RHEL6.* Server Security Hardening

师父：

http://debugo.com/rhel6-server-security-hardening-script/

不认识：

profile：http://linux.chinaitlab.com/administer/820910.html

 

 

• disabling services

 原则：只保留最小化安装（不包含可视化桌面的那个最小）的系统服务+用户安装的服务。其他服务一律干掉。（附非官方最小安装服务列表：http://jiaxl.blog.51cto.com/3064605/954239）

 

• config ntp client

ps：

    38 ****这个火星文是cron的定时接口。详情见链接：

    http://www.poluoluo.com/jzxy/201009/94264.html

ps:crontab 的数字前加“*/10”，则为每隔这些时间就执行一次。

 

    >和>>都是重定向输出
1> 指标准信息输出路径（也就是默认的输出方式）
2> 指错误信息输出路径
2>&1 指将标准信息输出路径指定为错误信息输出路径（也就是都输出在一起）

补充问题4<&0：
<和<<都是重定向输入
<0指标准输入路径
4<&0 指的是将文件描述符4指定为标准输入（实际可选4到9之间任意一个数字）

 

    习惯上
标准输入（standard input）的文件描述符是 0
标准输出（standard output）是 1
标准错误（standard error）是 2

 

    > 会覆盖已有的文件内容，而>>会附加到已有内容之后。

 

• global env variables

    这是为了永久修改时区

ps：

在.profile中使用export语句,它的作用是将变量设置在SHELL环境中,以在任意路径下使用。

comment ：說明而已！好像是设置了新建文件的权限。

• use pam（可插拔认证模块 Pluggable Authentication Modules）（还是有待学习）

控制能su到root的用户。

关于PAM的入门介绍：http://www.infoq.com/cn/articles/linux-pam-one

• password policy

• create user without creating home

    这个文件给出了对用户的一系列定义：

    CREATE_HOME 是否为新建用户创建home目录

    UMASK 用户新建文件的权限

• /etc/ssh/sshd_config

• lock accounts

    需要锁定的账号：adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、mailnull、
nfsnobody、nobody、pegasus、http
参考配置
（1）***用户：#userdel username;
（2）锁定用户：#passwd -l username
（3）解锁用户：#passwd -u username
（4）禁止用户交互登录:修改/etc/passwd文件，用户shell修改为/sbin/nologin
补充说明

• banner

 

    这是发挥逗比技能的舞台 = =。系统登录时的banner 。。。也是只针对文本界面的。。。

    ftp的配置文件/etc/vsftpd/vsftpd.conf
配置文件的全部技能：http://blog.csdn.net/yichi7758/article/details/4640014

    ftp的banner：

    ftp的匿名登录：

• disable Control-Alt-Delete

    修改/etc/init/control-alt-delete.conf文件，注释如下内容：

    ps:这一行只是针对费图形界面进行配置。图形界面依然可以激活重启对话框。

• syslog

• selinux

关了

• iptables

也关了