关于“安全加固”
安全 是相对的。
加固 可能涉及系统内所有方面:(1)硬件。比如:Intel X86 硬件漏洞;(2)操作系统。从安装部署到安装后运行;(3)系统服务。服务本身安装配置、服务涉及的系统资源、外部对服务的访问(数据交流)。
举例说明:RHEL的安装部署、系统配置、系统服务设置。
1.关于操作系统
尽可能,使用官方发布的系统;
尽可能选择当前“主流”的版本。
比如:RHEL 大的版本:6.X 6.8 7.X 7.2、7.5
1.1 关于操作系统的安装
(1)磁盘分区:/boot:200M /:10G swap:内存*2
使用逻辑卷部署系统
/boot 引导分区,必须使用物理分区
/swap 使用逻辑卷
/ 使用逻辑卷
简单部署的时候,只需要以上三个分区,还有其他目录可以独立创建:
(数据流比较大的时候,文件系统容易爆仓....)
/var
/var/log
/home
/usr
/usr/local
/tmp
(用户自定义的目录都可以独立挂载)
上级目录与下面的子目录,都可以各自独立挂载磁盘
为系统目录重新分配独立的分区
操作:磁盘分区/逻辑卷,文件系统建立,挂载&卸载,文件移动
要点: 1.用户只能操作文件系统(读写文件操作)
2.文件系统不能脱离磁盘 (数据写在文件系统上)
3.挂载 (目录与文件系统的关联:通过目录进入文件系统)
4.文件移动,保持属性。
(2)软件包定制
Desktop
开发工具组
(3)系统安装后查看分区和挂载
df -Th、lvdisplay、vgdisplay、lvs、vgs、
/etc/fstab
(4) yum 源
不是直接指定iso文件,需要把镜像先挂载
比如:mount -o loop xxx.iso /mnt
同时挂载信息,可以写入fstab 但是可能影响系统启动
写到另一个文件,把mount命令写入/etc/rc.local
rc.local :系统启动之后,会执行,是一个脚本。
1.2 关于RHEL6 root账户密码恢复
开机启动,还是要打断系统启动
编辑内核参数,找到启动项,e编辑-->选到内核(kernel行),e编辑。--> 末尾添加参数1或者single(单用户模式),回车确认-->选到kernell内核行,b启动-->启动直接进入单用户模式 不需要重新挂载单用户模式,直接就进入系统根,root账户--->passwd修改密码,reboot重启。
防止恶意破解密码
grub需要加密 找到grub配置文件:/etc/grub.conf
在hiddenmenu下添加一行 passwd
1.明文密码 password=123456
2.MD5加密 password --md5 加密字串
3.SHA加密 password --encrypted 加密字串
加密字串如何生成?
命令工具:grub-crypt --指定加密算法
默认使用SHA-512 具体使用--help
该篇文章整理主要来自我身边学习的涛哥,涛哥上周结婚啦,感谢涛哥对我们小白的指导。