Linux服务器安全防护措施
王杰林2012-3-19
目前公司已经确定,数据库应用层和中间键应用层。而服务器的安全是从两个方面来保障的。一个是网络安全方面,另一个是程序安全方面。当程序没有漏洞,但是网络安全没有保障,那么所有的程序和数据都可能被丢失或破解。如果程序留有漏洞和后门,就算网络配置的再安全,也是枉然。这两个安全得到了保障才能真正的保证服务器的安全,仅仅采用网络安全配置是没有作用的。下面对于公司的Linux服务器安全设置和程序开发及安全应用措施如下:
一、网络安全配置
1、服务器系统的安全配置
◆Linux操作系统的防火墙设置
选择软件:由于公司采用的是Ubuntu Server 64bit Linux 操作系统。在这种操作系统下,有一个高级别安全性能的防火墙IPFire最新版,IPFire是基于状态检
测的防火墙,采用了内容过滤引擎,通讯服务质量(QoS :解决网络延迟,阻塞,丢失数据包,传输顺序出错等问题的一种技术,确保重要业务量不受延迟或丢弃,
同时保证网络的高效运行。),虚拟专用网络技术(VPN :主要功能是:信息包
分类,带宽管理,通信量管理,公平带宽,传输保证)和大量的检测记录。而且设
置简单,上手快。
设置:a、开启数据库的端口,这个是可以根据公司的要求设置的,比如,3306,4580,8868等等从1000-65535之间,一个终端只开放一个端口;
b、开放22端口,即SSH远程管理端口,只针对某个终端开放;
c、ubuntu service 版linux的最高权限用户root不要设置使用固定密码(系
统会在每隔5分钟自动生成一个密码,连服务器管理员都不可能知道
的);
◆安装杀毒软件
目前网络上用的比较多的杀毒软件,像avast、卡巴斯基都有linux版本的。我这里
推荐使用能够avast,因为其是免费的。在杀毒方面也比较强,下面是国内检测杀
毒软件的2011年的数据:
◆多终端应用
Linux是可以多终端独立应用的,为了保障服务器和数据的安全。在这里采用的是多终端多库应用,进行权限分级。如:
在Linux系统下增加一个终端用户,名为SSH,设置密码为:xxxxxxxx,在该用户下安装SSH服务端,并开放22端口。
同样的数据库也可以采用这个方式设置,端口是由公司内部指定,比如:
TJW(添健网)用户的密码是yyyyyy,在这个用户下安装MYSQL5.0,并设置端口为3306,数据库里面只针对添健网的数据库操作。
JDW(机电网)用户的密码是sssssss,同样独立安装或者配置MYSQL5.0,设置端口为3307,通过这个用户进去只能操作机电网的数据库
◆让服务器定期更新漏洞
操作系统可以设置为定期更新漏洞,这些漏洞往往成为黑客攻击的目标。
不必要担心系统会下载病毒,应为系统只会指定到官方网站上去现在更新。
如果等到服务器能下载非法更新包时,操作系统早已经崩溃。
◆设置一些傀儡服务器
这个是雅虎的做法,设置几台傀儡服务器(也可以叫中继服务器)具有程序自我回复和还原功能。每台服务器的系统和端口不一。由于系统设置了自我恢复功能和恢复时间。就算黑客攻击掉了其中一台,也可以保证网络系统不会停止运营。
2、常见的服务器攻击手段即网络配置
●拒绝服务(DDOS攻击)
攻击方式:
SYN(DDOS攻击)是最常见又最容易被利用的一种攻击手法,利用TCP协议缺陷,发送了大量伪造的TCP连接请求(由于服务器TCP被请求,但是得不到客户机的确认,就会尝试3次),使得被攻击方资源耗尽,无法及时回应或处理正常的服务请求。
判断方法:
输入命令:netstat –n –p TCP | grep SYN_RECV | grep:22 | wc –L
其中22是指端口,如果显示的是10以下则是正常的,显示为10-30可能被攻击,30以上是绝对被攻击。
防范配置:
由于这种攻击是来源于TCP/IP协议的先天漏洞,完全规避是不可能的。只能通过一些手段减轻攻击产生的后果。
A、通过物理防火墙和过滤网关防护
这个与IDC机房有关,判断IDC机房是否具备防火墙。通过防火墙代理接收和发送请求来减少对服务器本身的攻击压力。
B、加固TCP/IP协议
设置请求时间和连接次数,这个调整需要注意的是,如果修改了相关的值。
可能造成操作系统其他的功能毁坏。在没有十足的把握前请不要去设置。下面是Linux下的基础设置不会影响到其他功能:
1) 防止各种端口扫描,因为请求和接收是与端口有关。首先要屏蔽扫描
端口,这样限制外部计算机通过Ping和扫描端口来判定哪些端口是开放。
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s –j ACCEPT
2)禁止使用ping,同时防止ping云攻击
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s –j ACCEPT
3)开启Linux的syncookies功能,防范部分SYN攻击;
sysctl -w net.ipv4.tcp_syncookies=1;
4)设置最大半连接数量,修改tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_max_syn_backlog=2048;
5)调整重试次数(默认是重试5次)
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3
6)开启截流阀功能,设置每秒钟只允许发送一次半连接请求。1秒后自
动恢复,如果已经连接上的是不受影响的
iptables -I INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -I FORW ARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
C、定期巡检
定期让工作人员检查系统日志,查看是否正常。检查方法见判断方法
信息炸弹
攻击手段:
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。
一般这种攻击分为:信息炸弹和逻辑炸弹。
信息炸弹主要是短时间内,向数据库中添加大量的数据。使数据库表大小达到文件系统的最高限制,造成数据库表文件损坏。
逻辑炸弹是通过书写一些死循环代码自我数据累加,最后使服务器或应用程序变慢或则文件损坏。
判断方法:
信息炸弹通常是攻击应用程序和数据库,判断方法
数据库:检查是否较短时间内添加了大量的数据。而且所有的数据是相似的或相同的。同时检查数据管理软件的日志文件。
查看系统日志,看是否有程序执行过程中的异常。
防范配置:
对于数据库可以采用本身的触发器功能进行判断是否为有效插入,屏蔽掉代码的Web关键字符例如尖括号<>。因为这样的代码是可执行的,可能引起服务器和其他客户电脑中毒。
对操作系统设置多端口,多用户权限。一般开放较低的权限用户对外。
这个可以通过服务器的安全配置杜绝。
网络监听
攻击手段:
由于B/S结构的系统,从用户浏览器提交信息到服务器只有两种方法:
Get和Post方法,然后就是在线上传和FTP
这些方法提交信息时有一个网络包,对于服务器来讲是这个包是安全的。
而这个包是可以在本机电脑上通过网络嗅敏器监听来获取。
有了包的数据,然后再通过一些注入软件,重复提交或者伪装一些木马后提交。这种工具网络上是有很多的。尤其是在一些文件上传和图片上传最容易挂马。
判断方法:
通常这样攻击web服务器是无法检测和判断的。一般需要一个有经验的程序员来规避程序上的问题,然后通过中继服务器验证判断后再最终提交数据和信息。
防范配置:
1、安装服务器版的杀毒软件,实时监控端口接收到的数据。
2、通过中继服务器程序判断提交的数据,
1)、如果是基本信息提交,就通过验证码、数字证书、ActiveX控件来加密信息。这样监听出来的数据本身是加密的。而且只能通过SSL安
全通道提交。
2)、如果提交的是图片,限制图片上传的种类。上传图片后在中继服务器上通过JA V A程序对图片像素无损压缩或转换格式为统一标准。如果
JA V A程序在处理过程中异常,则删除这个图片并返回用户上传非法图片
和需要重新上传。因为挂马的图片已经不是一张图片格式了,是无法通过
程序验证处理。
3)、如果上传的是视频,也要通过专门的压缩程序转换成网站能识别的视频格式。和图片一样。
4)、Word文档或其他文本文档,上传后通过中继服务器压缩成压缩包再转存到最终服务器上。
由于用户所监听的是本机与中继服务器的交互,并不知道中继服务器和最
终数据服务器的交互。所以用户无法远程引发病毒程序。
破解密码
攻击手段:
黑客最喜欢做的事就是破解密码,而且这个破解有很多方法,通常这些方法主要用在客户自己的电脑上。
比如通过木马获取按键循序;采用IE和火狐里面的密码保护程序进行反编译破解;使用既有的一些破解算法比如MD5、Base64等加密算法进行反向
加密;使用查看Password属性输入框查看工具等等
服务器方面很少,除非已经攻入进去,否则是拿不到密码的。如果已经攻入进去了就不会再有必要去破解密码了。密码外泄一般是内贼。
判断方法:
这个往往主要在于客户自己的电脑上,所以我们无法去判断。不过程序上可以实现在IP段上提醒用户。
防范配置:
WEB程序上设计一个ActiveX控件,不采用Password输入框,而是通过ActiveX来提交密码并自主加密。
设计一个专门的数字证书,对网页通讯进行加密。
二、程序开发及数据安全应用措施
1、程序安全
服务器的安全不能只在网络和设备方面,程序也是最重要的一个环节。服务器的操作系统本身的安全系数就比较搞,再加上一些物理防火墙等一个黑客想攻击进如一台服务器是有难度的。但是如果程序具有后门和漏洞,就算服务器安全保护的再强,也是没有用的。
1)、开发程序时,应该使用一些必要的工具来检测程序的漏洞和后门;
2)、采用中继服务器接口技术,隔开用户直接访问最终服务器;
3)、对用户提交和上传的任何文件和信息必须通过转换后再保存;
4)、检查程序的执行速度和资源消耗情况,并且做好优化。防止通过大量的程序执行造成当机(死机)。
2、数据安全
主要是指数据库,数据库管理软件具有权限管理和用户管理。最高权限是root用户,这个用户具有所有的增删改查(库、表、字段)的权限。保障数据的安全可以通过下面方式进行:
1)、针对不同的中继服务器接口开放不同的用户和权限,比如:注册新用户时,只开放一个用户为register;这个用户的权限为增加数据的权限,屏蔽掉库、表、字段信息的删改查功能。
2)、多采用存储过程和触发器,这两样功能是通过数据库管理软件自主运行的,与外部程序无关。这样做的好处是,建立一些备份数据库,当用户插入一条数据时自动通过触发器备份到备份数据库中。对于一些与资金有关的业务逻辑也可以通过触发器计算验证数据的唯一和真实性,然后更新到资金流表中。这样外部程序是不能直接操作资金流表的。并且可以通过存储过程和触发器对某些字段进行专门的加密。
3)、数据库服务器采用磁盘整列,保证文件数据的长期保存;不会因为磁盘坏道造成数据丢失。
4)、设置数据库管理然间设置成自动更新,防止因为软件漏洞造成攻击。
5)、采用异地多机热备份,保证数据的安全和完整,同时规避当机风险造成整个系统停运。
实验一安装Linux操作系统 【实验目的】 了解Linux操作系统的发行版本;掌握Linux系统安装方法;掌握网络配置和网络环境测试。 【实验内容】 1.Vmware Workstation 6.0下创建Red Hat Linux虚拟机,要求虚拟机的内存为256MB或更大,硬盘为8GB或更大。 2.使用RHEL 5的ISO文件安装Linux系统。 【实验步骤】 1.硬盘和分区知识以及Linux文件系统的组织方式 (1)硬盘和分区知识 磁盘有IDE接口和SCSI接口两种。 磁盘在使用前需分区。磁盘分区有主分区、扩展分区和逻辑分区之分。一块硬盘可以有4个主分区,其中一个主分区的位置可以有一个扩展分区替换,即可以有3个主分区和一个扩展分区,且一块硬盘只能有一个扩展分区,在这个扩展分区中可以划分多个逻辑分区。(2)Linux如何表示分区 在Windows系统中使用盘符来标识不同的分区,而在linux下使用分区的设备名来标识不同的分区,设备名存放在/dev目录中。 磁盘设备名称如下: ●系统的第1块IDE接口的硬盘称为/dev/hda ●系统的第2块IDE接口的硬盘称为/dev/hdb ●系统的第1块SCSI接口的硬盘称为/dev/sda ●系统的第2块SCSI接口的硬盘称为/dev/sdb 分区使用数字编号表示: ●系统的第1块IDE接口硬盘的第1个分区称为/dev/hda1 ●系统的第1块IDE接口硬盘的第5个分区称为/dev/hda5 ●系统的第2块SCSI接口硬盘的第1个分区称为/dev/sdb1 ●系统的第2块SCSI接口硬盘的第5个分区称为/dev/sdb5 注意:数字编号1-4留给主分区或扩展分区使用,逻辑分区编号从5开始。 (3)Linux文件系统文件系统的组织方式------挂载点 Linux系统只有一个根目录,即只有一个目录树。不同磁盘的不同分区只是这个目录树的一部分,在linux中创建文件系统后(类似format),用户不能直接使用它,要挂载文件系统后才能使用。挂载文件系统首先要选择一个挂载点。 2.利用VMware Workstation 6.0 创建一台新的虚拟机
阿里云主机Linux服务器配置步骤详解 编辑:restart 来源:转载 下面我们一起来看看关于阿里云主机Linux服务器配置步骤详解,如果你正在使用阿里云主机我们可进入参考一下配置步骤哦,有兴趣的同学可进入参考。 一提到云主机,大家肯定熟知国内最知名品牌——阿里云了,后来居上的它受到不少的站长所追捧,它的稳定与服务让它的性价比直线上升,现在阿里云的最低端配置云主机年费只需要550元了,在同类产品中可谓最有性价了。如果想做个小站,又想速度上去,阿里云也是一个不错的选择。用过阿里云的站长都知道,阿里云主机是需要自己动手配置的,一些站长就有夸大其词说“没有一定的技术,最好不要用阿里云”。其实,配置阿里云主机也不是很难,只要按照本文的方法一步一步去做就可以了。 第一步:远程连接阿里云主机。 下载xshell和xftp 并安装。这2个软件可以到网站下载。xshell 是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议,可以方便地远程登录阿里云主机。Xftp 是一个基于MS windows 平台的功能强大的S 文件传输软件,可以通过它来上传文件到主机。 这2个软件的安装这里就不说了。下面来看看怎么使用这两个软件。 一、打开xshell
二、设置云服务器登录信息,点击认证(新版本可能是“用户身份验证”)。填写阿里云主机用户名和密码。 三、设置服务器帐号密码。再点击“连接”,填写在“主机”处填写你购买的阿里云主机的IP地址。
四、设置字符集编码。点击”终端“,然后在“编码”选项选择“ UTF-8″。然后按确定保存配置。接着就开始连接主机了。 五、连接后的阿里云主机的庐山正面目。
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月
一、修改密码策略 1、cp /etc/login.defs /etc/login.defs.bak 2、vi /etc/login.defs PASS_MAX_DAYS 90 (用户的密码不过期最多的天数) PASS_MIN_DAYS 0 (密码修改之间最小的天数) PASS_MIN_LEN 8 (密码最小长度) PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是 022, 如果不是用下面命令进行修改: cp/etc/profile/etc/profile.bak vi/etc/profile 找到umask 022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp /etc/passwd /etc/passwd.bak cp /etc/shadow /etc/shadow.bak 锁定下列用户 2、for i in admlp sync news uucp games ftp rpcrpcusernfsnobodymailnullgdm do usermod -L $i done 3、检查是否锁定成功 more /etc/shadow 如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp /etc/group /etc/group.bak
SUSE Linux搭建企业服务器的双机配置过程 当集群中的某个节点由于软件或硬件原因发生故障时,集群系统可以把资源切换到其他健康的节点上,使整个系 统能连续不间断的对外提供服务,从而为机构24x365的关键业务提供了可靠的保障,达到了系统99.999%的高可用性和可靠性。SuSE Enterprise Linux 10.0是内置Linux 2.6.16内核的企业级服务器,较之SuSE Enterprise Linux 9.0,它在性能、可扩展性、易管理性和安全等方面都予以加强,并有众多硬件和应用软件支持。 最近,笔者使用SuSE Enterprise Linux 10.0作为系统平台(使用其它Linux平台在安装部署时可能有小差异),在其上采用HeartBeat、Mon和Rsync等开源软件打造了一个高可用系统,挖掘了SuSE Linux的高可用性。下面我为大家 详细介绍如何在Suse Linux搭建双机的配置过程。 一、HeartBeat、Mon、Rsync简介 二、安装环境 首先,需要准备两台PC服务器,每台服务器有两块网卡,其物理网络图如图 1 安装环境 图1 网络拓扑图 虽然在YaST2控制中心里有"高可用性"图形化的配置向导,我们这里不介绍一个过程,中在讲述原理和方法,主 要是基于命令行的配置方式。首先在PC服务器上安装SuSE Enterprise Linux 10.0系统,并将eth0配置为192.168.8.*网段,eth1配置为10.1.1.*网段,eth0链接对外的交换机,eth1用于两台机器的对连。 修改/etc /hosts文件,修改内容如下:
服务器部署方案 应用架构 3台服务器,操作系统要求red hat linux enterprise 4 内核版本2.6.9-67. 注:在安装的时候要安装防火墙 基础软件要求: 1. Java环境: jdk-6u13-linux-i586-rpm.bin 2. Tomcat 环境: apache-tomcat-7.0.6.tar.gz 3.MYSQlDB 环境: MySQL-server-5.1.57-1.glibc23.i386.rpm,MySQL-client-5.1.57-1.glibc23.i386.rpm 4. memcached缓存环境: libevent-1.3.tar.gz ,memcached-1.2.2.tar.gz
基础软件安装 Jdk安装: 安装步骤: 1. 新建temp文件夹在linux上比如根目录/temp 2.拷贝jdk-6u13-linux-i586-rpm.bin 到temp 下 3.chmod +x jdk-6u13-linux-i586.rpm.bin 4../jdk-6u13-linux-i586.rpm.bin 5.此时会生成文件jdk-6u13-linux-i58 6.rpm,同样给所有用户添加可执行的 权限 6.chmod +x jdk-6u13-linux-i586.rpm 7.安装程序 rpm -ivh jdk-6u13-linux-i586.rpm 8.出现安装协议等,按接受即可 设置步骤: 1.vi /etc/profile 在文件的最下面添加下面内容 JAVA_HOME=/usr/java/jdk1.6.0_13 CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar PATH=$JAVA_HOME/bin:/usr/bin:/usr/sbin:/bin:/sbin:/usr/X11R6/bin export JAVA_HOME CLASSPATH PATH 2.保存退出 3.检查 java -version 4.如果看到JVM版本及相关信息,即安装成功
Linux主机操作系统加固规范
目录 第1章概述 (3) 1.1 目的............................................................................................................ 错误!未定义书签。 1.2 适用范围..................................................................................................... 错误!未定义书签。 1.3 适用版本..................................................................................................... 错误!未定义书签。 1.4 实施............................................................................................................ 错误!未定义书签。 1.5 例外条款..................................................................................................... 错误!未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误!未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)
安装Linux操作系统(RHEL5) 使用VMware Workstation新建一台64位的虚拟机 1)启动“新建虚拟机”向导程序 在VMware Workstation软件中,通过菜单“文件”-->“新建虚拟机”打开“新建虚拟机向导”窗口,配置类型选“自定义(高级)”,如图-1所示,单击“继续”。 图-1 2)选择虚拟机的硬件兼容性 接受默认的Workstation 9.0,如图-2所示,单击“继续”。
图-2 3)指定虚拟机系统的安装方式 选择“我以后再安装操作系统”,如图-3所示。注意不要选择“安装盘镜像文件(iso)”,否则虚拟机启动后会自动执行快速安装,不方便用户控制安装过程。 图-3 4)选择将要为虚拟机安装的操作系统类型 选择“Linux”-->“Red Hat Enterprise Linux 5 64bit”,如图-4所示,然后再单击
“继续”。这一步只是通知VMware Workstation提供一些推荐的硬件配置和兼容性优化,至于以后到底装什么系统,并不在这里决定。 图-4 5)指定虚拟机名称和保存位置 为即将建立的虚拟机设置名称、保存位置,如图-5所示,单击“继续”。保存的“位置”应该是一个空文件夹(如果不存在,VMware Workstation也会自动创建),确保此位置所在的分区有足够的剩余磁盘空间。
图-5 6)选择虚拟机的处理器参数 接受默认的设置,使用单处理器、单核心数,如图-6所示,单击“继续”。 图-6 7)设置虚拟机的内存容量 若要顺利安装及运行64位的RHEL 5.9操作系统(特别是图形桌面),建议分配不少于1024MB的内存,如图-7所示。 图-7
DNS BIND包位于第4张光盘上,软件包为bind-9.2.4 BIND服务器的服务程序名称是named,需使用chkconfig在35级别启用 基本配置 1. cat /etc/named.conf 2. BIND服务器的工作目录 ls /var/named 3. BIND服务器的启动与停止 Service named restart 4. DNS 服务器的3种类型 缓存域名服务器主域名服务器从域名服务器 构建缓存域名服务器 1.1 安装caching-nameserver 软件包在第一张光盘中 在系统中安装了caching-nameserver软件包后,缓存域名服务器的配置已经保存在named.conf 配置文件中 option { directory “/var/named”; 设置BIND服务器的工作目录 dump-file “/var/named/data/cache_dump.db”;设置域名缓存文件的保存位置和文件名statistics-file “/var/named/data/named_stars.txt”; }; 1.2根区域设置及根区域文件 在缓存域名服务器的named.conf文件中包括根区域的配置信息如下: Zone “.” IN { type hint; 类型为根区域 file “named.ca”; 设置区域文件,根区域文件的名称是name.ca }; named.ca文件在/var/named/chroot/var/named/ 1.2 localhost 正向解析 localhost 区域的作用是对主机名称localhost和回环地址127.0.0.1之间进行解析,因此localhost总是代表本地 zone “localhost” IN { type master; 类型为主服务器 file “localhost.zone”; 区域文件名为localhost.zone allow-update { none; }; }; cat /var/named/chroot/var/named/localhost.zone $TTL 86400 时间生存期 @ IN SOA @ root ( @ IN NS @ IN A 127.0.0.1 IN AAAA ::1 SOA(起始受权记录) @ 在区域文件所表示默认的域(当前域)
L i n u系统主机安全加 固 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#
Linux主机安全加固 V1.0 hk有限公司 二零一五年二月 一、修改密码策略 1、cp/etc/login.defs/etc/ 2、vi/etc/login.defs PASS_MAX_DAYS90(用户的密码不过期最多的天数) PASS_MIN_DAYS0(密码修改之间最小的天数) PASS_MIN_LEN8(密码最小长度) PASS_WARN_AGE7(口令失效前多少天开始通知用户更改密码) 按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。 二、查看系统是否已设定了正确UMASK值(022) 1、用命令umask查看umask值是否是022, 如果不是用下面命令进行修改: /etc/profile/etc/profile.bak vi/etc/profile 找到umask022,修改这个数值即可。 三、锁定系统中不必要的系统用户和组 1、cp/etc/passwd/etc/passwd.bak cp/etc/shadow/etc/shadow.bak 锁定下列用户 2、foriinadmlpsyncnewsuucpgamesftprpcrpcusernfsnobodymailnullgdmdo usermod- L$idone 3、检查是否锁定成功 more/etc/shadow如:lp:!*:15980:0:99999:7:::lp帐户后面有!号为已锁定。 4、禁用无关的组: 备份: cp/etc/group/etc/group.bak
从硬盘安装Linux操作系统的方法步骤来源: ChinaUnix博客日期:2007.04.22 18:30(共有0条评论我要评论从硬盘安装Linux操作系统,首先要准备安装包,Linux操作系统的安装包通常是一个或多个ISO镜像文件(一般通过网络下载就可以得到;其次,要通过某种手段启动镜像文件中的系统安装程序;接下来,按照安装程序的提示信息进行安装就可以了。安装过程中,需要指定Linux操作系统的安装位置,这主要涉及硬盘分区的一些知识。综合来看,学习Linux操作系统的安装,关键要学会两点:第一、如何为Linux操作系统准备硬盘空间?第二、如何启动ISO镜像文件中的安装程序。硬盘分区通常,在使用硬盘时,都要进行分区。如果把未分区的硬盘比做一张大白纸,那么分区后的硬盘就相当于这张大白纸被画上了几个大方框。一块硬盘被分成多个分区之后,各分区之间是相对独立的,每个分区都可以有自己的文件格式,例如 FAT16、FAT32、NTFS等等。Linux 操作系统需要的硬盘分区要安装一个操作系统,一般来讲都要为它准备专门的分区。专门,意味着不能与其他操作系统合用一个分区,也意味着不要与用户自己的数据文件合用一个分区,前者是因为不同的操作系统可能需要不同格式的磁盘分区,后者则更多地出于用户数据安全和系统维护方便的考虑。从最低配置角度讲,Linux 操作系统需要一个EXT2或EXT3格式的硬盘分区作为根分区,大小在2~5G就可以。另外还需要一个SWAP 格式的交换分区,大小与内存有关:如果内存在256M以下,交换分区的大小应该是内存的两倍;如果内存在256M以上,交换分区的大小等于内存大小即可。Linux 硬盘分区管理工具在安装Linux 操作系统时,如果选择了手工的分区方式,将启动硬盘分区工具Disk Druid。这个程序是安装程序自带的。下面讨论一下该软件的使用。Linux下硬盘分区的标识在Linux 下用hda、hdb 等来标识不同的硬盘;用hda1、hda2、hda5、hda6 来标识不同的分区。其中,字母a 代表第一块硬盘,b代表第二块硬盘,依次类推。而数字1 代表一块硬盘的第一个分区、2 代表第二个分区,依次类推。1到4 对应的是主分区(Primary Partition)或扩展分区(Extension Partition。从5开始,对应的都是硬盘的逻辑分区(Logical Partition)。一块硬盘即使只有一个主分区,逻辑分区也是从5开始编号的,这点应特别注意。系统上有一块硬盘,名字为/dev/hda,它上面有一个NTFS 格式的主分区hda1 以及
Linux是一个性能优异、安全的操作系统,许多大型的Web应用都是基于Linux作为服务器,所以系统的学习一下Linux操作系统是非常有必要的。本文不以Linux基础为例,主要以Linux服务器端开发环境搭建为主,适合有一定Linux基础的朋友。 本文采用的Linux环境为RedHat Enterprise Linux Server4。本文主要讲解以下内容: Java开发环境的安装和配置(JDK安装、环境变量的配置) Tomcat服务器安装和配置(Tomcat安装、环境变量配置) 基于源码的MySQL数据库安装(此处之所以采用源码编译安装,为了后面的PHP 环境做准备) Oracle数据库的安装(包括服务器端和客户端的安装) Apache服务器的安装和配置(主要用来运行PHP程序) PHP环境安装和配置 Flex开发环境搭建 从上面可以看到,我们这篇教程要讲解的内容很多,所以我们需要准备如下的必备环境: 必备工具: VMware-workstation-6.5或更高版本 RedHat Enterprise Linux 4的iso文件,共4个 SSHSecureShellClient,用于远程连接Linux jdk-6u18-linux-i586.bin,可以从sun网站下载 mysql-5.1.41.tar.gz,MySQL的Linux源码分发包 SQLyog Enterprise,MySQL的可视化操作工具 10201_database_linux32.zip,Oracle的Linux版本 10201_client.zip,Oracle在Win下的客户端,注意根据操作系统选择 PL/SQL Developer,操作Oracle的可视化工具 PHP相关组件 ?php-5.2.14.tar.gz ?freetype-2.1.10.tar.gz ?gd-2.0.35.tar.gz ?jpegsrc.v6b.tar.gz ?libpng-1.2.29.tar.gz ?libxml2-2.6.2.tar.gz ?zlib-1.2.3.tar.gz ?curl-7.15.0.tar.gz httpd-2.2.16.tar.gz,Apache服务器 flex_sdk_3.5.0.12683.zip,Flex SDK
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
欢迎使用Ylmf OS ?欢迎使用Ylmf OS ,雨林木风开源操作系统发布之后受到了全球的关注,这给了雨林木风开发团队极大的鼓舞, 根据广大用户的反馈,我们在以前版本的基础上对此版本的系统软件进行了部分调整,进一步美化了操作界面,添加了 更加人性化的脚本管理,主题依然采用精仿的Windows 主题。希望Linux 老用户用着更顺手,新用户入门更容易。 ?我们坚信,经过大家的努力,Linux 也可以做得和Windows 一样出色,给广大用户多一个选择。 Ylmf OS 3.0 可以分为多种安装方式:传统的CD 安装方式、wubi-hd 安装方式、wubi 安装方式以 及USB 设备如U 盘安装方式。 下面我们对这几种安装方式做以详细的介绍。 一.传统的CD 安装方式 这种方式跟往常我们安装Windows 有点相似,首先我们将加载的Ylmf OS 刻录成光盘,点此查看刻录软件的操作指导 将刻录好的CD 插入光驱,设置计算机启动顺序为光盘启动,启动计算机就会看到如下画面:
(图1 OS 引导界面1) 在OS的引导画面出现时,任意的键盘操作都会出现如下图所示的画面:
(图2 OS 引导界面2) 这时候我们用键盘的上下键选择上图中所示的语言界面,选定的语言呈深灰色,未选定的语言呈浅灰色。这里我们以简体中文操作系统安装为例,所以选择“中文(简体)”,这时候计算机的画面如下图所示:
(图3 OS 引导界面3) 这里出现了两部分,在屏幕正中间有五个选项,在屏幕下方有六个选项,下面我们依次介绍一下这些选项 1) 试用Ylmf_OS 而不安装(T) 这就是我们通常所说的Livecd 模式,Livecd 是个体验模式,进入系统此项后可以预览整个OS 的全貌,而且大多数的功能都能正常使用。当然,在进入Livecd 以后也会有安装OS 的接口,这样用户不用退出Livecd 模式,就可以继续安装过程。 2) 安装Ylmf_OS(I) 这个选项是直接安装Ylmf OS,不会出现Livecd 体验模式,而是直接进入系统安装界面。 3)检查盘片是否有错误(C) 此项是用来验证盘片的刻录质量的,检查是否在刻录过程中某些文件损坏。一般 只要此项检查顺利通过,则表示此盘片与下载的盘片完全一致,未出现文件损坏的现象,可以继续安装。 4)检测内存(M) 内存检测程序,检测内存工作是否正常 5) 从第一硬盘引导(B) 如果用户不想安装光盘上的操作系统,也不想运行上面的任何选项,而想从硬盘引导
一、NFS文件共享服务 1.建立NFS服务器(服务器IP地址为19 2.168.0.109) (1)通过配置yum源安装NFS软件包 # yum -y install nfs-utils (2)修改主机名 # vim /etc/sysconfig/network 修改主机名为nfsserver: HOSTNAME=nfsserver (3)设置NFS服务器和NFS客户机IP地址(设置成为同一网段),并 能相互ping通 (4)在NFS服务器上设置子目录 #mkdir /tmp/share (5)向子目录中创建123.txt文件,并自主添加文本内容 #touch 123.txt (6)编辑/etc/exports文件(该文件用来指定哪些资源让网络上的哪些 客户端设备可共享时的读写权限) #vim /etc/exports --->进入文字编辑工具,添加如下内容: /tmp/share 192.168.0.108(rw,sync) 保存退出编辑 (7)重新读取/etc/exports #exportfs -a
(8)启动NFS服务器 #service nfs start 检查NFS守护进程是否启动: #service nfs stuatus (9)查看所在运行的注册的RPC(远程过程调用)程序 #rpcinfo -p #rpcinfo -p nfsserver (10)查看NFS服务器提供的可挂载文件子目录 #showmount -e 192.168.0.108 (11)关闭NFS服务器防火墙 #service iptables stop 2.建立NFS客户机(客户机IP地址为192.168.0.108)(1)通过配置yum源安装NFS软件包 # yum -y install nfs-utils (2)查看NFS共享目录信息 #showmount -e 192.168.0.108 (3)将服务器上共享目录挂接到客户机上 #mount - t nfs 192.168.0.109 : /tmp/share /media (4)查看挂接目录 #mount (5)切换到挂载目录下,查看NFS共享目录下的内容 #cd /media #ls -al
一.安全加固概述 网络设备与操作系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络设备与操作系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●网络设备与操作系统的安全配置; ●系统安全风险防范; ●提供系统使用和维护建议; ●安装最新安全补丁(根据风险决定是否打补丁); 上述工作的结果决定了网络设备与操作系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ●系统上运行的应用系统及其正常所必需的服务。 ●我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络设备与操作系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 二.加固和优化流程概述 网络设备与操作系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●系统安全需求分析 ●系统安全策略制订 ●系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤。 3. 实施加固 对系统实施加固和优化主要内容包含以下两个方面: ●对系统进行加固 ●对系统进行测试 对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。 对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。 4. 生成加固报告 加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
实验报告 课程名称计算机网络原理与技术实验项目Linux操作系统的安装及使用专业班级姓名学号 指导教师成绩日期 一、实验目的 1、掌握虚拟机VMware软件的安装和使用; 2、掌握Linux系统软件的安装和使用; 4、掌握Linux命令的使用; 二、实验设备和环境 个人计算机一台、虚拟光驱、虚拟机VMware软件、Linux系统软件 三、实验内容 1、通过虚拟机安装Linux系统; 2、熟悉Linux的基本命令; 3、在Linux下编译一个C语言程序; 4、在Linux环境下配置TCP/IP协议; 5、设置Linux与Windows文件夹共享。 四、实验过程 1、安装VMware软件 双击安装文件,按照提示逐步安装,完成后的打开软件,如下图 这时就可以安装Linux系统了。
2.安装Lniux系统 选择“新建虚拟机”,按“下一步”,选择“典型”,“Linux”,“red hat linux”,其他按照默认选择。得到一个虚拟机界面(如下图所示)。 选中“CD-ROM”这项,将其设置为:“使用映像文件”然后导入Linux 系统的安装的第一张盘。(如下图所示)
点击“启动此虚拟机”,按照提示选择默认值,选择“个人工作站”。其他全部默认即可。在安装过程中,会提示“插入第二张光盘”,“插入第三张光盘”,这时同样用虚拟光驱加载镜像文件。重起后进入(如下图所示)。 选择默认,进入系统。 3.安装VMware tools。 选择VMware软件的菜单“虚拟机”、“安装VMware工具”,看见如下两个文件。双击rpm 格式文件。完成后,打开如下图的文件夹。
双击第一个压缩包进行解压到/usr/bin目录下。 在终端下运行以下命令(如图所示):
1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行,运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次,锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -
Linux常用服务器配置 文件修改记录表 版权声明和保密须知 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属江苏金智教育信息技术有限公司所有,受到有关产权及版权法保护。任何单位和个人未经江苏金智教育信息技术有限公司的书面授权许可,不得复制或引用本文件的任何片断,无论通过电子形式或非电子形式。 Copyright 2011 江苏金智教育信息技术有限公司版权所有
目录目录
说明 文档目的 为了能够让部门工程师在以后的部署实施过程中熟悉linux下常用的业务配置,遂整理此文档。 本文详细列出了在常见环境中Linux下常用业务配置;并对具体业务进行了分析和配置示例,希望大家在以后的部署中能够严格去执行此规范。 规范文档中,尚有欠妥之处。请各位实施部署工程师及时指正! 文档适用范围 本文档使用江苏金智教育信息技术有限公司所有项目范围(含北京分公司、上海分公司、福建区域) 文档约定 XXX字符标示着根据现场实际情况来填写 红色加粗标示着必须严格按照要求填写
1NFS服务的配置 1.1NFS服务的简介 NFS(Network File Service)的设计是为了在不同的unix系统间进行档案共享。当使用者想用远端档案时只要用“mount”就可把remote文件系统挂接在自己的文件系统之下,使得远端的文件使用上和local机器的档案没两样。其目的就是让不同unix操作系统之间可以彼此共享文件。 NFS服务器的常用功能:1、可以把服务器的文件象本地一样的操作,很方便;2、NFS 服务器对系统资源占用也少;3、NFS可以支持很多其他服务,比如kickstart(kickstart是无人值守,网络批量安装服务),NIS等等。 NFS服务建立在RPC(远程过程调用)协议上的服务,使用时需要先打开portmap(端口映射)服务进程。因为本身NFS服务的功能非常多,所以通常该服务开启的端口是随机的,当NFS需要使用某个功能时,我们通常是将开启的请求发送给RPC协议上的portmap 进程,做一个端口开启与映射工作。 作为一名运维工程师,对于NFS服务的配置一定要非常的熟悉。NFS服务也是类unix 平台下最基本的常用业务。 1.2NFS服务侧写 1)NFS 服务的进程通常有:nfsd,nfslockd,rpciod,,, 2)服务启动脚本:/etc/portmap, /etc/nfs 3)使用端口:111(portmap进程的端口,通常只有这一个是固定使用端口) 4)所需RPM包:nfs-utils 5)相关RPM包:portmap(必需) 6)配置文件:/etc/exports 1.3NFS服务端的配置 通常来说,NFS服务端的配置主要是基于/etc/exports文件的编辑。初始状态下,/etc/exports文件为空。文件中的每一行,表示一个开放的目录,并记录着它开放权限。每一行中都分为三列关系:第一列,写入你需要共享的目录路径;第二列写入客户端描述,也就是哪些客户端可以使用你的服务器共享的资源;第三列是紧挨着第二列的,内容是共享信息开放的权限。具体配置实例如下:
操作系统安装 服务器推荐配置: CPU: Intel Xeon 3.2G 或以上 内存: 1G 或以上 网卡:100M 或1000M(视系统规模) 硬盘:73.4G 以上(视存储规模) 说明:此文档是REDHAT企业版AS4.0为基准的,REDHAT 9.0的安装也可以参考,只是选择安装包是不相同的。) 使用REDHAT AS4 光盘(4 碟装)。光盘版本号为:2.6.9-5和2.6.9-34,上述版本可按照下面方式安装。 设制BIOS 中的启动顺序,使计算机优先从cd-rom 启动。 打开计算机,把CD1 放入光驱,安装启动画面有多种选择, 直接回车,到下图 用TAB键切换到Skip回车 点击Next, 选择语言,如下图。
点击Next,配置键盘(默认),如下图。 点击Next,开始配置鼠标(默认),如下。 点击Next,分区格式选Manually partition with disk druid,如下图。 点击Next,开始分区。如下图。
如果此机器有两块或两块以上硬盘的话,会在图8 中显示出来例如hda 和hdc,那么注意要给在某个硬盘上(举例 说明,比如硬盘hda)创建分区时,点击new,在下一图形界面中,会提示有两块硬盘,此时必须打勾只选中需 要在上面创建分区的那块硬盘(例子中应该是hda),也就是说把另一块硬盘(例子中应该是hdc)前面的钩去掉。 对于只有一块硬盘的安装过程来说,只需按正常步骤就可以。 我们假设这台计算机中只有一块硬盘。一般使用IDE 硬盘时设备名为/dev/had(如果我们使用的是一个SCSI 硬盘,它的设备文件名为/dev/sda) 请注意。安装Linux 系统只要一个交换分区(swap)和一个根分区(/),一般情况下,根分区为10G 左右,如果还有剩余空间,那么再创建新分区,映射为(/xfmdata)做为存储分区吧。 点击new 按钮创建一个swap 分区,swap 分区大小选本机内存大小的2 倍,但不要超过1024M. FileSystem Type 选swap,一般分为512M 左右,如下图。 点击OK,配置好SWAP 分区,如下图。
创建文件夹mkdir /home/yjq 挂在光盘:Mount /dev/cdrom /mnt/yjq(yjq指文件夹) 查看安装包:rpm –qa | grep 安装程序 从关盘安装rpm – ivh /mnt/yjq/Packages/安装程序 Linux关防火墙首先用setup进入控制面板 选择fieewall configuration 第一项是开启防火墙第二项是关闭防火墙 customize配置防火墙 关闭Selinux Vi/etc/sysconfig/selinux SELINUX=enforcing 改成SELINUX=disabled 禁止ip被某主机ping iptables –A INPUT –p icmp –s 对方主机–j DROP(例如iptables –A INPUT –p -s icmp 192.168.104.26 –j DROP Linux账户创建useradd 用户名 Linux 账户密码创建修改passwd 密码 Linux 创建组groupadd 组名
Linux设置用户为系统账户但没登入系统的权限编辑/vim /etc/passwd{把/bin/bash改为:/sbin/nologin} Linux 用户加组usermod – g 组名 Linux 创建目录:mkdir /home/文件夹名(home为主目录) Linux为目录授权chowm 777 /home/文件夹注777为最高权限 Linux创建文件vi 文件名 Linux启动服务service 服务名start Linux重启服务service 服务名restart Linux设置开机启动ntsysv 空格选中要开机启动的服务 配置服务之samba 限制samba可访问的范围host allow= Samba设置打印机:load printers =yes 打印机配置文件路径printcap name =/etc/printcap ;printing=cups(打印机类型:bsb,sysv,plp,lprng,aix,hpux,qnx,cups) ;security=user(安全级别,share,user,server,domalin) [global]这是全局配置 [global]这段是全局配置,是必段写的。其中有如下的几行;