sysconfig/network-scripts/ 网卡和配置文件夹
- 目录下对应网卡文件内可进行具体网卡配置
/etc/hostname 配置主机名
/etc/host 域名
/systemctl restart xxx.services 重启
配置本地yum源
mount 挂载cd到设备的方式
cp -rf /* /
sysconfig/network-scripts/ 网卡和配置文件夹
/etc/hostname 配置主机名
/etc/host 域名
/systemctl restart xxx.services 重启
配置本地yum源
mount 挂载cd到设备的方式
cp -rf /* /
umount /dev/cdrom 卸载光盘
mkdir /media/cdrom 创建目录
mount /dev/cdrom /media/cdrom/挂载到目录
rpm安装rpm包
cp -rf /modia/cdrom/* ./ 复制光盘
systemctl start vsftp.servce 启动FTP服务
把FTP模式改为被动模式
编辑配置文件
添加以下内容
pasv enable=YES
pasv min_port=3001
pasv max_port=3100
设置SELINU 规则
root@:setsebool allow ftpd full access 1
setsebool httpd enable ftp server 1
setsebool restart vsftpd
本地配YUM源三个斜杠指向本地目录
baseurl=file:///var/ftp/yum
安装并配置DHCP服务器
cd dhcp-4.2.5/
cp dhcpd.conf.example /etc/dhcp/dhcp.conf
覆盖文件
粘贴进去
启动DHCP服务
步骤二安装tftp-server 与syslinux
yum -y install 进行安装
然后启动tftp但tftp不能直接启动 依赖 xinetd.d
所以编辑 vim /etc/xinetd.d/tftp
//找到 “disable=yes”,修改成no
然后启动
systemctl restart xinetd
然后拷贝引导模块
安装KICKSTART自动化安装
日志系统审计、运维注意事项
系统管理人员应该提高警惕,随时注意各种可疑状况,并且按时和随机 地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传 输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常 理的时间记载。例如:
用户在非常规的时间登录;
不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无 故地缺少了中间的记录;
用户登录系统的IP地址和以往的不一样;
用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;
非法使用或不正当使用超级用户权限su的指令;
无故或者非法重新启动各项网络服务的记录。
另外,尤其提醒管理人员注意的是,日志并不是完全可靠的。高明的黑 客在入侵系统后,经常会打扫现场。
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
SSH的用途:在通过网络远程访问另一个主机时 提供最大的保护。增加其他非安全协议的安全性。
远程访问:远程主机 shell 访问 ssh root@主机
使用 SFTP 或 SCP 传输文件:
通过 SCP 命令将文件在本地主机与远程服务器之间进行复制:scp root@主机:/etc/pssawd./
结合 SFTP,作为 FTP 文件传输的一个安全替代品:sftp root@主机:/opt/www/
结合 rsync 有效安全地备份、复制和镜像文件到一个本地或远程 主机:rsync -avz --delete root@主机:/opt/www/./
端口转发
远程主机转发x 会话编辑sshd_config 113和115行
sshfs远程挂载安全目录 安装工具 epel源
CentOS7安装
步骤:
创建虚拟机并准备好系统安装镜像文件
进入安装初始化界面
进入图形化安装界面
语言选择
本地化
日期与时间、键盘、语言支持
软件
安装源与软件选择
系统
安装位置与网络主机名、KDUMP、NETWORK与HOSTNAME
用户设置
设置root
需要超级管理员的登录
YUM , Yellowdog Updater Modified
登陆linux系统尽量使用root(超级管理员),
获得最高权限以便操作
配置IP地址
启动协议static
不使用IPV6
配置本地yum源
挂载光盘,先卸载,创建挂载目录,拷贝安装光盘内容
到ftp站点并启动vstpd服务
配置vsftpd安全 被动模式更安全
测试
清理yum缓存 杀死进程kill -9 $(cat /var/run/yum.pid)
centOS7:redhat 企业版衍生版本
1、带gui的服务器
2、性能维护工具
3、兼容性工具
4、开发工具
5、安全工具
6、KDUMP内核崩溃转储机制
账号基本安全
注释掉系统不需要的用户和用户组
不建议直接删除
再用户名前加“#”,便可注释掉
将非登录用户的shell设为/sbin/nologin
锁定一段时间内不使用的账号
账号user00口令字段前加了一个“!
"号,便无法登录
给账号、组账号、账号口令文件加上不可更改属性(加锁),从而防止非授权用户获得权限。
账号口令的安全设置
设置密码的有效期与最短长度限制
要求用户下次登录时修改密码
命令历史限制
减少记录的命令条数
注销时自动清空历史命令记录
终端自动注销
闲置60
=====终端账户切换与提权
==终端自动注销
闲置600秒后自动注销
[root@localhost ~]# vim ~/.bash_profile
//在行尾添加下面的环境变量
export TMOUT=600
==使用su命令切换用户
用途:Substitute User,切换用户
格式:su - 目标用户
密码验证
root → 任意用户, 不验证密码
普通用户 → 其他用户,验证目标用户的密码
[likui@localhost 桌面]$ su - root
密码:
上一次登录:四 10月 22 10:09:09 CST 2015pts/0 上
[root@localhost ~]# whoami
root
==限制使用su命令的用户
启用pam_wheel认证模块,将允许使用su命令的用户加入wheel组
[root@localhost ~]# vim /etc/pam.d/su
//找到下面行,将“#”号删掉
#auth required pam_wheel.so use_uid
[root@localhost ~]# gpasswd -a likui wheel
正在将用户“likui”加入到“wheel”组中
==使用sudo机制提升权限
用途:以其他用户身份(如root)执行授权的命令
用法:sudo 授权命令
初次执行sudo命令时,验证当前用户的密码,不需验证目标用户的密码
[root@localhost ~]# sudo -u likui /bin/touch /tmp/test
[root@localhost ~]# ll /tmp
-rw-r--r--. 1 likui likui 0 10月 22 15:55 test
==使用sudo机制提升权限
配置sudo授权
//visudo 或者 vim /etc/sudoers
记录格式:用户 主机名列表=命令程序列表
[root@localhost ~]# vim /etc/sudoers
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
[likui@localhost 桌面]$ sudo ifconfig
==使用sudo机制提升权限
配置sudo授权
例:将likui加入/etc/sudoers,授权
[root@localhost ~]# vim /etc/sudoers
likui localhost=/sbin/*,!/sbin/ifconfig,!/sbin/route
Cmnd_Alias PKGTOOLS=/bin/rpm,/usr/bin/yum
User_Alias LUSERS=likui,ligui,liwei
Host_Alias LHOSTS=localhost,host1,host2
LUSERS LHOSTS=PKGTOOLS
[likui@localhost ~]$ sudo /sbin/ifconfig
对不起,用户 likui 无权以 root 的身份在 localhost 上执行 /sbin/ifconfig。
[likui@localhost ~]$ sudo /sbin/ip addr ⋯ ⋯
[likui@localhost ~]$ sudo -l
BOOTPROTO=static
ONBOOT=yes
IPADDR=172.16.8.172
NETMASK=255.255.255.0
GATEWAY=172.16.8.2
DNS1=114.114.114.114
DNS2=8.8.8.8 //修改的内容,其它内容省略
HOSTNAME=ovs.sevenwin.org
172.16.8.172 ovs ovs.sevenwin.org
SELINUX=disabled
unixsocket /tmp/redis.sock
unixsocketperm 700 //找到这两项,把前面的#号去掉。
过程非常漫长,过程中需要一些设置… …
在检查排错过程中,注意FIX给出解决方案… …
admin
配置ip地址
cd /etc/sysconfig/network-scripts/
vim 网卡名
将DHCP改为静态
onboot="yes"
IPADDR=
NETMASK=
GATEWAY=
DNS1=
配置主机名
vim /etc/hostname
vim /etc/hosts
配置完成后
systemctl restart network.service
配置本地yum源
软件仓库的提供方式
FTP服务:ftp://...
HTTP服务:http://...
本地目录:file://...
rpm软件包的来源
Red Hat发布的RPM包集合
第三方组织发布的RPM包集合(EPEL源)
用户自定义的RPM包集合
先挂载光盘
umount
BOOTPROTO=static
ONBOOT=yes
IPADDR=172.16.8.172
NETMASK=255.255.255.0
GATEWAY=172.16.8.2
DNS1=114.114.114.114
DNS2=8.8.8.8
HOSTNAME=cti.sevenwin.org
172.16.8.172 cti cti.sevenwin.org
SELINUX=disabled
$database_type = "mysql";
$database_default = "cacti";
$database_hostname = "localhost";
$database_username = "cactiuser";
$database_password = “Pa9865321”; //这里改为建库时的脚本
$database_port = "3306";
$database_ssl = false;
*/1 * * * * php /var/www/html/cacti/poller.php >/dev/null
DB_Host localhost
DB_Database cacti
DB_User cactiuser
DB_Pass Pa9865321
DB_Port 3306
com2sec notConfigUser 172.16.8.172 public
access notConfigGroup "" any noauth exact all none none
view all included .1 80
安装EPEL源
软件仓库
使用yum update更新系统时不升级内核,忽略KERNEl相关包
关闭自动更新
update_messages = no
download_updates = no
SSH安全性和配置最佳实践
将root账户仅限制为控制台访问:
配置TCP Wrappers,对远程主机进行访问控制:
在工作站或者笔记本电脑上,关闭SSH服务并卸载SSH服务器包:
通过控制用户账号,限制其对SSH的访问:
仅使用SSH Protocol2:
不支持闲置会话,并配置Idle Logout Timeout间隔:
禁用空密码,设置密码重试次数:
禁用基于主机的身份验证:
禁用用户的.rhosts文件:
限制SSH,将侦听绑定到可用的网络接口与端口:
始终保持SSH补丁版本最新:
1. 安装依赖
yum install wget bzip2 texlive net-tools alien redis -y
2. 安装Atomicorp源
wget -q -O - http://www.atomicorp.com/installers/atomic | sh
3. 配置启动Redis
vim /etc/redis.conf unixsocket /tmp/redis.sock unixsocketperm 700 //找到这两项,把前面的#号去掉
systemctl enable redis && systemctl restart redis
reboot
4. 安装 OPenVAS
yum install openvas -y
openvas-setup
5. 排错
openvas-check-setup
配置SSH身份认证
登录验证对象:
服务器中本地用户账号
登录验证方式
密码验证:核对用户名、密码是否匹配
密钥对验证:核对客户的私钥、客户端公钥是否匹配
构建密钥对验证的SSH体系:
第一步:创建密钥对(在客户端)
私密文件:id_rsa
公钥文件:id_rsa.pub
第二步:
上传公钥文件id-rsa.pub
第三步:导入公钥信息
公钥库文件: ~/.ssh//authorized_keys
第四