《Linux網(wǎng)絡(luò)操作系統(tǒng)（CentOS 6.5）》課件-2-1-4 CentOS 6.5的安全配置

Linux網(wǎng)絡(luò)操作系統(tǒng)（CentOS）子任務(wù)四CentOS6.5的安全配置基本安全配置在服務(wù)器的安全配置中，應(yīng)遵守以下原則：最小的權(quán)限+最少的服務(wù)=最大的安全因此必須把不用的服務(wù)關(guān)閉，把系統(tǒng)權(quán)限設(shè)置到最小化，這樣才能保證服務(wù)器最大的安全。注意：在做任何配置修改前，最好是將原始配置文件備份。（1）禁用不使用的用戶和用戶組當(dāng)有些用戶或用戶組暫時(shí)不需要使用時(shí)，需要及時(shí)的將這些用戶和用戶組進(jìn)行“封存”，但不必要將其刪除，而只需將其注釋即可。（2）關(guān)閉不需要使用的服務(wù)系統(tǒng)啟動(dòng)時(shí)或在運(yùn)行過程中，會(huì)隨著系統(tǒng)啟動(dòng)或服務(wù)運(yùn)行開啟一些服務(wù)進(jìn)程，當(dāng)然其中并不是所有的服務(wù)都是需要的，此時(shí)就應(yīng)該將那些不需要使用的服務(wù)關(guān)閉?；景踩渲茫?）增加特殊文件權(quán)限為了防止某些非授權(quán)用戶對(duì)系統(tǒng)中的重要文件進(jìn)行修改，可以對(duì)這些重要文件進(jìn)行加鎖操作，即增加不可修改屬性。（4）修改history命令記錄

history命令記錄中有大量的系統(tǒng)管理員對(duì)系統(tǒng)進(jìn)行的管理操作，這些操作如果一旦被非授權(quán)用戶獲取，就存在有安全隱患，因此我們需要將記錄的條數(shù)減少，以防止過多的歷史操作被竊取的可能。（5）隱藏服務(wù)器系統(tǒng)信息在默認(rèn)情況下，當(dāng)?shù)顷懙紺entOS服務(wù)器系統(tǒng)時(shí)，系統(tǒng)會(huì)顯示出該服務(wù)器使用的linux版本、內(nèi)核版本等重要信息。我們需要將這些重要系統(tǒng)信息隱藏，不能讓它泄露出來。SELiunx配置SELinux可以允許系統(tǒng)管理員更加靈活的來定義安全策略。使用SELinux的策略后，SELinux能夠控制哪個(gè)進(jìn)程只能訪問哪個(gè)文件。（1）SELinux工作模式enforcing：強(qiáng)制模式，對(duì)于違反策略的行為全部禁止，并且作內(nèi)核記錄；permissive：警告模式，將該事件記錄下來，依然允許執(zhí)行；disabled：關(guān)閉selinux。SELiunx配置

getenforce命令獲取當(dāng)前SELinux工作模式。

注意，系統(tǒng)默認(rèn)開啟SELinux的強(qiáng)制模式。

setenforce命令臨時(shí)更改SELinux工作模式，0表示permissive，1表示enforcing。

臨時(shí)將SELinux工作模式更改為permissive，重啟系統(tǒng)后失效。SELiunx配置

修改SELinux配置文件修改SELinux配置文件“/etc/sysconfig/selinux”中的SELinux字段可以設(shè)置其工作模式，重啟后永久生效。

將SELINUX工作模式更改為disabled，重啟后方能生效。SELiunx配置（2）SELinux配置相關(guān)命令

chcon命令chcon命令是修改對(duì)象（文件）的安全上下文，比如：用戶、角色、類型、安全級(jí)別。也就是將每個(gè)文件的安全環(huán)境變更至指定環(huán)境。chcon命令格式為：chcon[選項(xiàng)]安全上下文對(duì)象（文件或目錄）常用選項(xiàng)有：-R：遞歸處理所有的文件及子目錄；-u：設(shè)置指定用戶的目標(biāo)安全環(huán)境；-r：設(shè)置指定角色的目標(biāo)安全環(huán)境；-t：設(shè)置指定類型的目標(biāo)安全環(huán)境；-l：設(shè)置指定范圍的目標(biāo)安全環(huán)境。SELiunx配置

getsebool命令獲取當(dāng)前系統(tǒng)selinux策略值。getsebool命令格式為：getsebool[-a][布爾值條款]

其中，“-a”表示列出目前系統(tǒng)上面的所有布爾值條款設(shè)置為開啟或關(guān)閉值。

setsebool命令該命令是用來修改SElinux策略內(nèi)各項(xiàng)規(guī)則的布爾值條款。setsebool命令格式為：setsebool[-P]布爾值條款=[0|1]其中，“-P”表示直接將設(shè)置值寫入配置文件，該設(shè)置數(shù)據(jù)永久生效。Iptables防火墻配置Iptable其實(shí)是Linux下的數(shù)據(jù)包過濾軟件，也是目前Centos默認(rèn)的防火墻。Iptables利用的數(shù)據(jù)包過濾的機(jī)制，根據(jù)定義的規(guī)則來決定該數(shù)據(jù)包是進(jìn)入主機(jī)還是丟棄。Iptables命令定義規(guī)則的格式為：iptables[-AI鏈名][-io網(wǎng)絡(luò)接口][-p協(xié)議][-s來源IP/網(wǎng)絡(luò)][-d目標(biāo)IP/網(wǎng)絡(luò)]-j[ACCEPT/DROP/REJECT/LOG]參數(shù)說明如下：-A：新增一條規(guī)則，該規(guī)則在原規(guī)則的最后面；-I：插入一條規(guī)則，默認(rèn)該規(guī)則在原第一條規(guī)則的前面，即該新規(guī)則變?yōu)榈谝粭l規(guī)則；Iptables防火墻配置參數(shù)說明如下（續(xù)）：鏈名：即INPUT鏈（入站規(guī)則）、OUTPUT鏈（出站規(guī)則）、FORWARD鏈（轉(zhuǎn)發(fā)規(guī)則）；-i：表示輸入，即數(shù)據(jù)包進(jìn)入的網(wǎng)絡(luò)接口。與INPUT鏈配合；-o：表示輸出，即數(shù)據(jù)包傳出的網(wǎng)絡(luò)接口。與OUTPUT鏈配合；網(wǎng)絡(luò)接口：設(shè)置數(shù)據(jù)包進(jìn)出的接口規(guī)范；-p協(xié)議：此規(guī)則適應(yīng)于哪種數(shù)據(jù)包。如tcp、udp、icmp及all；-s來源IP/網(wǎng)絡(luò)：設(shè)置次規(guī)則