国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

Linux下vps的優(yōu)化與安全設置教程Linux下vps的優(yōu)化與安全設置教程相信很多朋友使用linux操作系統(tǒng)作為server服務器都會選擇centos 5.2這個版本，開源而且免費，有著成熟的社區(qū)來提供資源。Linux本身的安全性比windows好很多，很多人都不進行安全設置，但很多人在安裝完系統(tǒng)后認為linux本身就是安全的所以就沒有再從初始化或者安全方面進行設置了，這本身就是個錯誤的認識，任何系統(tǒng)如果不好好設置都是存在安全問題的。美國主機評論家收集一些centos5.2系統(tǒng)安裝后優(yōu)化及安全設置的教程。1、建立一個普通權限的用戶A.因為root用戶對系統(tǒng)具有全權的操作權限，為了避免一些失誤的操作，建議在一般情況下，以一般用戶登錄系統(tǒng)，必要的時候需要root操作權限時，再通過“su -”命令來登錄為root用戶進行操作。useradd pyschepasswd pyscheusermod -G wheel pyscheB. 修改pam配置，使非wheel組用戶不能使用su命令登錄為root：vi /etc/pam.d/su找到#auth required /lib/security/$ISA/pam_wheel.so use_uid將行首的 # 去掉。C.  vi /etc/login.defs在文件末尾加上SU_WHEEL_ONLY yesD.禁止ROOT遠程SSH登錄：vi /etc/ssh/sshd_config把其中的#PermitRootLogin yes改為PermitRootLogin no重啟sshd服務service sshd restart遠程管理用普通用戶登錄,然后用 su root 切換到root用戶就可以拿到最高權限2、安裝yum加速工具，并更新系統(tǒng)yum install yum-fastestmirror -yyum upgrade -y3、安裝mlocate工具yum install mlocate -y4、root郵件的修改在系統(tǒng)出現(xiàn)錯誤或有重要通知發(fā)送郵件給root的時候，讓系統(tǒng)自動轉送到我們通常使用的郵箱中，這樣方便查閱相關報告和日志。vi /etc/aliases在文件末尾加上root:pysche@ipbfans.org5、locate命令設置vi /etc/updatedb.conf在末尾增加DAILY_UPDATE=yes然后運行updatedb6、關閉不必要的服務比如cups/etc/init.d/cups stopchkconfig cups off除了以下服務以外，其他服務默認的都可以采用剛才的方法關閉：atdcrondirqbalancelvm2-monitormicrocode_ctlnetworksendmailsshdsyslog7、停止ipv6vi /etc/modprobe.conf在文件末尾加上alias net-pf-10 offalias ipv6 off8、關閉SELinuxvi /etc/selinux/config將其中的SELINUX=enforcing改為SELINUX=disabled9、安裝sudo工具yum install sudo -y安裝好了以后，修改sudo的配置vi /etc/sudousers將# %wheel ALL=(ALL) NOPASSWORD:ALL去掉前面的 # ， 然后保存文件。這樣修改了以后，只有所有屬于wheel組的用戶能執(zhí)行sudo命令，并且執(zhí)行sudo命令時只需要輸入自己的密碼即可。10、修改SSH配置vi /etc/ssh/sshd_config增加ServerKey的強度找到#ServerKeyBits 768改為ServerKeyBits 1024不允許root用戶直接登錄#PermitRootLogin Yes改為PermitRootLogin no禁止空密碼登錄找到#PermitEmptyPasswords no去掉前面的 #全部修改完了以后，重啟服務器init 62.刪除掉不需要的用戶和用戶組應該禁止所有默認的被操作系統(tǒng)本身啟動的并且不必要的賬號，當您第一次安裝系統(tǒng)時就應該這么做，Linux提供了很多默認賬號，而賬號越多，系統(tǒng)就越容易受到攻擊。有其他用戶進入root時 應采用：su - rootvi /etc/passwd#userdel adm#userdel lp#userdel sync#userdel shutdown#userdel halt#userdel news#userdel uucp#userdel operator#userdel games#userdel gopher#userdel ftpvi /etc/group#groupdel adm#groupdel lp#groupdel news#groupdel uucp#groupdel games#groupdel dip#groupdel pppusers3.口令文件chattr命令給下面的文件加上不可更改屬性，從而防止非授權用戶獲得權限。# chattr +i /etc/passwd# chattr +i /etc/shadow# chattr +i /etc/group# chattr +i /etc/gshadow檢查以上權限后期使用lsattr /ec/passwd4．禁止Ctrl Alt Delete重新啟動機器命令修改/etc/inittab文件，將”ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注釋掉。5．限制su命令如果您不想任何人能夠su作為root，可以編輯/etc/pam.d/su文件，增加如下兩行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=isd這時，僅isd組的用戶可以su作為root。此后，如果您希望用戶admin能夠su作為root，可以運行如下命令：# usermod -G10 admin6.刪除finger程序,具體方法如下#rpm –e finger7.刪減登錄信息默認情況下，登錄提示信息包括Linux發(fā)行版、內核版本名和服務器主機名等。對于一臺安全性要求較高的機器來說這樣泄漏了過多的信息?？梢跃庉?etc/rc.d/rc.local將輸出系統(tǒng)信息的如下行注釋掉。然后，進行如下操作：# rm -f /etc/issue# rm -f /etc/issue.net# touch /etc/issue# touch /etc/issue.net8、更改SSH端口最好改為10000以上，別人掃描到端口的機率也會下降不允許使用低版本的SSH協(xié)議vi /etc/ssh/ssd_config將#protocol 2,1改為protocol 2將PORT改為1000以上端口vi /etc/ssh/sshd_configPort 10000同時，創(chuàng)建一個普通登錄用戶，并取消直接root登錄useradd 'username'passwd 'username'vi /etc/ssh/sshd_configPermitRootLogin no         ＃取消root直接遠程登錄9、關閉那些不需要的服務記住少開一個服務，就少一個危險。以下僅列出需要啟動的服務，未列出的服務一律關閉：#setupacpidanacroncpuspeedcrondirqbalance \\僅當服務器CPU為S.M.P架構或支持雙核心、HT技術時，才需開啟，否則關閉。microcode_ctlnetworkrandomsendmailsshdsyslogyum-updatesd10、啟用iptables 防火墻，對增加系統(tǒng)安全有許多好處。設置好防火墻的規(guī)則。vi /etc/sysconf/iptables*filter:INPUT DROP [0:0]:FORWARD DROP [0:0]:OUTPUT ACCEPT [0:0]# allow local loopback connections-A INPUT -i lo -j ACCEPT# drop INVALID connections-A INPUT     -m state --state INVALID -j DROP-A OUTPUT    -m state --state INVALID -j DROP-A FORWARD -m state --state INVALID -j DROP# allow all established and related-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT# add anymore rules hereCOMMIT11.系統(tǒng)安全記錄文件操作系統(tǒng)內部的記錄文件是檢測是否有網(wǎng)絡入侵的重要線索。如果您的系統(tǒng)是直接連到Internet，您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試，可以運行”#more /var/log/secure | grep refused”來檢查系統(tǒng)所受到的攻擊，以便采取相應的對策，如使用SSH來替換Telnet/rlogin等。12.創(chuàng)建所有重要的日志文件的硬拷貝如果服務器比較重要,可以考慮把ssh,mail,引導信息等打印出來.在/etc/syslog.conf文件中加入一行.:Authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0執(zhí)行/etc/rc.d/init.d/syslog restart或者把日志發(fā)送到其它服務器保存如authpriv.*                 /var/log/secure要把它發(fā)送到192.168.0.2,就可以這樣修改authpriv.* @192.168.0.2                /var/log/secure13。改變/etc/rc.d/init.d目錄下的腳本文件的訪問許可# chmod -R 700 /etc/rc.d/init.d/*這樣便僅有root可以讀、寫或執(zhí)行上述所有腳本文件。注意:慎重修改此安全設置14.inetd.conf或xinetd.conf如果是inetd.conf建議注釋掉所有的r開頭的程序,exec等7,TCP_Wrappers在/etc/hosts.allow中加入允許的服務,在/etc/hosts.deny里加入這么一行ALL:ALL15./etc/aliases文件Aliases文件如果管理錯誤或管理粗心就會造成安全隱患.把定義”decode”這個別名的行從aliases文件中刪除.編輯aliases,刪除或注釋下面這些行:#games: root#ingres: root#system: root#toor: root#uucp: root#manager: root#dumper: root#operator: root#decode: root運行/usr/bin/nesaliases重新加載.16.防止sendmail被沒有授權的用戶濫用編輯sendmail.cf把PrivacyOptions=authwarnings改為PrivacyOptions=authwarnings,noexpn,novrfy17.不響應ping#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all18.使TCP SYN Cookie保護生效Echo 1 > /proc/sys/net/ipv4/tcp_syncookies19.帶S位的程序可以清除s位的程序包括但不限于:從來不用的程序;不希望非root用戶運行的程序;偶爾用用,但是不介意先用su命令變?yōu)閞oot后再運行.find / -type f \( -perm 04000 –o –perm -02000 \)  -printchmod a-s 程序名20.賬號安全設置修改/etc/login.def文件PASS_MAX_DAYS   120 ?設置密碼過期日期PASS_MIN_DAYS   0   ?設置密碼最少更改日期PASS_MIN_LEN    10    ?設置密碼最小長度PASS_WARN_AGE   7  ?設置過期提前警告天數(shù)確保/etc/shadow為root只讀確保/etc/passwd為root讀寫定期用密碼工具檢測用戶密碼強度21. /etc/exports如果通過NFS把文件共享出來,那么一定要配置”/etc/exports”文件,使得訪問限制盡可能的嚴格.這就是說,不要使用通配符,不允許對根目錄有寫權限,而且盡可能的只給讀權限.在/etc/exports文件加入:/dir/to/export host1.mydomain.com(ro,root_squash)/dir/to/export host2.mydomain.com(ro,root_squash)建議最好不要使用NFS.22．登錄終端設置/etc/securetty文件指定了允許root登錄的tty設備，由/bin/login程序讀取，其格式是一個被允許的名字列表，您可以編輯/etc/securetty且注釋掉如下的行。tty1# tty2# tty3# tty4# tty5# tty6這時，root僅可在tty1終端登錄。23.防止IP欺騙編輯host.conf文件并增加如下幾行來防止IP欺騙攻擊。order bind，hostsmulti offnospoof on24.Inetd設置首先要確認/etc/inetd.conf的所有者是root，且文件權限設置為600。設置完成后，可以使用”stat”命令進行檢查。# chmod 600 /etc/inetd.conf然后，編輯/etc/inetd.conf禁止以下服務。ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth如果您安裝了ssh/scp，也可以禁止掉Telnet/FTP。為了使改變生效，運行如下命令：#killall -HUP inetd默認情況下，多數(shù)Linux系統(tǒng)允許所有的請求，而用TCP_WRAPPERS增強系統(tǒng)安全性是舉手之勞，您可以修改/etc/hosts.deny和/etc/hosts.allow來增加訪問限制。例如，將/etc/hosts.deny設為”ALL: ALL”可以默認拒絕所有訪問。然后在/etc/hosts.allow文件中添加允許的訪問。例如，”sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表示允許IP地址192.168.1.10和主機名gate.openarch.com允許通過SSH連接。配置完成后，可以用tcpdchk檢查:# tcpdchktcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcp wrapper配置并報告所有發(fā)現(xiàn)的潛在/存在的問題。25.防止DoS攻擊對系統(tǒng)所有的用戶設置資源限制可以防止DoS類型攻擊。如最大進程數(shù)和內存使用數(shù)量等。例如，可以在/etc/security/limits.conf中添加如下幾行：* hard core 0* hard rss 5000* hard nproc 20然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。session required /lib/security/pam_limits.so上面的命令禁止調試文件，限制進程數(shù)為50并且限制內存使用為5MB。26.內核參數(shù)調整#vi /etc/sysctl.confsysctl -w net.ipv4.conf.default.accept_source_route=0sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1#sysctl -w net.ipv4.icmp_echo_ignore_all=1sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1sysctl -w net.ipv4.ip_conntrack_max=65535sysctl -w net.ipv4.tcp_syncookies=1sysctl -w net.ipv4.tcp_syn_retries=1sysctl -w net.ipv4.tcp_fin_timeout=5sysctl -w net.ipv4.tcp_synack_retries=1sysctl -w net.ipv4.tcp_syncookies=1sysctl -w net.ipv4.route.gc_timeout=100sysctl -w net.ipv4.tcp_keepalive_time=500sysctl -w net.ipv4.tcp_max_syn_backlog=1000027.查看系統(tǒng)隱藏文件find / -name “.*” –print28.查找系統(tǒng)中沒有主人的文件find / -nouser –o –nogroup29.查找.rhosts文件find /home -name “.rhosts”如果有,請刪除它.30.收回系統(tǒng)編譯器的權限或刪除如: chmod 700 /usr/bin/gcc31.查找任何人都有寫權限的文件和目錄find / -type f  \( -perm -2  -o perm -20 \) lsfind / -type f  \( -perm -2 –o –perm -20 \) ls32.關閉FTP匿名用戶登陸33.icmp包處理1）用防火墻禁止(或丟棄) icmp 包iptables -A INPUT -p icmp -j DROP2）對所有用ICMP通訊的包不予響應比如PING TRACERT34.Bash Shell 命令Bash shell在“~/.bash_history”（“~/”表示用戶目錄）文件中保存了500條使用過的命令，這樣可以使你輸入使用過的長命令變得容易。每個在系統(tǒng)中擁有賬號的用戶在他的目錄下都有一個“.bash_history”文件。bash shell應該保存少量的命令，并且在每次用戶注銷時都把這些歷史命令刪除。經(jīng)過以上的設置，您的Linux服務器已經(jīng)可以對絕大多數(shù)已知的安全問題和網(wǎng)絡攻擊具有免疫能力，但一名優(yōu)秀的系統(tǒng)管理員仍然要時刻注意網(wǎng)絡安全動態(tài)，隨時對已經(jīng)暴露出的和潛在安全漏洞進行修補。centOS 5.4 IP，防火墻，SSH配置(詳細版本)2010年01月21日 星期四 上午 00:57文件 /etc/sysconfig/network這個/etc/sysconfig/network文件是定義hostname和是否利用網(wǎng)絡的不接觸網(wǎng)絡設備的對系統(tǒng)全體定義的文件。設定形式：設定值=值/etc/sysconfig/network的設定項目如下：NETWORKING 是否利用網(wǎng)絡GATEWAY 默認網(wǎng)關IPGATEWAYDEV 默認網(wǎng)關的接口名HOSTNAME 主機名DOMAIN 域名文件 /etc/sysconfig/network-scripts/ifcfg-eth0/etc/sysconfig/network-scripts在這個目錄下面，存放的是網(wǎng)絡接口（網(wǎng)卡）的制御腳本文件（控制文件），ifcfg- eth0是默認的第一個網(wǎng)絡接口，如果機器中有多個網(wǎng)絡接口，那么名字就將依此類推ifcfg-eth1,ifcfg-eth2,ifcfg- eth3......（這里面的文件是相當重要的，涉及到網(wǎng)絡能否正常工作）設定形式：設定值=值設定項目項目如下：DEVICE 接口名（設備,網(wǎng)卡）BOOTPROTO IP的配置方法（static:固定IP， dhcpHCP， none:手動）HWADDR MAC地址ONBOOT 系統(tǒng)啟動的時候網(wǎng)絡接口是否有效（yes/no）TYPE 網(wǎng)絡類型（通常是Ethemet）NETMASK 網(wǎng)絡掩碼IPADDR IP地址IPV6INIT IPV6是否有效（yes/no）GATEWAY 默認網(wǎng)關IP地址這里有一個例子：CODE:[root@linux ~]# cat -n /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0:0BOOTPROTO=staticBROADCAST=192.168.0.255IPADDR=192.168.0.101NETMASK=255.255.255.0NETWORK=192.168.0.0ONBOOT=yes=================================DEVICE=eth0BOOTPROTO=noneHWADDR=00:16:E6:4D:30:05ONBOOT=yesIPADDR=192.168.1.99NETMASK=255.255.255.0NETWORK=192.168.1.0TYPE=EthernetUSERCTL=noIPV6INIT=noPEERDNS=yesGATEWAY=192.168.1.1文件 /etc/resolv.conf這個文件是用來配置主機將用的DNS服務器信息。在這個文件中如果不設置DNS服務器的IP地址，那么在通信的時候，將無法指定像http://www.waptv.us這樣的域名。（DNS是Domain NameSystem的簡稱，中文名稱域名解析服務器，主要是IP和域名轉換功能）/etc/resolv.conf的設定項目：domain ←定義本地域名search ←定義域名和搜索列表nameserver←定義被參照的DNS服務器的IP地址（最多可指定3個）一般來說最重要的是第三個nameserver項目，沒有這項定義，用域名將無法訪問網(wǎng)站，并且yum等服務將無法利用======================search localdomainnameserver 192.168.1.1網(wǎng)絡基本命令[root@linux ~]#service network restartstart ←啟動stop ←停止restart ←再啟動reload ←和再啟動一樣（..）status ←狀態(tài)表示防火墻配置： /etc/sysconfig/iptables-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7777 -j ACCEPT允許的端口，在修改SSH端口前，先在這里開啟端口。SSH端口修改/etc/ssh/ssh_config/etc/ssh/sshd_configport 8888port 22 #先留著此端口，上面的端口可以鏈接了，在關閉這個service sshd restart #重啟SSH/etc/init.d/iptables restart #重啟防火