網(wǎng)站服務(wù)器安全設(shè)置之Linux系統(tǒng)安全部署_第1頁
網(wǎng)站服務(wù)器安全設(shè)置之Linux系統(tǒng)安全部署_第2頁
網(wǎng)站服務(wù)器安全設(shè)置之Linux系統(tǒng)安全部署_第3頁
網(wǎng)站服務(wù)器安全設(shè)置之Linux系統(tǒng)安全部署_第4頁
網(wǎng)站服務(wù)器安全設(shè)置之Linux系統(tǒng)安全部署_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、針對于linux系統(tǒng)的服務(wù)器安全設(shè)置常用的方法以及服務(wù)器的安全優(yōu)化都進(jìn)行詳細(xì)的重點介紹給新手 入門linux系統(tǒng)的安全設(shè)置,安全無小事,作為一個專職的系統(tǒng)管理員,打造一個安全的linux系統(tǒng)是 管理員的一個基本素質(zhì),以下15項講的就是sinesafe為客戶部署的這些安全設(shè)置以及優(yōu)化的方法, 如果想要深入專業(yè)的安全設(shè)置部署建議咨詢專業(yè)做安全的公司,國內(nèi)推薦sinesafe,綠盟,啟明星辰等 等。一、注釋掉系統(tǒng)不需要的用戶和用戶組注意:不建議直接刪除,當(dāng)你需要某個用戶時,自己重新添加會很麻煩。cp /etc/passwd /etc/passwdbak #修改z前先備份vi /etc/passwd

2、#編輯用戶,在前面加上#注釋掉此行#adm :x :3:4:adm :/var/adm :/sbi n/no login#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin#sync:x:5:0:sync:/sbin:/bin/sync#shutdown:x:6:0:shutdow n:/sbin:/sbi n/shutdown#halt:x:7:0:halt:/sbin:/sbin/halt#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbi n

3、/nologi n#games:x:12:1 oo:games:/usr/games:/sbi n/nologin#gopher:x:13:30:gopher:/var/gopher:/sbin/nologi n#ftp:x:14:50:ftp user:/var/ftp:/sbin/nologin #注釋掉 ftp 匿名賬號cp /etc/group /etc/groupbak #修改z前先備份vi /etc/group #編輯用戶組,在前面加上#注釋掉此行#adm:x:4:root,adm,daemon#lp:x:7:daemon,lp#uucp:x:14:uucp#games:x:20:

4、#dip:x:40:二、關(guān)閉系統(tǒng)不需要的服務(wù)service acpid stop chkconfig acpid off #停止服務(wù),取消開機(jī)啟動#電源進(jìn)階設(shè)定,常用在laptop 上service autofs stop chkconfig autofs off #停用門動掛載檔木安系統(tǒng)與週邊裝置service bluetooth stop chkconfig bluetooth off #停用 bluetooth 藍(lán)芽service cpuspeed stop chkconfig cpuspeed off #停用控制 cpu 速度主要用來省電service cups stop chkcon

5、fig cups off #停用 common unix printing system 使系統(tǒng)支援印表機(jī)service ip6tables stop chkconfig ip6tables off #禁止 ipv6#如果要恢復(fù)某一個服務(wù),可以執(zhí)行下面操作service acpid start chkconfig acpid on三、禁止非root用戶執(zhí)行/etc/rc.d/init.d/下的系統(tǒng)命令chmod -r 700 /etc/rc.d/init.d/*chmod -r 777 /etc/rc.d/init.d/* #恢復(fù)默認(rèn)設(shè)置四、給下面的文件加上不可更改屬性,從而防止非授權(quán)用戶獲得

6、權(quán)限chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadowchattr +i /etc/services #給系統(tǒng)服務(wù)端口列表文件加鎖,防止未經(jīng)許可的刪除或添加服務(wù)isattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services #顯示文件的屬性注意:執(zhí)行以上權(quán)限修改之后,就無法添加刪除用戶了。如果再要添加刪除用戶,需要先取消上面的設(shè)置,等用戶添加刪除完成之后,再執(zhí)行上面的操作chattr -i /etc/pa

7、sswd #取消權(quán)限鎖定設(shè)置chattr -i /etc/shadowchattr -i /etc/groupchattr -i /etc/gshadowchattr -i /etc/services #取消系統(tǒng)服務(wù)端口列表文件加鎖 現(xiàn)在可以進(jìn)行添加刪除用八了,操作完z后再鎖定冃錄文件五.限制不同文件的權(quán)限chattr +a .bash_history #避免刪除bash_history 或者重定向到/dev/nullchattr +i .bash_historychmod 700 /usr/bin 恢復(fù) chmod 555 /usr/binchmod 700 /bin/ping 恢復(fù) chm

8、od 4755 /bin/pingchmod 700 /usr/bin/vim 恢復(fù) chmod 755 /usr/bin/vimchmod 700 /bin/netstat 恢復(fù) chmod 755 /bin/netstatchmod 700 /usr/bin/tail 恢復(fù) chmod 755 /usr/bin/tailchmod 700 /usr/bin/less 恢復(fù) chmod 755 /usr/bin/lesschmod 700 /usr/bin/head 恢復(fù) chmod 755 /usr/bin/headchmod 700 /bin/cat 恢復(fù) chmod 755 /bin/

9、catchmod 700 /bin/uname 恢復(fù) chmod 755 /bin/unamechmod 500 /bin/ps 恢復(fù) chmod 755 /bin/ps六、禁止使用ctrl+alt+del快捷鍵重啟服務(wù)器cp /etc/inittab /etc/inittabbakvi /etc/inittab #注釋掉下面這一行#ca:ctrlaltdel:/sbin/shutdown -t3 -r now七、使用yum update更新系統(tǒng)時不升級內(nèi)核,只更新軟件包由于系統(tǒng)與硬件的兼容性問題,有可能升級內(nèi)核后導(dǎo)致服務(wù)器不能正常啟動,這是非常叮怕的,沒有 特別的需要,建議不要隨意升級內(nèi)核。

10、cp /etc/yum.conf /etc/yum.confbak1、修改 yum 的配置文件 vi /etc/yum.conf 在main的最后添加 exclude=kernel*2、直接在yum的命令后面加上如下的參數(shù):yum -exclude=kernet update查看系統(tǒng)版本cat /etc/issue查看內(nèi)核版本uname -a八、關(guān)閉centos自動更新chkconfig -list yum-updatesd #、'上示為前系統(tǒng)狀態(tài)yum-updatesd 0:關(guān)閉1:關(guān)閉2:啟用3:啟用4:啟用5:啟用6:關(guān)閉service yum-updatesd stop #關(guān)閉

11、開啟參數(shù)為 start停止 yum-updatesd:確定service yum-updatesd status #查看是否關(guān)閉yum-updatesd 己停chkconfig -level 35 yum-updatesd off #禁止開啟啟動(系統(tǒng)模式為 3、5)chkconfig yum-updatesd off #禁止開啟啟動(所有啟動模式全部禁止)chkconfig -list yum-updatesd #顯示當(dāng)前系統(tǒng)狀態(tài)yum-updatesd 0:關(guān)閉1:關(guān)閉2:啟用3:關(guān)閉4:啟用5:關(guān)閉6咲閉九、關(guān)閉多余的虛擬控制臺我們知道從控制臺切換到x窗口,一般采用aii-f7 ,為什么

12、呢?因為系統(tǒng)默認(rèn)定義了 6個虛擬控 制臺,所以x就成了第7個。實際上,很多人一般不會需要這么多虛擬控制臺的,修改/etc/inittab ,注釋 掉那些你不需要的。cp /etc/inittab /etc/inittabbak vi /etc/inittab# run gettys in standard runlevels1:2345:respawn:/sbin/mingetty tty1#2:2345:respawn:/sbin/mingetty tty2#3:2345:respawn:/sbin/mingetty tty3#4:2345:respawn:/sbin/mingetty tt

13、y4#5:2345:respawn:/sbin/mingetty 社y5#6:2345:respawn:/sbin/mingetty tty6十、刪除mysql歷史記錄用戶登陸數(shù)據(jù)庫后執(zhí)行的sql命令也會被mysql記錄在用戶目錄w.mysql_history文件里。如果數(shù)據(jù)庫用戶用sql語句修改了數(shù)據(jù)庫密碼,也會因.mysql_history文件而泄漏。所以我們在shell登陸及備份的吋候不要在p后直接加密碼,而是在提示后再輸入數(shù)據(jù)庫密碼。另外這兩個文件我們也應(yīng)該不讓它記錄我們的操作,以防萬一。cdcp bash_history .bash_historybak #備份cp mysql_hi

14、story .mysql_historybakrm .bash_history .mysql_historyin s /dev/null bash_historyin s /dev/null mysql_historyh一x修改history命令記錄cp /etc/profile /etc/profilebakvi /etc/profile找至ij histsize=1000 改為 histsize=50十二、隱藏服務(wù)器系統(tǒng)信息在缺省情況下,當(dāng)你登陸到linux系統(tǒng),它會告訴你該linux發(fā)行版的名稱、版本、內(nèi)核版本、服務(wù)器 的名稱。為了不讓這些默認(rèn)的信息泄露出來,我們耍進(jìn)行下面的操作,讓它只

15、顯示一個“l(fā)ogin:”提示符。刪除/etc/issue和/etc/這兩個文件,或者把這2個文件改名,效果是一樣的。mv /etc/issue /etc/issuebakmv /etc/ /etc/bak十三、優(yōu)化linux內(nèi)核參數(shù)cp /etc/sysctl.conf /etc/sysctl.confbakvi /etc/sysctl.conf #在文件末尾添加以下內(nèi)容net.ipv4.ip_forward = 1 # 修改為 1n et.core.somaxco nn = 262144n dev_max_backlog = 262144n et.core.wmem_default = 83

16、88608n et.core.rmem_default = 8388608n et.core.rmem_max = 16777216 net.core.wmem max = 16777216n et.ipv4. netfilter.ip_c onn track_max = 131072 n filter.ip conn track tcp timeout established = 180 n et.ipv4.route.gc_timeout = 20net.ipv4.ip_conntrack_max = 819200 net.ipv4.ip_local_port_range = 10024

17、65535 n et.ipv4.tcp_retries2 = 5n et.ipv4.tcp_fi n_timeout = 30n et.ipv4.tcp_s yn _retries = 1net.ipv4.tcp_synack_retries = 1net.ipv4.tcp_timestamps = 0n et.ipv4.tcp_tw_recycle = 1n et.ipv4.tcp_tw_le n = 1n et.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_keepalive_time = 120n et.ipv4.tcp_keepalive_probes = 3n

18、et.ipv4.tcp_keepalive_intvl = 15n et.ipv4.tcp_max_tw_buckets = 36000net.ipv4.tcp_max_orphans = 3276800net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_wmem = 8192 131072 16777216net.ipv4.tcp _rmem = 32768 131072 16777216 net.ipv4.tcp_mem = 94500000 915000000 927000000/sbin/sysctl -p #使配置立即生效十四、centos系統(tǒng)優(yōu)化cp /etc/profile /etc/profilebak2vi /etc/profile #在文件末尾添加以下內(nèi)容ul

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論