有很多优点。设置好防火墙的划定规矩。
/etc/init.d/iptablesstart
3、限定收集会见
1.NFS会见
利用NFS收集文件体系办事,应当确保/etc/exports具有最严厉的会见权限设置,也就是意味着不要利用任何通配符、不同意root写权限而且只能装置为只读文件体系。编纂文件/etc/exports并到场以下两行。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是想输入的目次,host.mydomain.com是登录这个目次的呆板名,ro意味着mount成只读体系,root_squash克制root写进该目次。为了使修改失效,运转以下下令。
#/usr/sbin/exportfs-a
2.TCP_WRAPPERS设置
默许情形下,多半Linux体系同意一切的哀求,而用TCP_WRAPPERS加强体系宁静性是举手之劳,能够修正/etc/hosts.deny和/etc/hosts.allow来增添会见限定。比方,将/etc/hosts.deny设为”ALL:ALL”能够默许回绝一切会见,然后在/etc/hosts.allow文件中增加同意的会见。
比方,”sshd:192.168.10.10/255.255.255.0gate.openarch.com”暗示
同意IP地点192.168.10.10和主机名gate.openarch.com同意经由过程SSH毗连。
3.登录终端设置
/etc/securetty文件指定了同意root登录的tty装备,由/bin/login步伐读取,其格局是一个被同意的名字列表,能够编纂/etc/securetty且正文失落以下的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
这时候,root仅可在tty1终端登录。
4、避免打击
1.制止ping假如没人能ping通体系,宁静性天然增添了,为此,我们能够在/etc/rc.d/rc.local文件中增添以下一行
echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
2.避免IP棍骗
编纂host.conf文件并增添以下几行来避免IP棍骗打击。
orderbind,hosts剖析按次
multion同意多面收集(多网卡开启)
nospoofon回绝IP棍骗
3.避免DoS打击
对体系一切的用户设置资本限定能够避免DoS范例打击,如最猛进程数和内存利用数目等。
比方,能够在/etc/security/limits.conf中增加以下几行:
*hardcore0
*hardrss5000
*hardnproc20
然后必需编纂/etc/pam.d/login文件反省上面一行是不是存在。
sessionrequired/lib/security/pam_limits.so
core0暗示克制创立core文件,
nproc20把最多的历程数限定到20
*暗示登录到体系的一切用户
rss5000暗示除root以外,别的用户最多只能用5M内存。如许能够更好的把持体系顶用户对历程、core文件和内存的利用情形。欢迎大家来到仓酷云论坛!
再见西城 该用户已被删除
沙发
发表于 2015-1-16 16:02:00 | 只看该作者

给大家带来CentOS宁静设置

发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
因胸联盟 该用户已被删除
板凳
发表于 2015-1-25 22:00:25 | 只看该作者
最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
莫相离 该用户已被删除
地板
发表于 2015-2-4 14:27:23 | 只看该作者
首先Linux是开源的,这也是最主要的原因,想学windows,Unix,对不起我们没源代码。也正是因为这样,Linux才能够像滚雪球一样越滚越大,发展到现在这种规模。
兰色精灵 该用户已被删除
5#
发表于 2015-2-10 02:54:29 | 只看该作者
编程学习及开发,Linux是免费,开源的操作系统,并且可开发工具相当多,如果您支持自由软件,一定要同广大热爱自由软件人士一同为其不懈努力。
灵魂腐蚀 该用户已被删除
6#
发表于 2015-2-28 19:36:49 | 只看该作者
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学者是往往不够的。
飘灵儿 该用户已被删除
7#
发表于 2015-3-17 11:09:24 | 只看该作者
熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。
若天明 该用户已被删除
8#
发表于 2015-3-24 10:40:17 | 只看该作者
对Linux命令熟悉后,你可以开始搭建一个小的Linux网络,这是最好的实践方法。Linux是网络的代名词,Linux网络服务功能非常强大,不论是邮件服务器、Web服务器、DNS服务器等都非常完善。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 21:25

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表