1 从网络优化配置加上自身服务器配置整理而得,陆续更新中 2 配置清单详细 2.1 说明:使用工具 PInventor v-1.0.3.0 中文版 产生随机密码 注:使用随机密码能否有效避免小黑使用猜测密码爆破 2.2 设置系统和BIOS密码,并且修改禁止从光盘启动系统 F2->System BIOS->System Security setup password 进BIOS密码 ystem password 开机密码 禁止从光盘启动 F2->System BIOS->Boot Settings->Boot Option Enable/Disable 将 Embedded SATA PortE:HL-DT-ST DVD-ROM DU70N 失能 注:以上操作坏境是在戴尔服务器R系列 2.3 更改grub密码 分明文和密文密码 /boot/grub/grub.conf 文件及其两个链接文件 /etc/grub.conf /etc/grub/menu.lst 明文: #vim /etc/grub/grub.conf 在 splashimage 行和 hiddenmenu 行之间添加: password=123456 密文:使用 /sbin/grub-md5-crypt 工具产生密文,然后添加到 /etc/grub/grub.conf 中 使用 /sbin/grub-md5-crypt 工具产生密文,然后添加到 /boot/grub/grub.conf 中 #/sbin/grub-md5-crypt | tee 1 在 splashimage 行和 hiddenmenu 行之间添加: password --md5 $1$jAy5T1$a837pUfn5HvwxxXb9j4BB1 注:md5前面是两个”-“号 添加 lock 选项,使进入系统和进入grub都需要输入 grub密码 在 tittle 和 root (hd0,0) 之间添加lock选项,因为测试服务器做了 RAID,所以要添加两个 2.4 更改启动操作系统和登陆界面的提示信息 /etc/sysconfig/network 和 /boot/grub/grub.conf 文件 更改服务器主机名 host: #vim /etc/sysconfig/network 将 HOSTNAME= 设置为相应规格名字 LVS负载均衡 1开始 web服务器 2 开始 数据库服务器 3 开始 更改登陆时,grub显示的操作系统名字: #vim /boot/grub/grub.conf 将 title 设置为相应服务器名字 更改启动时grub提示的操作系统内核版本信息: #vim /boot/grub/grub.conf 删除 title 后面的 内核信息 2.5 删除不用的用户和用户组 #vim /etc/passwd #vim /etc/group 删除用户: adm lp sync shutdown halt uucp operator games gopher ftp 删除用户组: adm lp uucp games gopher ftp dip 新建普通用户test1 新建权限用户 test2 mysql:x:498:502::/home/:/sbin/nologin test2:x:999:999::/home/:/bin/sh test1:x:500:500::/home/test1:/bin/bash userdel –rf sk 强力删除并移除用户家目录 useradd –M test2创建用户不创家目录 2.6 修改用户口令长度及 UID 和 GID 号 #vim /etc/login.defs 修改如下 #vim /etc/login.defs 更改,参数含义 PASS_MAX_DAYS 90 密码最长过期天数 PASS_MIN_DAYS 80 密码最小过期天数 PASS_MIN_LEN 10 密码最小长度 PASS_WARN_AGE 7 密码过期警告天数 UID_MIN 999 UID_MAX 60000 GID_MIN 999 GID_MAX 60000 2.7 修改设置新密码的复杂度 #vim /etc/pam.d/system-auth 更改 password requisite pam_cracklib.so try_first_pass retry=3 type= 为 password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict 参数含义: retry尝试次数:3 difok最少不同字符:3 minlen最小密码长度:10 ucredit最少大写字母:1 lcredit最少小写字母:3 dcredit最少数字:3 dictpath密码字典:/usr/share/cracklib/pw_dict 路径,但是这个更改后: [/home/t#]passwd t Changing password for user t. passwd: Permission denied [/home/t#]su t could not open session 如果禁止更改密码和从root切换到普通用户可以添加次项,否则注释掉 2.8 禁止执行组合键 “CTRL+ALT+DELETE” 重新启动机器命令 #vim /etc/init/control-alt-delete.conf 注释以下两行,在登陆提示符模式和命令行模式都无法使用该组合键重启服务器 #start on control-alt-delete #exec /sbin/shutdown -r now "Control-Alt-Delete pressed" 2.9 限制 su 命令,只有指定用户组的用户可以使用su切换root用户 #vim /etc/pam.d/su 只有 wheel 群组的用户可以使用su切换到 root 用户,添加 auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 更改su的所属群组为wheel #chgrp wheel /bin/su 将su的权限设定为只有拥有者和同群组的才能执行并读取 #chmod 750 /bin/su 添加远程只能通过“指定用户”切换root用户 wheel:x:10:root,”指定用户” 2.10 删除登陆系统时提示的系统内核信息 #rm /etc/issue /etc/issue.net #rm –f /etc/issue /etc/issue.net 新建空 issue issue.net 文件 #touch /etc/issue /etc/issue.net 文件说明 /etc/issue #本地开机登录时显示的操作系统信息 /etc/issue.net #远程连接显示的操作系统信息 2.11 设置 root 账户超过3分钟自动注销 # vim /etc/profile 在 HISTSIZE=1000 后面添加 TMOUT=180 即,root 账户3分钟 没有动作的话,系统将自动注销该账户 注销后提示: timed out waiting for input: auto-logout 在普通用户登陆的账户的主目录 ”#vim .bahrc” 文件,添加TMOUT=180语句实行对该账户的控制 2.12 禁止服务器所有控制台直接使用root 登陆,只能用普通用户su命令切换到 root用户 #vim /etc/securetty console # vc/1-vc/11 # tty1-11 说明: CentOS-6.4-x86_64-minimal 默认只开启 F1-F6 控制台,关闭tty1-11控制台登录 2.13 禁止远程使用 root 登陆 #vim /etc/ssh/sshd_config 将 #PermitRootLogin yes 更改为: PermitRootLogin no 2.14 更改 SSH 端口 #vim /etc/ssh/sshd_config 使能#Port 22 port 1000+ 然后在防火墙配置文件 /etc/sysconfig/iptables 里面,添加该规则 -A INPUT -m state --state NEW -m tcp -p tcp --dport 1000+ -j ACCEPT 2.15 关掉X11转发,禁止SSH运行图形程序 #vim /etc/ssh/sshd_config 将 X11Forwarding no 注释掉,即: #X11Forwarding no 2.16 给 /etc/ 目录下所有文件和文件夹添加不可修改属性 用 chattr命令修改系统口令文件,增加不可更改属性 口令文件 /etc/passwd /etc/shadow /etc/group /etc/gshadow 更改只读属性 #chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/ 目录 不可修改性 #chattr +i – R /etc/ 2.17 设置单用户模式需使用密码登录 先备份脚本文件: cp /etc/sysconfig/init /etc/sysconfig/init.backup 使能模式登录模式: 将单用户模式登录:SINGLE=/sbin/sushell修改为:SINGLE=/sbin/sulogin 更改之后,使用单用户模式登录就必须要输入密码才能进入单用户模式了