RHEL6.* Server Security Hardening

师父:

http://debugo.com/rhel6-server-security-hardening-script/

不认识:

profile:http://linux.chinaitlab.com/administer/820910.html

 

 

  • disabling services

 原则:只保留最小化安装(不包含可视化桌面的那个最小)的系统服务+用户安装的服务。其他服务一律干掉。(附非官方最小安装服务列表:http://jiaxl.blog.51cto.com/3064605/954239

 

  • config ntp client

ps:

    38 ****这个火星文是cron的定时接口。详情见链接:

    http://www.poluoluo.com/jzxy/201009/94264.html

ps:crontab 的数字前加“*/10”,则为每隔这些时间就执行一次。

 

    >和>>都是重定向输出
1> 指标准信息输出路径(也就是默认的输出方式)
2> 指错误信息输出路径
2>&1 指将标准信息输出路径指定为错误信息输出路径(也就是都输出在一起)

补充问题4<&0:
<和<<都是重定向输入
<0指标准输入路径
4<&0 指的是将文件描述符4指定为标准输入(实际可选4到9之间任意一个数字)

 

    习惯上
标准输入(standard input)的文件描述符是 0
标准输出(standard output)是 1
标准错误(standard error)是 2

 

    > 会覆盖已有的文件内容,而>>会附加到已有内容之后。

 

  • global env variables

    这是为了永久修改时区

ps:

在.profile中使用export语句,它的作用是将变量设置在SHELL环境中,以在任意路径下使用。

comment :說明而已!好像是设置了新建文件的权限。

  • use pam(可插拔认证模块 Pluggable Authentication Modules)(还是有待学习)

控制能su到root的用户。

关于PAM的入门介绍:http://www.infoq.com/cn/articles/linux-pam-one

  • password policy

  • create user without creating home

    这个文件给出了对用户的一系列定义:

    CREATE_HOME 是否为新建用户创建home目录

    UMASK 用户新建文件的权限

  • /etc/ssh/sshd_config

  • lock accounts

    需要锁定的账号:adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、mailnull、
nfsnobody、nobody、pegasus、http
参考配置
(1)***用户:#userdel username;
(2)锁定用户:#passwd -l username
(3)解锁用户:#passwd -u username
(4)禁止用户交互登录:修改/etc/passwd文件,用户shell修改为/sbin/nologin
补充说明

  • banner

 

    这是发挥逗比技能的舞台 = =。系统登录时的banner 。。。也是只针对文本界面的。。。

    ftp的配置文件/etc/vsftpd/vsftpd.conf
配置文件的全部技能:
http://blog.csdn.net/yichi7758/article/details/4640014

    ftp的banner:

    ftp的匿名登录:

  • disable Control-Alt-Delete

    修改/etc/init/control-alt-delete.conf文件,注释如下内容:

    ps:这一行只是针对费图形界面进行配置。图形界面依然可以激活重启对话框。

  • syslog

  • selinux

关了

  • iptables

也关了

 

 

Leave a Comment

您的电子邮箱地址不会被公开。 必填项已用*标注