中標(biāo)麒麟高級服務(wù)器操作系統(tǒng)培訓(xùn)四完整版

1、 內(nèi)容大綱 系統(tǒng)安全 常見問題 以服務(wù)形式提供系統(tǒng)資源 計算機(jī)體系由各種“角色”組成 提供服務(wù)的系統(tǒng) 請求服務(wù)的系統(tǒng) 系統(tǒng)體系由各種“角色”組成 提供服務(wù)的進(jìn)程 請求服務(wù)的進(jìn)程 處理體系由各種“角色”組成 提供服務(wù)的帳戶 接受服務(wù)的帳戶 作為保護(hù)系統(tǒng)安全的策略，系統(tǒng)資源及其 使用必須要被逐項記錄 從實際操作角度討論安全 從設(shè)計目標(biāo)上講，系統(tǒng)提供可用資源 只提供您必須提供的服務(wù)，只提供給必需 的用戶 “我需要提供這個服務(wù)嗎？我知道自己在提供 它嗎？” “他們需要這個服務(wù)嗎？他們知道這個服務(wù)的 存在嗎？” “系統(tǒng)行為和它的歷史記錄一致嗎？” “我有沒有應(yīng)用所有相關(guān)的安全更新？” 監(jiān)控系統(tǒng)資源的安全

2、弱點(diǎn)和不良性能 安全策略：用戶 管理用戶活動 包括安全策略的維護(hù) 誰負(fù)責(zé)什么？ 關(guān)于假警報，誰做最后的決定？ 什么時候通知系統(tǒng)？ 安全策略：系統(tǒng) 管理系統(tǒng)活動 定期系統(tǒng)監(jiān)控 在外部服務(wù)器上記載日志，以防萬一系統(tǒng)泄密 使用 logwatch 來監(jiān)控系統(tǒng)日志 監(jiān)控輸入和輸出的帶寬用量 定期備份系統(tǒng)數(shù)據(jù) 響應(yīng)策略 假定可疑的系統(tǒng)是不值得信任的 不要運(yùn)行來自可疑系統(tǒng)的程序 用可信的介質(zhì)引導(dǎo)，校驗是否有破壞之處 分析遠(yuǎn)程記錄器的日志和“本地”日志 根據(jù)只讀的備份 RPM 數(shù)據(jù)庫來檢查文件的完整 性 為機(jī)器制作一份系統(tǒng)映像，進(jìn)行進(jìn)一步的 分析和證據(jù)收集 重新安裝機(jī)器，從備份中恢復(fù)數(shù)據(jù) 系統(tǒng)錯誤和違例 都會

3、影響系統(tǒng)性能 系統(tǒng)性能關(guān)系到系統(tǒng)安全 系統(tǒng)錯誤會生出體系空檔 體系空檔會給另類資源訪問提供可乘之機(jī) 另類資源訪問機(jī)會會導(dǎo)致無法記錄的資源訪問 無法記錄的資源訪問是違反安全策略的行為 對錯誤進(jìn)行分析的方法 判斷問題的性質(zhì) 再現(xiàn)出錯過程 查找進(jìn)一步信息 錯誤分析：假說 形成一系列假說 挑選一個假說來證明 測試假說 對錯誤進(jìn)行分析的方法 記錄結(jié)果，若有必要建立或測試新的假說 如果簡單的假說沒有產(chǎn)生有建設(shè)性的結(jié)果， 就需要進(jìn)一步分析問題 錯誤分析：收集數(shù)據(jù) strace tail -f syslog 的 *.debug(var/log/debug) 應(yīng)用程序中的 -debug 選項 系統(tǒng)監(jiān)控的益處 系

4、統(tǒng)性能和安全性可以通過定期系統(tǒng)監(jiān)控 來維護(hù) 系統(tǒng)監(jiān)控包括： 網(wǎng)絡(luò)監(jiān)控和分析 文件系統(tǒng)監(jiān)控 進(jìn)程監(jiān)控 日志文件分析 修改 OpenSSH 服務(wù)默認(rèn)端口 配置文件路徑：/etc/ssh/sshd_config Port 22 外網(wǎng)環(huán)境下，默認(rèn) 22 端口號極容易被黑客工具掃描 到實施暴力破解 PermitRootLogin yes 默認(rèn)情況下允許 root 用戶直接通過 SSH 登錄較容易 導(dǎo)致被暴力破解 可關(guān)閉的服務(wù) 通過關(guān)閉不必要服務(wù)的方式減少端口的監(jiān) 聽 中標(biāo)軟件的服務(wù)： cobblerd nkucsd nrpe systemcenter 可關(guān)閉的服務(wù) 其他系統(tǒng)服務(wù) atd autofs b

5、lutooth certmonger iscsi 不使用 iSCSI 可關(guān)閉 iscsid 不使用 iSCSI 可關(guān)閉 mcelogd mdmonitor netfs 不使用 NFS 或 Samba 可關(guān)閉 nfslock 不使用 NFS 可關(guān)閉 rpcbind 不使用 RPC 協(xié)議可關(guān)閉 rpcgssd xinetd 內(nèi)容大綱 系統(tǒng)安全 常見問題 物理服務(wù)器安裝 常見影響安裝的情況： RAID 未創(chuàng)建 現(xiàn)象：在系統(tǒng)安裝過程中無法識別到硬盤 解決：進(jìn)入 RAID 卡控制界面配置 RAID（建議讓硬 件原廠技術(shù)人員配置） RAID 卡沒有驅(qū)動 現(xiàn)象：在系統(tǒng)安裝過程中無法識別到硬盤 解決：確定硬件

6、的具體型號和安裝介質(zhì)的具體版本 安裝系統(tǒng)前已經(jīng)通過 HBA 卡連接到存儲陣列 現(xiàn)象：可能導(dǎo)致系統(tǒng)安裝到存儲陣列或者引導(dǎo)程序 安裝到存儲陣列，存儲陣列連接異常會引起無法啟 動 解決：系統(tǒng)安裝前，拔掉連接存儲陣列的線 虛擬化平臺安裝 VMware ESXi 6.0 開始可以從 Guest OS 菜單中選擇 老版本 ESXi 選擇 Red Hat Enterprise Linux 6 64位 Citrix Guset OS 選擇 Other 進(jìn)行安裝 通過 Red Hat Enterprise Linux 安裝會報錯 華為華為 高版本可以在 Guest OS 選擇菜單中看到 低版本選擇 Red Ha

7、t Enterprise Linux 6 作為 Guest OS 由于顯卡驅(qū)動問題，系統(tǒng)安裝完成后，需要手 動升級 xorg-x11-drv-cirrus 軟件包，否則圖形界 面會花屏 系統(tǒng)分區(qū)規(guī)劃 分區(qū)前先跟客戶或應(yīng)用開發(fā)商進(jìn)行確認(rèn)， 他們是否有特殊的系統(tǒng)分區(qū)要求 如果用戶無明確分區(qū)要求，使用下面分區(qū) 方案能夠有效降低未來遇到磁盤空間不足 問題的概率： /boot 默認(rèn) 500MB LVM 剩余空間創(chuàng)建邏輯卷 SWAP 根據(jù)內(nèi)存大小設(shè)置 / 所有剩余空間 系統(tǒng)分區(qū)規(guī)劃 使用自動分區(qū)的情況： 系統(tǒng)中提供自動分區(qū)的設(shè)置，但是當(dāng)硬盤空間 大于 50GB 的情況下，系統(tǒng)會只分配 50GB 大小 的根

8、分區(qū)，其余空間被分配到了 /home 分區(qū) SWAP 分區(qū)大小設(shè)置： 內(nèi)存 2 - 8 GB 設(shè)置為內(nèi)存大小 2 倍 內(nèi)存 8 GB 以上設(shè)置為 16 GB 注意使用 1024 的倍數(shù)而不是 1000 的倍數(shù) 磁盤分區(qū)表 分區(qū)表類型 MBR 分區(qū)表：最大支持 2TB 硬盤 GPT 分區(qū)表：支持 2TB 以上硬盤 GPT 分區(qū)表必須用 EFI 才能引導(dǎo) 如何找回 root 用戶密碼 如果真忘了 root 用戶密碼，只能更改，無 法直接找回 修改 root 用戶密碼必須要重啟操作系統(tǒng)， 并且無法遠(yuǎn)程進(jìn)行修改 實質(zhì)是利用 Linux 系統(tǒng)的單用戶模式不驗證 的特點(diǎn)進(jìn)入 root 特權(quán)模式 如何找回 root 用戶密碼 首先開機(jī)按任意鍵進(jìn)入 GRUB 界面： 如何找回 root 用戶密碼 根據(jù)提示按 e 建進(jìn)入編輯模式： 如何找回 root 用戶密碼 選中第二行 kernel 開頭的再按 e 建編輯： 如何找回 root 用戶密碼 在 quite 參數(shù)后面添加 single 參數(shù)代表啟動 單用戶模式： 如何找回 root 用戶密碼 添加完參數(shù)并確認(rèn)后會回到之前的界面， 我們按照提示通過按 b 鍵開始啟動系統(tǒng)： 如何找回 root 用戶密碼 系統(tǒng)成功在不輸入密碼的情況下進(jìn)入了 root 用戶的虛擬控制臺： 如何找回 root 用戶密