快速业务通道

LINUX 系统基准安全配置步骤

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-05-11
1. 调整内核参数:
1)cp /etc/sysctl.conf /etc/sysctl.conf.zf
2) 拷贝下面的内容到 /etc/sysctl.conf
net.ipv4.ip_forward = 0 # 问问他们是不是 LVS,如果是的话,要设置为1 net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.rp_filter = 1 # 问问他们是不是 LVS 后端服务器,如果是,要设置为0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.log_martians = 1 kernel.sysrq = 0
kernel.core_uses_pid = 1
3) sysctl -p 2.关闭不需要的服务
1)touch /root/zf.sh
2) 拷贝下面的脚本到该文件(注意要先理解下面列出的这些服务项目,然后在实际操作的 时候,记得咨询相关服务器的维护人员 到底需要开放哪些服务,再对下面的服务项 目作相应的修改)
#!/bin/bash
#
export LANG=C
temp_file=/tmp/config_security.temp chkconfig --list | grep :on
| grep -v sshd | grep -v network | grep -v syslog | grep -v crond | grep -v anacron
| grep -v iptables | grep -v readahead | grep -v irqbalance | grep -v lvm2-monitor
| grep -v arptables_jf | grep -v sendmail | grep -v readahead_early | grep -v snmpd
| grep -v apache2 | grep -v resin | grep -v mysql
| grep -v portmap | grep -v nfslock | grep -v netfs # nfs client needs this line
| grep -v nfs | grep -v sysstat # nfs server needs this line
| awk ''{ print $1 }'' > $temp_file while read serv
do
chkconfig $serv off
/etc/init.d/$serv stop
done < $temp_file
rm -f $temp_file 3) sh /root/zf.sh 3.开启history的时间记录
1) 拷贝下面的代码到 /etc/profile 的位置
HISTSIZE=100000
HISTTIMEFORMAT="%F %R "
export HISTSIZE HISTTIMEFORMAT
2)执行 history 命令验证先前执行的命令的时间也显示出来了 4. 配置安全的SSH(禁止 root 直接登录,非标准端口(62222),只支持 SSH protocol 2)
1)touch /etc/ssh/sshd_config_secure
2) 把文件 sshd_config_secure 的内容拷贝到 /etc/ssh/sshd_config_secure
3) 把下面的代码加入到 /etc/syslog.conf 文件的末尾
# save logs of secure sshd to sshd_secure
local6.* /var/log/sshd_secure
并重启日志守护进程: /etc/init.d/syslog restart
4) 用 visudo 命令打开 /etc/sudoers 文件,并把下面的代码加入到 /etc/sudoers 文件的末尾
Defaults log_year, syslog=local6
5) /usr/sbin/sshd -f /etc/ssh/sshd_config_secure
6) 执行命令 netstat -lnp | grep :62222 验证我们自己配置的 SSH 已经在正常运行了

5. 配置 sudo
1)询问该服务器的相关维护人员和开放人员以确定需要建立哪几个组,每个组需要建立 哪几个用户
2)然后在服务器上建立这些组和用户,一定要注意的是保证在所有服务器上的相同的组 名称有相同的组ID(GID), 相同的用户名称有相同的用户ID(UID),例如我们在xx的服 务器上建立如下规范的组和用户:
------------------------------------------------------------------------------------------------------------------
组名称 组ID(GID) 组描述

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号