精益求精的CentOS操作系統安全設置

原創 q546809757 2018-09-12 06:17

本博客轉移到http://www.51buyhost.com

這次我們講的還是安全問題,在CentOS操作系統中,可以通過有效的安全設置來避免很多的問題。下面這些設置可以很好的保護你的電腦不在受到打擾。

因爲root用戶對CentOS操作系統具有全權的操作權限,爲了避免一些失誤的操作,建議在一般情況下,以一般用戶登錄CentOS操作系統,必要的時候需要root操作權限時,再通過“su -”命令來登錄爲root用戶進行操作。

在一般情況下,一般用戶通過執行“su -”命令、輸入正確的root密碼,可以登錄爲root用戶來對CentOS操作系統進行管理員級別的配置。但是,爲了更進一步加強CentOS操作系統的安全性,有必要建立一個管理員的組,只允許這個組的用戶來執行“su -”命令登錄爲root用戶,而讓其他組的用戶即使執行“su -”、輸入了正確的root密碼,也無法登錄爲root用戶。在UNIX下,這個組的名稱通常爲“wheel”。

首先我們創建兩個普通的用戶tom john
[root@www ~]# useradd tom
[root@www ~]# passwd tom
輸入你的密碼
[root@www ~]# useradd john
[root@www ~]# passwd john
輸入你的密碼
[root@www ~]# usermod -g wheel tom 將tom用戶加入到wheel組中
[root@www ~]# vi /etc/pam.d/su  ← 打開這個配置文件找到這句話在第六行將其前面的#註釋掉
# auth            required        pam_wheel.so use_uid
[root@www ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

然後你可以分別用tom和john登陸,沒有加入到wheel組的用戶,執行“su -”命令,即使輸入了正確的root密碼,也無法登錄爲root用戶
在CentOS操作系統出現錯誤或有重要通知發送郵件給root的時候,讓系統自動轉送到我們通常使用的郵箱中,這樣方便查閱相關報告和日誌。
[root@www ~]# vi /etc/aliases
在這兩句下面mailer-daemon:  postmaster
postmaster:root
加入這句話root:[email protected] 這裏寫自己郵箱
[root@www ~]# newaliases   重建aliasesdb
[root@www ~]# echo test | mail root 發送測試軟件給root
[8] 定義yum的非官方庫
在服務器構建的過程中,我們將要用到的一些工具不存在於CentOS操作系統中yum的官方庫中,所以需要定義yum的非官方庫文件,讓一些必需的工具通過yum也能夠安裝。

[root@sample ~]# vi /etc/yum.repos.d/dag.repo  ← 建立dag.repo,定義非官方庫
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1
[root@sample ~]# rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt  ← 導入非官方庫的GPG

[9] CentOS操作系統停止打印服務

如果不準備提供打印服務,停止默認被設置爲自動啓動的打印服務。
[root@sample ~]# /etc/rc.d/init.d/cups stop  ← 停止打印服務
Stopping cups: [ OK ]  ← 停止服務成功,出現“OK”
[root@sample ~]# chkconfig cups off  ← 禁止打印服務自動啓動
[root@sample ~]# chkconfig --list cups  ← 確認打印服務自啓動設置狀態
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off  ← 0-6都爲off的狀態就OK(當前打印服務自啓動被禁止中)
[10] 停止ipv6

在CentOS操作系統默認的狀態下,ipv6是被啓用的狀態。因爲我們不使用ipv6,所以,停止ipv6,以最大限度保證安全和快速。

首先再次確認一下ipv6功能是不是被啓動的狀態。

[root@www ~]# ifconfig -a ← 列出全部網絡接口信息
sit0 Link encap:IPv6-in-IPv4 ← 確認ipv6是被啓動的狀態
[root@www ~]# vi /etc/modprobe.conf← 修改相應配置文件,添加如下行到文尾:
alias net-pf-10 off
alias ipv6 off
[root@www ~]# shutdown -r now  ← 重新啓動系統,使設置生效
修改/etc/yum.repos.d/CentOS-Base.repo,將鏡象站點地址改爲在中國的鏡象站點地址。不然我們通過yum安裝軟件速度會極慢。修改如下
 
  1. # CentOS-Base.repo  
  2. #  
  3. # This file uses a new mirrorlist system developed by Lance Davis for CentOS.  
  4. # The mirror system uses the connecting IP address of the client and the  
  5. # update status of each mirror to pick mirrors that are updated to and  
  6. # geographically close to the client. You should use this for CentOS updates  
  7. # unless you are manually picking other mirrors.  
  8. #  
  9. # If the mirrorlistdoes not work for you, as a fall back you can try the  
  10. # remarked out baseurlline instead.  
  11.  
  12. [base]  
  13. name=CentOS-$releasever - Base  
  14. baseurl=http://mirrors.shlug.org/centos/$releasever/os/$basearch/  
  15. gpgcheck=1 
  16. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
  17. protect=1 
  18. #released updates  
  19. [updates]  
  20. name=CentOS-$releasever - Updates  
  21. baseurl=http://mirrors.shlug.org/centos/$releasever/updates/$basearch/  
  22. gpgcheck=1 
  23. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
  24. protect=1 
  25. #packages used/produced in the build but not released  
  26. [addons]  
  27. name=CentOS-$releasever - Addons  
  28. baseurl=http://mirrors.shlug.org/centos/$releasever/addons/$basearch/  
  29. gpgcheck=1 
  30. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
  31. protect=0 
  32. #additional packages that may be useful  
  33. [extras]  
  34. name=CentOS-$releasever - Extras  
  35. baseurl=http://mirrors.shlug.org/centos/$releasever/extras/$basearch/  
  36. gpgcheck=1 
  37. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
  38. protect=0 
  39. #additional packages that extend functionality of existing packages  
  40. [centosplus]  
  41. name=CentOS-$releasever - Plus  
  42. baseurl=http://mirrors.shlug.org/centos/$releasever/centosplus/$basearch/  
  43. gpgcheck=1 
  44. enabled=0 
  45. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
  46. protect=1 
  47. #contrib - packages by Centos Users  
  48. [contrib]  
  49. name=CentOS-$releasever - Contrib  
  50. baseurl=http://mirrors.shlug.org/centos/$releasever/contrib/$basearch/  
  51. gpgcheck=1 
  52. enabled=0 
  53. protect=0 
  54. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

更新CentOS操作系統[root@www ~]#yum -y upgrade

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Error response from daemon: OCI runtime create failed

uiz 2019-02-24 13:44:10

Vmware支持的操作系統

dawei818 2019-02-23 14:05:37

恢復IOS操作系統

wpgs 2019-02-23 14:05:20

PXE自動化批量安裝Linux操作系統

the_viola 2019-02-23 13:49:16

my-innodb-heavy-4G.cnf配置文件註解

伊辰 2019-02-23 13:37:48

linux下sar命令的用法

guokaikaikai 2019-02-23 13:32:12

操作系統類型介紹

羽化飛仙 2019-02-23 13:31:17

win7下搭建GO開發環境 - eclipse 配置GO開發

落花飄雪IT 2019-02-23 13:27:20

linux 文件系統基本概念

happlehou 2019-02-23 13:21:00

Linux用戶管理與權限

半夜心晴 2019-02-23 13:14:44

據9成手機操作系統份額的iOS和Android遇到了挑戰者火狐

blmzmx 2019-02-23 13:08:58

Zabbix操作系統及軟件版本

chengcai 2019-02-23 13:08:35

我又發現一個直接就能安裝中文小紅帽的方法

X93458 2019-02-23 13:06:43

CentOS系統啓動流程

cc532321437 2019-02-23 13:37:43

DELL服務器裝機網絡問題

半夜心晴 2019-02-23 13:14:44