新装Linux系统的简单安全设置.doc

新装linux系统的简单设置1.新系统安装好，首先要做的是配置ip。修改/etc/sysconfig/network-scripts/ifcfg-eth1这个文件，大概内容如下：DEVICE=eth1 #这是设备名BOOTPROTO=static #ip的获得方式是静态配置HWADDR=5c:f3:fc:0b:1d:3e #该网卡的mac地址ONBOOT=yes #开机是否激活该设备（很重要，有时候用setup命令配置后默认是no的，不改成yes会让你很郁闷的，这里就不废话了）IPADDR=23 #该网卡的ip地址NETMASK= #该网络的子网掩码TYPE=Ethernet #该设备的类型修改/etc/sysconfig/network这个文件，大概内容如下：NETWORKING=yes NETWORKING_IPV6=no #该行是关于是否启用ip v6，这里设置成不启用。HOSTNAME=localhost.localdomain #这里是该主机的主机名GATEWAY=53 #该机器的网关地址 2.修改主机名，这样可以使我清楚的知道该机器是做什么用的，我们可以用hostname命令修改，例如：hostname Tianzhou 这样设置的好处是随机生效，但是重启后会丢失。 也可以修改/etc/sysconfig/network完成，这样做不会立即生效，重启后才能生效，但是重启不丢失。3.修改路由，同样有两种方法：命令方法 route add -net netmask dev eth1 在/etc/sysconfig/network-scripts/目录下新建route-ethX文件，其中X是指第几块网卡。比如：route-eth1，其内容如下：/24 via 54/24 via 51添加完以上内容后，可以使ip route或route n查看设置是否正确，如下：Destination Gateway Genmask Flags Metric Ref Use Iface 54 UG 0 0 0 eth 51 UG 0 0 0 eth1 U 0 0 0 eth1 U 0 0 0 eth 53 UG 0 0 0 eth14.修改hosts文件（/etc/hosts），添加如下内容：8 liwei0 sunfeng1 zhoujing6 zhoushaogong5.修改/etc/profile文件，添加如下两行：HISTORY=1000 #记忆最大历史命令数为1000TMOUT=300 #用户登录系统300秒内没有任何动作将会自动退出系统。6.添加新的用户，运行Visudo命令（看清楚，visodu是一体的，中间没有空格），内容大致如下：82 # Allows people in group wheel to run all commands 83 # %wheel ALL=(ALL) ALL 84 85 # Same thing without a password 86 # %wheel ALL=(ALL) NOPASSWD: ALL 87 liwei ALL=(ALL) NOPASSWD: ALL 88 # Allows members of the users group to mount and unmount the# cdrom as root 我们复制第86行，然后将wheel改为我们要添加的用户名。例如第87行，Ok！7.删除多余的用户，我们可以cat /etc/passwd文件，内容如下：root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinnews:x:9:13:news:/etc/news:uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologindistcache:x:94:94:Distcache:/:/sbin/nologinnscd:x:28:28:NSCD Daemon:/:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin apache:x:48:48:Apache:/var/www:/sbin/nologin .avahi-autoipd:x:100:104:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin gdm:x:42:42:/var/gdm:/sbin/nologin sabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologinAfsdfaf根据专家的建议，从第4个用户到14个用户，都没有用处，在此我们把它们删除之，使用命令userdel 将这些无用的用户逐一删除。8.删除、停用不必须要的服务，首先我们运行下chkconfig -list查看下所有的服务运行状况，然后再用chkconfig -list |grep 5:启用检索下已经启动的服务项，把不必要的服务全部停掉。比如：chkconfig level 345 atd off即把atd这个服务在系统启动345级别时不再启动。我把每一个服务都代表什么写出来,大家自己根据自己的需要来决定.amd：自动安装NFS（网络文件系统）守侯进程apmd:高级电源管理Arpwatch：记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库atd 运行用户用At命令调度的任务。也在系统负荷比较低时 运行批处理任务。Autofs：自动安装管理进程automount，与NFS相关，依赖于NISBootparamd：引导参数服务器，为LAN上的无盘工作站提供引导所需的相关信息crond：Linux下的计划任务Dhcpd：启动一个DHCP（动态IP地址分配）服务器Gated：网关路由守候进程，使用动态的OSPF路由选择协议gpm gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了鼠标的支持。它也支持控制台鼠标的拷贝，粘贴操作以及弹出式菜单。Httpd：WEB服务器Inetd：支持多种网络服务的核心守候程序Innd：Usenet新闻服务器keytable 该程序的功能是转载您在/etc/sysconfig/keyboards里说明的键盘映射表，该表可以通过kbdconfig工具进行选 择。您应该使该程序处于激活状态。ldap LDAP代表Lightweight Directory Access Protocol， 实现了目录访问协议的行业标准。Linuxconf：允许使用本地WEB服务器作为用户接口来配置机器Lpd：打印服务器Mars-nwe：mars-nwe文件和用于Novell的打印服务器mcserv Midnight Commander服务进程允许远程机器上的用户通过MidnightCommander文件管理器操作本机文件。服务进程用PAM来验证用户，需要给出“用户名/口令”以通过验证named：DNS服务器netfs：安装NFS、Samba和NetWare网络文件系统network：激活已配置网络接口的脚本程序nfs：打开NFS服务nscd：nscd(Name Switch Cache daemon)服务器，用于NIS的一个支持服务，它高速缓存用户口令和组成成员关系Pcmcia pcmcia主要用于支持笔记本电脑。portmap：RPC portmap管理器，与inetd类似，它管理基于RPC服务的连接postgresql：一种SQL数据库服务器random 保存和恢复系统的高质量随机数生成器，这些随机数是系统一些随机行为提供的routed：路由守候进程，使用动态RIP路由选择协议rstatd：一个为LAN上的其它机器收集和提供系统信息的守候程序ruserd：远程用户定位服务，这是一个基于RPC的服务，它提供关于当前记录到LAN上一个机器日志中的用户信息rwalld：激活rpc.rwall服务进程，这是一项基于RPC的服务，允许用户给每个注册到LAN机器上的其他终端写消息rwhod：激活rwhod服务进程，它支持LAN的rwho和ruptime服务sendmail：邮件服务器sendmailsmb：Samba文件共享/打印服务snmpd：本地简单网络管理候进程squid：激活代理服务器squidsyslog：一个让系统引导时起动syslog和klogd系统日志守候进程的脚本Webmin webmin是基于web的集系统管理与网络管理于一身的强大管理工具。利用webmin的强大功能，用户可以通过web浏览器来方便地设置自己的服务器、dns、samba、nfs、本地/远程文件系统以及许多其他的系统配置。xfs：X Window字型服务器，为本地和远程X服务器提供字型集xntpd：网络时间服务器ypbind：为NIS（网络信息系统）客户机激活ypbind服务进程yppasswdd：NIS口令服务器ypserv：NIS主服务器gpm：管鼠标的identd：AUTH服务，在提供用户信息方面与finger类似可能还有不全的解释,希望大家能补上.9.配置防火墙脚本，即在/sbin/目录下新建fw.sh脚本文件，其中内容如下： #!/bin/bashipt=/sbin/iptables #此命令是调用/sbin下的iptables防火墙。 NET_11=/24 #定义一个网络段 NET_10=/24 #同上 ETH_LAN=eth1 #定义网卡连接的网络 ETH_WAN=eth0 #同上MTPort=80,780,5873,1800,1810,512,1440,1441,3389 #此句是定义开放的tcp端口号 MUPort=1890,5000:20000 #此句是定义开放的udp端口号 /sbin/service iptables stop $ipt -P INPUT DROP #拒绝所有进去机器的数据包 $ipt -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT $ipt -A INPUT -p tcp ! -syn -m state -state NEW -j DROP #丢弃来自任何机器非syn到该主机的请求包。 $ipt -A INPUT -i $ETH_LAN -s $NET_10 -p tcp -dport 22 -m state -state NEW -j ACCEPT#允许/24段的机器访问该主机的22端口。 $ipt -A INPUT -i $ETH_LAN -s $NET_11 -p tcp -dport 22 -m state -state NEW -j ACCEPT#允许/24段的机器访问该主机的22端口。$ipt -A INPUT -s 0 -p tcp -dport 22 -j ACCEPT #允许机器0访问该主机的22端口。$ipt -A INPUT -p tcp -m multiport -dport $MTPort -m state -state NEW -j ACCEPT #允许其他机器访问该主机80，780，5873，1800，1810，512，1440，1441，3389这些tcp端口。$ipt -A INPUT -p udp -m multiport -dport $MUPort -j ACCEPT #允许其他机器访问该主机1890,5000:20000这些udp端口。 $ipt -A INPUT -i lo -j ACCEPT $ipt -A INPUT -p icmp -icmp-type 8 -m limit -limit 20/s -j ACCEPT #允许其他机器每秒发送20icmp包到该主机。 $ipt -A INPUT -p icmp -icmp-type 8 -j DROP #禁止其他任何机器ping该主机。 /sbin/service iptables save #具体详细说明，因时间关系不再解说，在此略过。保存退出后，别忘记更改权限：chmod 700 /sbin/fw.sh10.时钟同步，这样做的好处对于普 通用户意义不大，但对于Linux网络管理员却有很大的用处。例如，要将一个很大的网络中(跨越若干时区)的服务器同步，假如位于美国纽约的Linux服 务器和北京的Linux服务器，其中一台服务器无须改变硬件时钟而只需临时设置一个系统时间，如要将北京服务器上的时间设置为纽约时间，两台服务器完成文 件的同步后，再与原来的时钟同步一下即可。这样系统和硬件时钟就提供了更为灵活的操作。废话少说，方案一：在Linux中，NTP客户端要进行网络校时，可直接执行下面的命令：# ntpdate 此外，为了使NTP客户端每天都能与本地网络中的NTP服务器保持时间同步，可以将网络校时任务写入cron。例如，要使NTP客户端每天2:30自动进行网络校时，可将下面的命令加入到/etc/crontab文件中。23 */4 * * * root ntpdate 30 2 * * * root /usr/sbin/ntpdate ; /sbin/hwclock w优点：简单，易用，对系统的配置文件修改最少。缺点：此方法修改的时间为跳跃式，可能对应用会带来影响。方案二：修改有关上层NTP服务器的设置 设置使用上层NTP服务器来校正本机时钟的语句格式为： server IP地址或域名 prefer 为了能使用上层NTP服务器来校正本地NTP服务器主机的时钟，应在/etc/ntp.conf文件中做了以下设置。（1）在“server 0.”语句前添加下面的语句。server server 12设置好配置文件/etc/ntp.conf后，为了使本机的NTP服务器能够到指定的时间源那里进行同步，还应修改/etc/ntp/step-tickers文件，在该文件中加入所用的上层NTP服务器的IP地址或域名。本例中的/etc/ntp/step-tickers文件的内容如下。12最后，将ntp服务重启：/etc/init.d/ntpd restart优点：可以通过操作系统自带的时间服务逐步与时钟服务器同步，功能比较多，而且还可以将本服务器作为二级服务器为其他节点提供时钟服务。缺点：此方法需要修改一些操作系统配置文件，而且涉及到NTP服务的重启。11、增加grup启动时的密码Vi /etc/grup.conf# grub.conf generated by anaconda# Note that you do not have to rerun grub after making changes to this file# NOTICE: You have a /boot partition. This means that# all kernel and initrd paths are relative to /boot/, eg.# root (hd0,0)# kernel /vmlinuz-version ro root=/dev/VolGroup00/LogVol00# initrd /initrd-version.img#boot=/dev/sdadefault=0timeout=5password=Abc1234dsplashimage=(hd0,0)/grub/splash.xpm.gzhiddenmenutitle CentOS (2.6.18-164.el5xen) root (hd0,0) kernel /xen.gz-2.6.18-164.el5 module /vmlinuz-2.6.18-164.el5xen ro root=/dev/VolGroup00/LogVol00 module /initrd-2.6.18-164.el5xen.img12、禁用Ctrl+Alt+Del热启动Vi /etc/initab我们只要像下面内容一样简单的将命令行注释掉就可以禁用此功能了# Trap CTRL-ALT-DELETE#ca:ctrlaltdel:/sbin/shutdown -t3 -r now13、修改SSH端口 Vi /etc/ssh/sshd_configPort 2214、添加DNSvi /etc/resolv.confnameserver 0 #=此地址就是添加的DNS地址nameserver 15、修改字体显示 Vi /etc/sysconfig/i18nLANG=zh_CNSYSFONT=latarcyrheb-sun16SUPPORTED=en_US.UTF-8:en_US:en16、Crontab定义任务计划cron 假定系统持续运行。如果当某任务被调度时系统不在运行，该任务就不会被执行。 要使用 cron 服务，你必须安装了 vixie-cron RPM 软件包，而且必须在运行 crond 服务。要判定该软件包是否已安装，使用 rpm -q vixie-cron 命令。要判定该服务是否在运行，使用 /sbin/service crond status 命令。 cron 的主配置文件是 /etc/crontab，它包括下面几行： SHELL=/