Linux运维笔记20180002-安全加固

Posted yourlight

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux运维笔记20180002-安全加固相关的知识,希望对你有一定的参考价值。

关于“安全加固”

  安全   是相对的。

  加固  可能涉及系统内所有方面:(1)硬件。比如:Intel X86 硬件漏洞;(2)操作系统。从安装部署到安装后运行;(3)系统服务。服务本身安装配置、服务涉及的系统资源、外部对服务的访问(数据交流)。

举例说明:RHEL的安装部署、系统配置、系统服务设置。

1.关于操作系统

  尽可能,使用官方发布的系统;

  尽可能选择当前“主流”的版本。

  比如:RHEL 大的版本:6.X  6.8  7.X 7.2、7.5

  1.1 关于操作系统的安装

  (1)磁盘分区:/boot:200M  /:10G  swap:内存*2

    使用逻辑卷部署系统

      /boot  引导分区,必须使用物理分区

      /swap  使用逻辑卷

      /     使用逻辑卷

    简单部署的时候,只需要以上三个分区,还有其他目录可以独立创建:

     (数据流比较大的时候,文件系统容易爆仓....)

      /var 

      /var/log

      /home

      /usr

      /usr/local

      /tmp

      (用户自定义的目录都可以独立挂载)

    上级目录与下面的子目录,都可以各自独立挂载磁盘

    为系统目录重新分配独立的分区

      操作:磁盘分区/逻辑卷,文件系统建立,挂载&卸载,文件移动

      要点:  1.用户只能操作文件系统(读写文件操作)

         2.文件系统不能脱离磁盘 (数据写在文件系统上)

         3.挂载 (目录与文件系统的关联:通过目录进入文件系统)

         4.文件移动,保持属性。

  (2)软件包定制

    Desktop

    开发工具组

  (3)系统安装后查看分区和挂载

    df -Th、lvdisplay、vgdisplay、lvs、vgs、

    /etc/fstab

    (4) yum 源

    不是直接指定iso文件,需要把镜像先挂载

      比如:mount -o loop xxx.iso  /mnt

    同时挂载信息,可以写入fstab  但是可能影响系统启动

    写到另一个文件,把mount命令写入/etc/rc.local 

      rc.local :系统启动之后,会执行,是一个脚本。

  1.2 关于RHEL6 root账户密码恢复

    开机启动,还是要打断系统启动

    编辑内核参数,找到启动项,e编辑-->选到内核(kernel行),e编辑。--> 末尾添加参数1或者single(单用户模式),回车确认-->选到kernell内核行,b启动-->启动直接进入单用户模式  不需要重新挂载单用户模式,直接就进入系统根,root账户--->passwd修改密码,reboot重启。

    防止恶意破解密码

      grub需要加密 找到grub配置文件:/etc/grub.conf

      在hiddenmenu下添加一行 passwd 

      1.明文密码 password=123456

      2.MD5加密 password  --md5  加密字串

      3.SHA加密 password   --encrypted 加密字串

    加密字串如何生成?

      命令工具:grub-crypt  --指定加密算法

      默认使用SHA-512   具体使用--help

该篇文章整理主要来自我身边学习的涛哥,涛哥上周结婚啦,感谢涛哥对我们小白的指导。

 

以上是关于Linux运维笔记20180002-安全加固的主要内容,如果未能解决你的问题,请参考以下文章

linux系统安全加固

IT 安全概念&Linux 安全加固实施方案

Linux企业运维——Docker安全

三问:linux操作系统安全加固

笔记整理:Linux服务器通用安全加固指南

Linux一键加固自动化脚本,合适自己才是最好的