仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 889|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 带来一篇Centos 5.5办事器的宁静设置

[复制链接]
爱飞 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:30:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!CentOS的宁静设置
1、体系宁静纪录文件
操纵体系外部的纪录文件是检测是不是有收集进侵的主要线索。假如您的体系是间接连到Internet,您发明有良多人对您的
体系做Telnet/FTP登录实验,能够运转”#more/var/log/secure|greprefused”来反省体系所遭到的打击,以便接纳响应
的对策,如利用SSH来交换Telnet/rlogin等。
2、启动和登录宁静性
1.BIOS宁静
设置BIOS暗码且修正引诱序次克制从软盘启动体系。
2.用户口令
用户口令是Linux宁静的一个基础出发点,良多人利用的用户口令过于复杂,这即是给侵进者关闭了年夜门,固然从实际上说
,只需有充足的工夫和资本能够使用,就没有不克不及破解的用户口令,但拔取妥当的口令是难于破解的。较好的用户口令是那些
只要他本人简单记得并了解的一串字符,而且相对不要在任何中央写出来。
修正改暗码长度必要编译login.defs文件
vi/etc/login.defs
PASS_MIN_LEN8
3.正文失落不必要的用户和用户组
应当克制一切默许的被操纵体系自己启动的而且不用要的账号,当您第一次装置体系时就应当这么做,Linux供应了良多
默许账号,而账号越多,体系就越简单遭到打击。
vi/etc/passwd
#userdeladm
#userdellp
#userdelsync
#userdelshutdown
#userdelhalt
#userdelnews
#userdeluucp
#userdeloperator
#userdelgames
#userdelgopher
#userdelftp
vi/etc/group
#groupdeladm
#groupdellp
#groupdelnews
#groupdeluucp
#groupdelgames
#groupdeldip
#groupdelpppusers
4.口令文件
chattr下令给上面的文件加上不成变动属性,从而避免非受权用户取得权限。
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
5.克制CtrlAltDelete从头启念头器下令
修正/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行正文失落。然后从头设
置/etc/rc.d/init.d/目次下一切文件的允许权限,运转以下下令:
#chmod-R700/etc/rc.d/init.d/*
如许便唯一root能够读、写或实行上述一切剧本文件。
6.限定su下令
假如您不想任何人可以su作为root,能够编纂/etc/pam.d/su文件,增添以下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时候,仅isd组的用户能够su作为root。今后,假如您但愿用户admin可以su作为root,能够运转以下下令:
#usermod-G10admin
7.删减登录信息
默许情形下,登录提醒信息包含Linux刊行版、内核版本名和办事器主机名等。关于一台宁静性请求较高的呆板来讲如许
泄露了过量的信息。能够编纂/etc/rc.d/rc.local将输入体系信息的以下行正文失落。
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo“”>/etc/issue
#echo“$R”>>/etc/issue
#echo“Kernel$(uname-r)on$a$(uname-m)”>>/etc/issue
#cp-f/etc/issue/etc/issue.net
#echo>>/etc/issue
然后,举行以下操纵:
#rm-f/etc/issue
#rm-f/etc/issue.net
#touch/etc/issue
#touch/etc/issue.net
8、变动SSH端口,最好改成10000以上,他人扫描到端口的机率也会下落
不同意利用低版本的SSH协定
vi/etc/ssh/ssd_config
将#protocol2,1改成
protocol2
将PORT改成1000以上端口
vi/etc/ssh/sshd_config
Port10000
同时,创立一个一般登任命户,并作废间接root登录
useradd‘username’
passwd‘username’
vi/etc/ssh/sshd_config
PermitRootLoginno#作废root间接近程登录
9、封闭那些不必要的办事,记着少开一个办事,就少一个伤害。
以下仅列出必要启动的办事,未列出的办事一概封闭:
#setup
acpid
anacron
cpuspeed
crond
irqbalance仅当办事器CPU为S.M.P架构或撑持双中心、HT手艺时,才需开启,不然封闭。
microcode_ctl
network
random
sendmail
sshd
syslog
yum-updatesd
10、启用iptables防火墙,对增添体系宁静有很多优点。设置好防火墙的划定规矩。
vi/etc/sysconf/iptables
*filter
:INPUTDROP[0:0]
:FORWARDDROP[0:0]
:OUTPUTACCEPT[0:0]
#allowlocalloopbackconnections
-AINPUT-ilo-jACCEPT
#dropINVALIDconnections
-AINPUT-mstateCstateINVALID-jDROP
-AOUTPUT-mstateCstateINVALID-jDROP
-AFORWARD-mstateCstateINVALID-jDROP
#allowallestablishedandrelated
-AINPUT-mstateCstateESTABLISHED,RELATED-jACCEPT
#addanymoreruleshere
COMMIT
3、限定收集会见
1.NFS会见
假如您利用NFS收集文件体系办事,应当确保您的/etc/exports具有最严厉的会见权限设置,也就是意味着不要利用任何
通配符、不同意root写权限而且只能装置为只读文件体系。编纂文件/etc/exports并到场以下两行。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是您想输入的目次,host.mydomain.com是登录这个目次的呆板名,ro意味着mount成只读体系,
root_squash克制root写进该目次。为了使修改失效,运转以下下令。
#/usr/sbin/exportfs-a
2.Inetd设置
起首要确认/etc/inetd.conf的一切者是root,且文件权限设置为600。设置完成后,可使用”stat”下令举行反省。
#chmod600/etc/inetd.conf
然后,编纂/etc/inetd.conf克制以下办事。
ftptelnetshellloginexectalkntalkimappop-2pop-3fingerauth
假如您装置了ssh/scp,也能够克制失落Telnet/FTP。为了使改动失效,运转以下下令:
#killall-HUPinetd
默许情形下,多半Linux体系同意一切的哀求,而用TCP_WRAPPERS加强体系宁静性是举手之劳,您能够修
改/etc/hosts.deny和/etc/hosts.allow来增添会见限定。比方,将/etc/hosts.deny设为”ALL:ALL”能够默许回绝一切会见
。然后在/etc/hosts.allow文件中增加同意的会见。比方,”sshd:192.168.1.10/255.255.255.0gate.openarch.com”暗示
同意IP地点192.168.1.10和主机名gate.openarch.com同意经由过程SSH毗连。
设置完成后,能够用tcpdchk反省:
#tcpdchk
tcpchk是TCP_Wrapper设置反省工具,它反省您的tcpwrapper设置并呈报一切发明的潜伏/存在的成绩。
3.登录终端设置
/etc/securetty文件指定了同意root登录的tty装备,由/bin/login步伐读取,其格局是一个被同意的名字列表,您能够
编纂/etc/securetty且正文失落以下的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
这时候,root仅可在tty1终端登录。
4.制止显现体系和版本信息。
假如您但愿近程登任命户看不到体系和版本信息,能够经由过程一下操纵改动/etc/inetd.conf文件:
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h
加-h暗示telnet不显现体系信息,而仅仅显现”login:”。
5.修正响应设置文件中断ipv6。
#vi/etc/modprobe.conf
aliasnet-pf-10off
aliasipv6off
#shutdown-rnow
4、避免打击
1.制止ping假如没人能ping通您的体系,宁静性天然增添了。为此,能够在/etc/rc.d/rc.local文件中增添以下一行

#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
2.避免IP棍骗
编纂host.conf文件并增添以下几行来避免IP棍骗打击。
orderbind,hosts
multioff
nospoofon
3.避免DoS打击
对体系一切的用户设置资本限定能够避免DoS范例打击。如最猛进程数和内存利用数目等。比方,能够
在/etc/security/limits.conf中增加以下几行:
*hardcore0
*hardrss5000
*hardnproc20
然后必需编纂/etc/pam.d/login文件反省上面一行是不是存在。
sessionrequired/lib/security/pam_limits.so
下面的下令克制调试文件,限定历程数为50而且限定内存利用为5MB。
经由以上的设置,您的Linux办事器已能够对尽年夜多半已知的宁静成绩和收集打击具有免疫才能,但一位优异的体系管
理员仍旧要时候注重收集宁静静态,随时对已表露出的和潜伏宁静毛病举行修补。
5、内核参数调剂
#vi/etc/sysctl.conf
sysctl-wnet.ipv4.conf.default.accept_source_route=0
sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts=1
#sysctl-wnet.ipv4.icmp_echo_ignore_all=1
sysctl-wnet.ipv4.icmp_ignore_bogus_error_responses=1
sysctl-wnet.ipv4.ip_conntrack_max=65535
sysctl-wnet.ipv4.tcp_syncookies=1
sysctl-wnet.ipv4.tcp_syn_retries=1
sysctl-wnet.ipv4.tcp_fin_timeout=5
sysctl-wnet.ipv4.tcp_synack_retries=1
sysctl-wnet.ipv4.tcp_syncookies=1
sysctl-wnet.ipv4.route.gc_timeout=100
sysctl-wnet.ipv4.tcp_keepalive_time=500
sysctl-wnet.ipv4.tcp_max_syn_backlog=10000


除开启防火墙外,还要开启SELINUX,不晓得怎样开,上图
#setup
其次,用防火墙封闭不必要的任何端口,他人PING不到办事器,威逼自然削减了一泰半
避免他人ping的***:
1)下令提醒符下打
echo1 >/proc/sys/net/ipv4/icmp_ignore_all
2)用防火墙克制(或抛弃)icmp包
iptables-AINPUT-picmp-jDROP
3)对一切用ICMP通信的包不予呼应
好比PINGTRACERT如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!
老尸 该用户已被删除
沙发
发表于 2015-1-16 18:55:10 | 只看该作者

带来一篇Centos 5.5办事器的宁静设置

学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。
若天明 该用户已被删除
板凳
发表于 2015-1-19 21:44:35 | 只看该作者
感谢老师和同学们在学习上对我的帮助。
乐观 该用户已被删除
地板
发表于 2015-1-28 13:45:38 | 只看该作者
当然你不需搭建所有服务,可以慢慢来。自己多动手,不要非等着别人帮你解决问题。
分手快乐 该用户已被删除
5#
发表于 2015-2-14 02:17:09 | 只看该作者
熟悉操作是日常学习Linux中的三大法宝。以下是作者学习Linux的一些个人经验,供参考:
活着的死人 该用户已被删除
6#
发表于 2015-3-4 04:14:09 | 只看该作者
清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。
灵魂腐蚀 该用户已被删除
7#
发表于 2015-3-11 16:37:02 | 只看该作者
得到到草率的回答或者根本得不到任何Linux答案。越表现出在寻求帮助前为解决问题付出的努力,你越能得到实质性的帮助。
8#
发表于 2015-3-19 06:42:32 | 只看该作者
其实老师让写心得我也没怎么找资料应付,自己想到什么就写些什么,所以不免有些凌乱;很少提到编程,因为那些在实验报告里已经说了,这里再写就多余了。
金色的骷髅 该用户已被删除
9#
发表于 2015-3-27 12:08:46 | 只看该作者
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 00:30

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表