CentOS4.4系统基本安全设置
2010-05-30 00:47:09 来源:WEB开发网在向大家详细介绍CentOS4.4系统环境之前,首先让大家了解下CentOS4.4基本安全设置,然后全面介绍CentOS4.4系统环境,希望对大家有用。CentOS Linux作为众多Linux发行版中的一个,有着独特的个性,那就是CentOS Linux 与Red Hat Linux企业版(RHEL)保持着密切的关联。CentOS Linux的起源还要从著名的Linux发布商Red Hat公司的发行版产品说起。
系统约定
1、CentOS4.4系统环境
OS:CentOS-4.4.ServerCD-i386
Apache:2.2.4
MySQL:4.0.26
PHP:4.3.11
ZendOptimizer:3.2.2
phpMyAdmin:
2、源码包存放位置 :/usr/local/src
#为什么一定要在/usr/local/src/下进行Tarball呢?这仅是约定俗成的,因为如此一来,大家都安装在这个地方,以后主机的维护与移交都很简单,并且对于将来在主机上面进行“升级”与”版本识别“都有很好的帮助。
CentOS4.4系统环境部署及调优
1、基本安全设置
对于一个在Internet上提供服务的主机,安全性很重要,这方面的工作包含主机的包漏洞修补、关闭并不是必须的守护进程(端口)、防火墙配置以及每日的日志分析等。在装完CentOS4.4系统后,建议按照以下步骤来进行安全设置:
1)关闭并不是必须的守护进程(端口)
CentOS4.4系统安装完成后,一些可能并不是必须的守护进程会启用。禁用非必要的进程会减少CentOS4.4系统的内存开销,同时也可以减少系统的安全隐患,可以释放更多的内存空间、减少系统的启动时间、减少CPU处理的进程数量。
默认情况下,很多守护进程可以安全的在CentOS4.4系统下停止和禁用。下表列出了CentOS4.4安装(安装时软件包只选择开发工具一项)的一些守护进程,如果不是必须的你可以考虑禁用这些进程。
进程描述acpid提供高级电源管理。建议保留anacron
一个自动化运行任务守护进程。Red Hat Linux 随带四个自动化任务的工具cron、anacron、at、和 batc。当你的Linux服务器并不是全天运行,这个anacron就可以帮你执行在"crontab"设定的时间内没有执行的工作。
apmd
apmd(Advanced Power Management)是高级电源管理。传统的电源管理标准,对于笔记本电脑比较有用,可以了解系统的电池电量信息。并将相关信息通过syslogd 写入日志。也可以用来在电源不足时关机。
atd
计划任务(执行一次)守护进程。建议保留
autos
自动mount文件系统进程(例如自动mount光驱),在服务器系统上文件系统很少使用自动mount功能。关闭
cpuspeed
动态调整CPU频率的进程,在服务器系统中这个进程建议关闭。
crond
计划任务(循环执行)守护进程。建议保留
cups
通用UNIX打印系统,如果你计划在服务器上运行打印服务就不要关闭这个进程。
gmp
文本终端的鼠标服务,如果你想在本地文本终端支持鼠标就不要禁用这个进程。
haldaemon
和Windows的硬件管理类似,挂载U盘等必不可少。建议保留
iptables
这个是防火墙守护进程,无论如何,先启动它。
irqbalance
在多个处理器之间平衡中断,如果你使用一个单CPU系统或者你计划静态的平衡中断可以禁用这个进程。
isdn
ISDN调制解调器支持,如果你准备在服务器上支持ISDN调制解调器就不要禁用这个进程。
kudzu
检测和配置新硬件,如果硬件配置改变了应该手动运行。
mdmonitor
RAID相关设备的守护程序。
messagebus
挂载U盘时,要确保haldaemon和messagebus服务启动,所以这个也建议保留。
microcode_ctl
可编码以及发送新的微代码到内核以更新Intel IA32系列处理器守护进程。建议保留
netfs
用于支持NFS共享,如果你准备在服务器上支持NFS共享就不要禁用这个进程。
network
激活/关闭启动时的各个网络接口守护进程。
nfslock
对nfs启用文件锁,如果你准备在服务器上支持NFS共享就不要禁用这个进程。
pcmcia
Pcmcia支持,在服务器上很少使用pcmcia适配器因此可以安全的禁用这个进程。
portmap
为RPC服务动态分配端口(例如NIS和NFS),如果系统没有支持RPC服务可以禁用这个进程。
rawdevices
提供对裸设备绑定的支持,如果你不准备在系统中使用裸设备可以禁用这个进程。
rpcgssd
主要用于NFS和Samba的多个远程调用进程,如果系统没有基于rpc服务的支持,可以禁用这个进程。
rpcidmapd
同上
sendmail
邮件传输代理,如果服务器需要支持邮件服务就不要禁用这个进程。
smartd
使用S.M.A.R.T兼容设备的进程,如果你不是使用IDE/SATA磁盘子系统,可以禁用这个进程。
sshd
OpenSSH服务器守护进程,如果你不需要远程管理主机,可以关闭,不过应该没有几个人不需要这个服务吧。
syslog
把各类事件写入日志,是相当重要的服务,务必启动。
xfs
X Window的字体服务,如果你的运行级别是5请不要禁用这个进程。
xinetd
支持多种网络服务的核心守护进程。务必启动。[root@localhost ~]# ntsysv
#根据自己的需要,使用ntsysv工具来启用那些里程。
[root@localhost ~]# reboot
#重新启动使设置生效
[root@localhost ~]# netstat -an |more
#......信息略......
#检查一下当前开启的端口
#netstat是个很重要的命令,请大家务必掌握,这部份的知识自行在网上查阅。
2)基本防火墙配置
[root@localhost ~]# /etc/rc.d/init.d/iptables stop
#防火墙开启
[root@localhost ~]# /etc/rc.d/init.d/iptables start
#防火墙开启
[root@localhost ~]# vi /etc/sysconfig/iptables
#根据自己的情况增加防火墙规则。
root@localhost ~]# iptables-save > filename
#上面的命令用于将当前主机上的防火墙规则保存到filename文件。
root@localhost ~]# iptables-restore
LANG="zh_CN.GB18030"
[root@localhost ~]# reboot
#重新启动要设置生效
如果临时需要英文环境,执行以下命令即可。
[root@localhost ~]# export LANG='en_US'
2)对TCP/IP网络参数进行调整,加强抗syn_flood能力
[root@localhost ~]# echo 'net.ipv4.tcp_syncookies = 1' >> /etc/sysctl.conf
[root@localhost ~]# sysctl –p
3)网络校时
[root@localhost ~]# date
#确认CentOS4.4系统时间是否正确
[root@localhost ~]# ntpdate 210.72.145.44
#与中国国家授时中心进行时间校正
[root@localhost ~]# yum install ntp
#安装ntpdate程序。CentOS4.4系统虽然默认没有安装这个套件,但我们可以很方便的通过yum工具来在线安装。
[root@localhost ~]# crontab -e
CODE
[Copy to clipboard]
0 23 * * * root /usr/sbin/ntpdate 210.72.145.44 > /dev/null 2>&1#以上命令设置好后存盘。您的机器将在每天的23:00根据中国国家授时中心的NTP服务器时间自动校准时间。
#关于linux下定时执行工具crontab的介绍请见
http://hi.baidu.com/monobao/blog/item/01e9ecdcbc6a14a1cc11665b.html
3、安装LAMP套件所必需的包
[root@localhost ~]# vi install.sh
CODE
[Copy to clipboard]
yum install gcc
yum install cpp
yum install gcc-c++
yum install ncurses
yum install ncurses-devel
yum install gd-devel php-gd
yum install zlib-devel
yum install freetype-devel freetype-demos freetype-utils
yum install libpng-devel libpng10 libpng10-devel
yum install libjpeg-devel
yum install ImageMagick
yum install flex
yum install ImageMagick-devel [root@localhost ~]# sh install.sh
#为了方便,直接这些软件包在线安装的指令行编写到到脚本(Shell Script)中,下次用到时,你只需执行这个脚本就能自动安装了。因为Shell Script是利用您平日在使用的一些指令,将之组合起来,成为一个"程式"。如果您平日某些序列的指令下得特别频繁,便可以将这些指令组合起来,成为另一个新的指令。这样,不但可以简化并加速操作速度,甚至还可以乾脆自动定期执行,大大简化CentOS4.4系统管理工作。
下面正式步入LAMP的的安装步骤,开始安装之前,先了解一下源码编译方面的知识。
- ››CentOS安装rpm包时遇到Header V3 DSA signature: ...
- ››Centos下SVN的安装配置实用手册
- ››CENTOS5.2下如何搭建SVN专家讲解
- ››CentOS NFS服务器的创建
- ››CentOS NFS配置说明
- ››CentOS SYN Flood攻击原理Linux下设置
- ››CentOS DDNS是Linux中动态使用方法直接回车
- ››CentOS常用命令的各种使用方法
- ››CentOS图形安装详细解剖图
- ››CentOS上架设Nginx+Apache+Subversion
- ››CentOS下的网络配置文件篇
- ››Centos下安装mrtg、apache服务和配置MRTG
赞助商链接