配置Linux下较为安全的Server
作者:j酱油 | 来源:互联网 | 2017-09-24 00:55
配置Linux下较为安全的Server--Linux企业应用-Linux服务器应用信息,下面是详情阅读。
1、文本方式启动
vi /etc/inittab
找到"id:5:initdefault"
改为"id:3:initdefault"
2、设置语言参数(解决文本方式下终端乱码的问题)
vi /etc/sysconfig/i18n
找到"LANG = "en_US.UTF-8""
改为"LANG = "zh_CN.GB18030""
3、Linux中必不可少的服务(可通过ntsysv修改)
atd # 在例行性命令里提到的、只执行一次的预约执行服务,务必启动
crond # 在例行性命令里提到的、循环执行的命令,务必启动(有些Linux版本为cron)
iptables # 防火墙软件,为了安全,先启用它
keytables # 设置键盘上字母的格式(有些Linux版本没有这个选项)
network # 网络功能
random # 快速将系统状态在随机时间内保存到映像文件中,它对系统相当重要!因为开机之后,
# 系统会迅速回复到关机前的状态(有些Linux版本没有这个选项)
syslog # 系统日志
xined # 另一个服务管理器super daemon!
xfs # 此服务为run-level=5的图形界面所必须的,如果只通过文本方式登录可以不启动
# 可以根据具体情况启用适当的服务,如:sshd,vsftp,httpd,mysqld,spamssion等
4、防火墙配置(可根据具体情况开启端口,下面脚本为Samba服务器的)
touch /etc/rc.d/firewall
chmod u+x /etc/rc.d/firewall
vi /etc/rc.d/rc.local
/etc/rc.d/firewall
vi /etc/rc.d/firewall
# !/bin/bash
export PATH=/sbin:/usr/sbin:/bin:/usr/bin
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 >/proc/sys/net/ipv4/conf/all/log_martians
echo 1 >/proc/sys/net/ipv4/tcp_synCOOKIEs
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
## Enable local interface pass
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
##Allow State
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
## Anything else not allowed
iptables -A INPUT -j DROP
5、禁止Ctrl+Alt+Delete重启
vi /etc/inittab
将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉
6、修改重要文件权限
chmod -R 700 /etc/rc.d/init.d/*
7、禁止ssh下直接以root登录
vi /etc/ssh/sshd_config
把PermitRootLogin yes前的"#"去掉,将yes改为no.
8、限制su名单
vi /etc/pam.d/su
加入auth required /lib/security/$ISA/pam_wheel.so use_uid
顺便添加wheel组用户,并设置密码
useradd -g wheel leo4364088
passwd leo4364088
9、限制ssh使用者名单
vi /etc/pam.d/sshd
auth required pam_listfile.so item=user sense=allow file=/etc/ssh_users Onerr=fail
然后建立/etc/ssh_users文件
echo leo4364088 >> /etc/ssh_users
10、防止IP欺骗
vi /etc/host.conf
order bind,hosts
multi off
nospoof on
11、口令文件锁定(建议配置好服务器再锁定,解锁命令为chattr -i /etc/passwd)
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
12、制定任务(如:每天3点重启机器)
crontab -e
00 03 * * * reboot
推荐阅读
-
本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ...
[详细]
蜡笔小新 2023-12-13 13:23:48
-
本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ...
[详细]
蜡笔小新 2023-12-14 14:01:06
-
-
本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ...
[详细]
蜡笔小新 2023-12-14 13:59:45
-
本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ...
[详细]
蜡笔小新 2023-12-13 20:24:11
-
本文介绍了CentOS 7部署KVM虚拟化环境的架构,详细解释了虚拟化技术的概念和原理,包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ...
[详细]
蜡笔小新 2023-12-12 21:38:57
-
本文介绍了众筹商城与传统商城的区别,包括所售产品和玩法不同以及运营方式不同。同时还提到了php众筹网站的程序源码和方维众筹的安装和环境问题。 ...
[详细]
蜡笔小新 2023-12-12 19:00:31
-
本文介绍了在RHEL 7中的系统日志管理和网络管理。系统日志管理包括rsyslog和systemd-journal两种日志服务,分别介绍了它们的特点、配置文件和日志查询方式。网络管理主要介绍了使用nmcli命令查看和配置网络接口的方法,包括查看网卡信息、添加、修改和删除配置文件等操作。 ...
[详细]
蜡笔小新 2023-12-09 10:39:58
-
篇首语:本文由编程笔记#小编为大家整理,主要介绍了pycharm连接服务器同步写代码(图文详细过程)相关的知识,希望对你有一定的参考价值。pycharm连接服务 ...
[详细]
蜡笔小新 2023-10-17 19:47:17
-
本文给大家介绍如何利用DjangoAnsible进行Web项目管理。Django介绍一个可以使Web开发工作愉快并且高效的Web开发框架,能够以最小的代价构建和维护高 ...
[详细]
蜡笔小新 2023-10-17 18:59:15
-
现在比较流行使用静态网站生成器来搭建网站,博客产品着陆页微信转发页面等。但每次都需要对服务器进行配置,也是一个重复但繁琐的工作。使用DockerWeb,只需5分钟就能搭建一个基于D ...
[详细]
蜡笔小新 2023-10-17 17:54:38
-
DockerDataCenter系列(四)-离线安装UCP和DTR,Go语言社区,Golang程序员人脉社 ...
[详细]
蜡笔小新 2023-10-17 17:40:43
-
本文介绍了Python2x和Python3x在语法上的区别,包括print语句的变化、除法运算结果的不同、raw_input函数的替代、class写法的变化等。同时还介绍了Python脚本的解释程序的指定方法,以及在不同版本的Python中如何执行脚本。对于想要学习Python的人来说,本文提供了一些注意事项和技巧。 ...
[详细]
蜡笔小新 2023-12-14 11:27:53
-
本文介绍了计算机存储系统的层次结构,包括高速缓存、主存储器和辅助存储器三个层次。通过分层存储数据可以提高程序的执行效率。计算机存储系统的层次结构将各种不同存储容量、存取速度和价格的存储器有机组合成整体,形成可寻址存储空间比主存储器空间大得多的存储整体。由于辅助存储器容量大、价格低,使得整体存储系统的平均价格降低。同时,高速缓存的存取速度可以和CPU的工作速度相匹配,进一步提高程序执行效率。 ...
[详细]
蜡笔小新 2023-12-13 17:32:41
-
本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念,以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器,包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实,适合初学者了解Tomcat的基础知识。 ...
[详细]
蜡笔小新 2023-12-13 17:08:24
-
本文介绍了在MacOS系统上安装MySQL的步骤,并详细说明了如何设置MySQL服务的开机启动和如何修改MySQL的密码。通过下载MySQL的macos版本并按照提示一步一步安装,在系统偏好设置中可以找到MySQL的图标进行设置。同时,还介绍了通过终端命令来修改MySQL的密码的具体操作步骤。 ...
[详细]
蜡笔小新 2023-12-11 17:35:39
-