RHEL6 Server Security Hardening(转载师父全文并逐条扫盲 = =)
师父:
http://debugo.com/rhel6-server-security-hardening-script/
不认识:
profile:http://linux.chinaitlab.com/administer/820910.html
disabling services
原则:只保留最小化安装(不包含可视化桌面的那个最小)的系统服务+用户安装的服务。其他服务一律干掉。(附非官方最小安装服务列表:http://jiaxl.blog.51cto.com/3064605/954239)
chkconfig NetworkManager off chkconfig abrt-ccpp off chkconfig abrtd off chkconfig acpid off chkconfig atd off chkconfig bluetooth off chkconfig certmonger off chkconfig cpuspeed off chkconfig cgconfig off chkconfig cpuspeed off chkconfig ip6tables off chkconfig iptables off chkconfig libvirt-guests off chkconfig netconsole off chkconfig netfs off chkconfig nfslock off chkconfig postfix off chkconfig rpcgssd off chkconfig rpcidmapd off chkconfig rhnsd off chkconfig restorecond off chkconfig httpd off chkconfig vsftpd off
config ntp client
crontab -e 38 * * * * /usr/sbin/ntpdate 172.18.5.193 >>/root/ntpdate.log 2>&1
ps:
38 ****这个火星文是cron的定时接口。详情见链接:
http://www.poluoluo.com/jzxy/201009/94264.html
>和>>都是重定向输出
1> 指标准信息输出路径(也就是默认的输出方式)
2> 指错误信息输出路径
2>&1 指将标准信息输出路径指定为错误信息输出路径(也就是都输出在一起)
补充问题4<&0:
<和<<都是重定向输入
<0指标准输入路径
4<&0 指的是将文件描述符4指定为标准输入(实际可选4到9之间任意一个数字)
习惯上
标准输入(standard input)的文件描述符是 0
标准输出(standard output)是 1
标准错误(standard error)是 2
> 会覆盖已有的文件内容,而>>会附加到已有内容之后。
global env variables
这是为了永久修改时区
vim /etc/profile # adding. export TZ=Asia/Shanghai export TMOUT=1800 comment if-clause of umask statement,and use 'umask 022' to replace it.
ps:
在.profile中使用export语句,它的作用是将变量设置在SHELL环境中,以在任意路径下使用。
comment :說明而已!好像是设置了新建文件的权限。
use pam(可插拔认证模块 Pluggable Authentication Modules)(还是有待学习)
控制能su到root的用户。
vim /etc/pam.d/su: auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. # auth sufficient pam_wheel.so trust use_uid # Uncomment the following line to require a user to be in the "wheel" group. auth required pam_wheel.so use_uid # only users in wheel group can su to root # you can modify user to wheel group like this: usermod -G10 username # then check: /etc/groups
关于PAM的入门介绍:http://www.infoq.com/cn/articles/linux-pam-one
password policy
(1)/etc/pam.d/passwdpassword include system-auth# include 表示在验证错误时,系统会跳出当前登入# substack 表示在验证错误时,不会提示用户是在这一步错误了,直到所有验证步骤结束返回错误信息。 (2)修改文件/etc/pam.d/system-authpassword requisite pam_cracklib.so minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 # minlen the length of password # lcredit ucredit dcredit ocredit表示小写、大写、数字、符合,设定值为为负数如-1表示至少1个,为正数如3表示最多3个
create user without creating home
这个文件给出了对用户的一系列定义:
CREATE_HOME 是否为新建用户创建home目录
UMASK 用户新建文件的权限
/etc/login.defs CREATE_HOME no UMASK 027
/etc/ssh/sshd_config
PermitRootLogin no MaxAuthTries 3 MaxSessions 5
lock accounts
需要锁定的账号:adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、mailnull、
nfsnobody、nobody、pegasus、http
参考配置
(1)***用户:#userdel username;
(2)锁定用户:#passwd -l username
(3)解锁用户:#passwd -u username
(4)禁止用户交互登录:修改/etc/passwd文件,用户shell修改为/sbin/nologin
补充说明
passwd -l adm passwd -l lp passwd -l sync passwd -l shutdown passwd -l halt passwd -l mail passwd -l news passwd -l uucp passwd -l operator passwd -l games passwd -l gopher passwd -l ftp passwd -l mailnull passwd -l nfsnobody passwd -l nobody passwd -l pegasus passwd -l http
banner
这是发挥逗比技能的舞台 = =。系统登录时的banner 。。。也是只针对文本界面的。。。
#vim /etc/motd (message of the day) Authorized users only. All activities will be monitored and reported.
ftp的配置文件/etc/vsftpd/vsftpd.conf
配置文件的全部技能:http://blog.csdn.net/yichi7758/article/details/4640014
ftp的banner:
#vim /etc/vsftpd/vsftpd.conf ftpd_banner="Authorized users only.All activity may be monitored and reported."
ftp的匿名登录:
anonymous_enable=NO
disable Control-Alt-Delete
修改/etc/init/control-alt-delete.conf文件,注释如下内容:
exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
ps:这一行只是针对费图形界面进行配置。图形界面依然可以激活重启对话框。
syslog
#vim /etc/rsyslog.conf *.err;kern.debug;daemon.notice; /var/log/messages(直接添加行) authpriv.* /var/log/secure(已经有了,确定一下) 重启syslog服务 /etc/init.d/rsyslog restart 修改log目录权限 #chmod 640 -R /var/log/
转载于:https://blog.51cto.com/bananalighter/1419405
RHEL6 Server Security Hardening(转载师父全文并逐条扫盲 = =)相关推荐
- ArcGIS Server常见问题集锦(转载)
ArcGIS Server常见问题集锦(转载) 安装部署问题 1 用户名问题 在GIS Server PostInstall过程中会涉及到两个用户,默认情况下一个ArcGISSOM,一个是Arc ...
- SQL Server 日志传送[转载]
http://jimshu.blog.51cto.com/3171847/590413 SQL Server 2012 日志传送 一.准备: 数据库为完全恢复模式,并事先做一次完全备份. 共享一个文件 ...
- IIS负载均衡-Application Request Route详解第二篇:创建与配置Server Farm(转载)
IIS负载均衡-Application Request Route详解第二篇:创建与配置Server Farm 自从本系列发布之后,收到了很多的朋友的回复!非常感谢,同时很多朋友问到了一些问题,有些问 ...
- win7下java用jdbc驱动来连接sql server的方法 (转载)
http://hi.baidu.com/fpbest/blog/item/c9c7ce13df11e0e0c3ce790b.html 第一步:下载安装Microsoft SQL Server 2000 ...
- Stairway to SQL Server Security Level 3: Principals and Securables - SQLServerCentral
通常,通过向主体分配对象的权限,可以在SQLServer中实现用户和对象安全性.但是,什么是SQLServer主体?它能得到什么许可?在这个阶梯级别上,您将了解可以通过权限在SQLServer实例中执 ...
- VB.NET连接SQL server数据库解决方案(转载+亲自实践)
原文来自:http://hi.baidu.com/mwd_3330410/blog/item/ba0ccd240a0902184c088d83.html Microsoft Visual Basic. ...
- SQL Server存储过程(转载)
Transact-SQL中的存储过程,非常类似于Java语言中的方法,它可以重复调用.当存储过程执行一次后,可以将语句缓存中,这样下次执行的时候直接使用缓存中的语句.这样就可以提高存储过程的性能. Ø ...
- java的jdbc驱动server_win7下java用jdbc驱动来连接sql server的方法 (转载)
第一步:下载安装Microsoft SQL Server 2000 Service Pack 4,也就是sql2000的sp4补丁 地址如下: 第二步:下载jdbc的驱动,解压到任一位置中,下载地址: ...
- 翻译Stairway to SQL Server Security Level 3: Principals and Securables
通向SQLServer安全级别3的楼梯:主体和安全性 来自 Don Kiely, 2014/07/16 系列 本文是楼梯系列的一部分:通向SQLServer安全的阶梯 SQLServer拥有保护服 ...
最新文章
- HPQLOCFG 批量管理 HP iLO 实践
- CVPR 2020 Oral 出炉!5篇 Oral 论文抢先看
- 对当前JAVA流行框架的一些小感悟
- 交叉编译mysql客户端libmysql
- 环球网-王坚《在线》:用20万字讲清楚三个词
- Python——如何将不规范的英文名字转化为“首字母大写,其他字母小写”的规范名字
- Memcached 及 Redis 架构分析和比较
- 少编码多思考:代码越多 问题越多
- 批量增加字段值 mysql_按照一定规则批量修改表中新增字段的值
- Win10右下角没有英特尔显卡设置图标怎么办?
- 中钰睿泓分享:设计LOGO的思路和流程
- anime.js的学习小结
- 安全测试(五)Android APK软件安全 APP应用安全 手机软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解
- 暗影精灵2pro装Linux系统,暗影精灵2不支持linux双系统吗?
- 【配电网重构】基于粒子群算法实现最小化功率损耗的配电网重构附matlab代码
- CDN服务及如何获取CDN服务背后的真实IP
- 狼人杀个人理解玩法之(骑士)
- CSS样式书写顺序 与 浏览器内部加载原理
- 兼容ffIE678 hack(IE6、IE7、IE8、Firefox兼容性CSS HACK代码+示例)
- Unity---枚举类