《Linux網(wǎng)絡操作系統(tǒng)(CentOS 6.5)》課件-2-1-4 CentOS 6.5的安全配置_第1頁
《Linux網(wǎng)絡操作系統(tǒng)(CentOS 6.5)》課件-2-1-4 CentOS 6.5的安全配置_第2頁
《Linux網(wǎng)絡操作系統(tǒng)(CentOS 6.5)》課件-2-1-4 CentOS 6.5的安全配置_第3頁
《Linux網(wǎng)絡操作系統(tǒng)(CentOS 6.5)》課件-2-1-4 CentOS 6.5的安全配置_第4頁
《Linux網(wǎng)絡操作系統(tǒng)(CentOS 6.5)》課件-2-1-4 CentOS 6.5的安全配置_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

Linux網(wǎng)絡操作系統(tǒng)(CentOS)子任務四CentOS6.5的安全配置基本安全配置在服務器的安全配置中,應遵守以下原則:最小的權限+最少的服務=最大的安全因此必須把不用的服務關閉,把系統(tǒng)權限設置到最小化,這樣才能保證服務器最大的安全。注意:在做任何配置修改前,最好是將原始配置文件備份。(1)禁用不使用的用戶和用戶組當有些用戶或用戶組暫時不需要使用時,需要及時的將這些用戶和用戶組進行“封存”,但不必要將其刪除,而只需將其注釋即可。(2)關閉不需要使用的服務系統(tǒng)啟動時或在運行過程中,會隨著系統(tǒng)啟動或服務運行開啟一些服務進程,當然其中并不是所有的服務都是需要的,此時就應該將那些不需要使用的服務關閉?;景踩渲茫?)增加特殊文件權限為了防止某些非授權用戶對系統(tǒng)中的重要文件進行修改,可以對這些重要文件進行加鎖操作,即增加不可修改屬性。(4)修改history命令記錄

history命令記錄中有大量的系統(tǒng)管理員對系統(tǒng)進行的管理操作,這些操作如果一旦被非授權用戶獲取,就存在有安全隱患,因此我們需要將記錄的條數(shù)減少,以防止過多的歷史操作被竊取的可能。(5)隱藏服務器系統(tǒng)信息在默認情況下,當?shù)顷懙紺entOS服務器系統(tǒng)時,系統(tǒng)會顯示出該服務器使用的linux版本、內核版本等重要信息。我們需要將這些重要系統(tǒng)信息隱藏,不能讓它泄露出來。SELiunx配置SELinux可以允許系統(tǒng)管理員更加靈活的來定義安全策略。使用SELinux的策略后,SELinux能夠控制哪個進程只能訪問哪個文件。(1)SELinux工作模式enforcing:強制模式,對于違反策略的行為全部禁止,并且作內核記錄;permissive:警告模式,將該事件記錄下來,依然允許執(zhí)行;disabled:關閉selinux。SELiunx配置

getenforce命令獲取當前SELinux工作模式。

注意,系統(tǒng)默認開啟SELinux的強制模式。

setenforce命令臨時更改SELinux工作模式,0表示permissive,1表示enforcing。

臨時將SELinux工作模式更改為permissive,重啟系統(tǒng)后失效。SELiunx配置

修改SELinux配置文件修改SELinux配置文件“/etc/sysconfig/selinux”中的SELinux字段可以設置其工作模式,重啟后永久生效。

將SELINUX工作模式更改為disabled,重啟后方能生效。SELiunx配置(2)SELinux配置相關命令

chcon命令chcon命令是修改對象(文件)的安全上下文,比如:用戶、角色、類型、安全級別。也就是將每個文件的安全環(huán)境變更至指定環(huán)境。chcon命令格式為:chcon[選項]安全上下文對象(文件或目錄)常用選項有:-R:遞歸處理所有的文件及子目錄;-u:設置指定用戶的目標安全環(huán)境;-r:設置指定角色的目標安全環(huán)境;-t:設置指定類型的目標安全環(huán)境;-l:設置指定范圍的目標安全環(huán)境。SELiunx配置

getsebool命令獲取當前系統(tǒng)selinux策略值。getsebool命令格式為:getsebool[-a][布爾值條款]

其中,“-a”表示列出目前系統(tǒng)上面的所有布爾值條款設置為開啟或關閉值。

setsebool命令該命令是用來修改SElinux策略內各項規(guī)則的布爾值條款。setsebool命令格式為:setsebool[-P]布爾值條款=[0|1]其中,“-P”表示直接將設置值寫入配置文件,該設置數(shù)據(jù)永久生效。Iptables防火墻配置Iptable其實是Linux下的數(shù)據(jù)包過濾軟件,也是目前Centos默認的防火墻。Iptables利用的數(shù)據(jù)包過濾的機制,根據(jù)定義的規(guī)則來決定該數(shù)據(jù)包是進入主機還是丟棄。Iptables命令定義規(guī)則的格式為:iptables[-AI鏈名][-io網(wǎng)絡接口][-p協(xié)議][-s來源IP/網(wǎng)絡][-d目標IP/網(wǎng)絡]-j[ACCEPT/DROP/REJECT/LOG]參數(shù)說明如下:-A:新增一條規(guī)則,該規(guī)則在原規(guī)則的最后面;-I:插入一條規(guī)則,默認該規(guī)則在原第一條規(guī)則的前面,即該新規(guī)則變?yōu)榈谝粭l規(guī)則;Iptables防火墻配置參數(shù)說明如下(續(xù)):鏈名:即INPUT鏈(入站規(guī)則)、OUTPUT鏈(出站規(guī)則)、FORWARD鏈(轉發(fā)規(guī)則);-i:表示輸入,即數(shù)據(jù)包進入的網(wǎng)絡接口。與INPUT鏈配合;-o:表示輸出,即數(shù)據(jù)包傳出的網(wǎng)絡接口。與OUTPUT鏈配合;網(wǎng)絡接口:設置數(shù)據(jù)包進出的接口規(guī)范;-p協(xié)議:此規(guī)則適應于哪種數(shù)據(jù)包。如tcp、udp、icmp及all;-s來源IP/網(wǎng)絡:設置次規(guī)則

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論