1
Centos_系统安全方案.doc
5墨值下载
一
.Centos
系统安全方面
1
、用防火墙关闭不须要的任何端口,别人
PING
不到服务器,威胁自
然减少了一大半
2
、更改
SSH
端口,最好改为
10000
以上,别人扫描到端口的机率也会下降
3
、删除系统臃肿多余的账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp
如果你不允许匿名
FTP
,就删掉这个用户帐号
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers
4
、更改下列文件权限,使任何人没有更改账户权限:
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5
、
chmod 600 /etc/xinetd.conf
6
、关闭
FTP
匿名用户登陆
二
.PHP
安全篇
1
、开启安全模式(做为商业应用的服务器不建议开启)
#vi /usr/local/Zend/etc/php.ini (
没装
ZO
时
php.ini
文件位置为:
/etc/php.ini)
safe_mode = On
2
、锁定
PHP
程序应用目录
#vi /etc/httpd/conf.d/virtualhost.conf
加入
php_admin_value open_basedir /home/***
(
***
为站点目录)
3
、千万不要给不必要的目录给写权限,也就是
777
权限,根目录保持为
711
权限,如果不
能运行
PHP
请改为
755
4
、屏蔽
PHP
不安全的参数
(webshell)
#vi /usr/local/Zend/etc/php.ini (
没装
ZO
时
php.ini
文件位置为:
/etc/php.ini)
disable_functions = system,exec,shell_exec,passthru,popen
以下为我的服务器屏蔽参数:
disable_functions = passthru,exec,shell_exec,system,set_time_limit,ini_alter,dl,
pfsockopen,openlog,syslog,readlink,symlink,link,leak,fsockopen,popen,escapeshell
cmd,error_log
<
系统安装后的初始环境设置
>
(最近更新日:
2006/12/24
)
前 言
在
CentOS
安装好之后,安全性以及对硬件的适应性方面,可能并不完全符合我们的
实际情况。在这里,对新的
CentOS
系统进行初始环境设置将以如下方面为原则:
1
,为了安全,尽最大可能将访问限制限制到可能的最大程度;
2
,为了节省内存及
CPU
使用率(以及安全方面的考虑),尽最大可能将不需要的服
务关闭;
3
,为了减少误操作可能带来的损失,平时通过
wheel
组用户登录进行系统管理;
4
,为了让系统变的更加轻便、快速,将内核中不需要的模块卸载;
…………
CentOS 4.4
的安装后初始环境设定
安装完毕重新启动系统后,出现如下的状态:
CentOS release 4.4 (Final)
Kernel 2.6.9-42.EL on an i686
sample login:
←
根据安装时网络设置的情况的不同,本站以“
sample”
,其位
置显示的是你设置好的主机名。
[1]
系统的登录与退出
sample login: root
←
用
root
用户来登录系统,输入用户名
root
Password:
←
在这里输入安装时设置的
root
密码,输入时密码不会被显示
[root@sample ~]#
←
root
用户登录成功,提示符为“
#”
。若一般用户登录成功
后,提示符为“
$”
[root@sample ~]# exit
←
退出系统
sample login:
←
退出系统成功
[2]
一般用户的建立与删除
[root@sample ~]# useradd centospub
←
建立用户名为
centospub
的一般用
户
[root@sample ~]# passwd centospub
←
为用户
centospub
设置密码
Changing password for user centospub.
New UNIX password:
←
输入密码(密码不会被显示)
Retype new UNIX password:
←
再次输入密码确认两次密码一致
passwd: all authentication tokens updated successfully.
←
密码设置成功
[root@sample ~]# userdel -r centospub
←
删除用户名为
centospub
的一般用
户
[3]
通过一般用户登录为
root
用户
因为
root
用户对系统具有全权的操作权限,为了避免一些失误的操作,建议在一般情
况下,以一般用户登录系统,必要的时候需要
root
操作权限时,再通过“
su -”
命令来登录为
root
用户进行操作。
[centospub@sample ~]$
←
提示符为“
$”
,说明当前状态为一般用户
centospub
登录在系统中
[centospub@sample ~]$ su -
←
输入登录为
root
用户的命令
Password:
←
输入
root
密码(密码不会被显示),回车
[root@sample ~]#
←
成功登录为
root
用户,提示符变为“
#”
[root@sample ~]# exit
←
回到一般用户的登录状态
[centospub@sample ~]$
←
提示符变为“
$”
,回到了一般用户
centospub
登录
系统的状态
[4]
建立管理员组内一般用户
在
一般情况下,一般用户通过执行“
su -”
命令、输入正确的
root
密码,可以登录为
root
用户来对系统进行管理员级别的配置。但是,为了更进一步加强系统的安全性,有必
要建立一个管理员的
组,只允许这个组的用户来执行“
su -”
命令登录为
root
用户,而让其他
组的用户即使执行“
su -”
、输入了正确的
root
密码,也无法登录为
root
用户。在
UNIX
下,
这个组的名称通常为“
wheel”
。
[root@sample ~]# usermod -G wheel centospub
←
将一般用户
centospub
加
在管理员组
wheel
组中
[root@sample ~]# vi /etc/pam.d/su
←
打开这个配置文件
#auth required /lib/security/$ISA/pam_wheel.so use_uid
←
找到此行,去掉
行首的“
#”
↓
auth required /lib/security/$ISA/pam_wheel.so use_uid
←
变为此状态(大约
在第
6
行的位置)
[root@sample ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
←
添加
语句到行末
以上操作完成后,可以再建立一个新用户,然后用这个新建的用户测试会发现,没有
加入到
wheel
组的用户,执行“
su -”
命令,即使输入了正确的
root
密码,也无法登录为
root
用户。
of 10
5墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
1
2
9-数据库人的进阶之路:从PG分区、SQL优化到拥抱AI未来(罗敏).pptx
3
1-PG版本兼容性案例(彭冲).pptx
4
2-TDSQL PG在复杂查询场景中的挑战与实践-opensource.pdf
5
6-PostgreSQL 哈希索引原理浅析(文一).pdf
6
3-AI时代的变革者-面向机器的接口语言(MOQL)_吕海波.pptx
7
8-基于PG向量和RAG技术的开源知识库问答系统MaxKB.pptx
8
4-IvorySQL V4:双解析器架构下的兼容性创新实践.pptx
9
7-拉起PG好伙伴DifySupaOdoo.pdf
10
《云原生安全攻防启示录》李帅臻.pdf
相关文档
评论