search 2013 adfgs
作者:Sky.Jian | 可以任意转载, 但转载时务必以超链接形式标明文章原始出处 和 作者信息 及 版权声明
链接:http://isky000.com/software/linux%e5%9f%ba%e6%9c%ac%e5%ae%89%e5%85%a8%e9%85%8d%e7%bd%ae%ef%bc%88%e7%ba%b2%e8%a6%81%ef%bc%89 | del.icio.us | Twitter it

一. 安装过程中注意事项:
1. 分区
2. 禁止安装任何服务
3. 不安装KDE
4. 安装内核源代码及编译工具

二. 安装完后应做的事:
1. 调整内核:
1) 运行dmesg、lspci等命令查看服务器硬件列表,确定所需要的基本硬件的驱动信息,包括SCSI、RAID、磁盘、网卡、键盘、鼠标、显卡等;
2) 进入内核源码目录:/usr/src/linux-2.4,执行make menuconfig,进入内核配置菜单,根据硬件配置和实际需要来修改该菜单,去掉大部分不必要的模块(或者不使用模块),保存退出;
3) 执行make dep,生成代码关系树;
4) 分别执行make; make modules; make modules_install; make install等编译命令;
5) 其它选择:depmod –a;修改/etc/grub.conf等。

2. 关闭服务:
1)/etc/rc2.d下的下列服务:
S13portmap S14nfslock S28autofs S80sendmail S90FreeWnn S90canna S90cups S85gpm S24pcmcia S08iptables S09isdn S90xfs
2)/etc/rc3.d下除local、network、syslog外,其他服务关闭
3)/etc/rc.d/xinetd.d下的全部网络服务关闭
4)关闭所有服务后,执行netstat -an |grep LISTEN 应开不到任何打开的TCP端口

3. 定制服务:
1) Openssh最新版本的安装及安全增强配置
要点:尽量将Openssh端口(22)侦听在内网卡上,使用SSH协议2,特权分离,禁止root登陆和
端口转发,忽略信任主机等
2) Proftp最新版本的安装及安全增强配置;
要点:禁止匿名FTP,将用户登陆限制在家目录下
3) Apache的安装及安全增强配置;
要点:httpd.conf配置文件的调整,见上文
4) 其它应用软件的安装及安全配置。

4. 帐号管理:
删除大部分不必要帐号,取消帐号中不必要的shell。
如下帐号可被删除:
adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp,rpm,nscd,rpc,
rpcuser,nfsnobody,mailnull,smmsp,pcap,xfs,ntp
如果要使用KDE之类的图形窗口,则有些帐号如rpc,xfs是需要的。

5. Suid及sgid文件检查:
执行如下命令:
find / -user root -perm -4000 -print -exec md5sum {} \;
find / -user root -perm -2000 -print -exec md5sum {} \;
将结果重定向到一个文件,保存起来以后备查。

6. 防范SYN攻击:
1)使用SYN Cookies,在/etc/rc.d/rc.local里加入:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2)增加TCP最大半连接数:
sysctl -w net.ipv4.tcp_max_syn_backlog=”2048″
3)缩短TCP半连接的等待超时时间

看完了要说点啥么?