《Linux网络操作系统CentOS6.5》课件_214CentOS6.5的安全配置.pptxVIP

Linux网络操作系统（CentOS）子任务四CentOS6.5的安全配置

基本安全配置在服务器的安全配置中，应遵守以下原则：最小的权限+最少的服务=最大的安全因此必须把不用的服务关闭，把系统权限设置到最小化，这样才能保证服务器最大的安全。注意：在做任何配置修改前，最好是将原始配置文件备份。（1）禁用不使用的用户和用户组当有些用户或用户组暂时不需要使用时，需要及时的将这些用户和用户组进行“封存”，但不必要将其删除，而只需将其注释即可。（2）关闭不需要使用的服务系统启动时或在运行过程中，会随着系统启动或服务运行开启一些服务进程，当然其中并不是所有的服务都是需要的，此时就应该将那些不需要使用的服务关闭。

基本安全配置（3）增加特殊文件权限为了防止某些非授权用户对系统中的重要文件进行修改，可以对这些重要文件进行加锁操作，即增加不可修改属性。（4）修改history命令记录history命令记录中有大量的系统管理员对系统进行的管理操作，这些操作如果一旦被非授权用户获取，就存在有安全隐患，因此我们需要将记录的条数减少，以防止过多的历史操作被窃取的可能。（5）隐藏服务器系统信息在默认情况下，当登陆到CentOS服务器系统时，系统会显示出该服务器使用的linux版本、内核版本等重要信息。我们需要将这些重要系统信息隐藏，不能让它泄露出来。

SELiunx配置SELinux可以允许系统管理员更加灵活的来定义安全策略。使用SELinux的策略后，SELinux能够控制哪个进程只能访问哪个文件。（1）SELinux工作模式enforcing：强制模式，对于违反策略的行为全部禁止，并且作内核记录；permissive：警告模式，将该事件记录下来，依然允许执行；disabled：关闭selinux。

SELiunx配置?getenforce命令获取当前SELinux工作模式。注意，系统默认开启SELinux的强制模式。?setenforce命令临时更改SELinux工作模式，0表示permissive，1表示enforcing。临时将SELinux工作模式更改为permissive，重启系统后失效。

SELiunx配置?修改SELinux配置文件修改SELinux配置文件“/etc/sysconfig/selinux”中的SELinux字段可以设置其工作模式，重启后永久生效。将SELINUX工作模式更改为disabled，重启后方能生效。

SELiunx配置（2）SELinux配置相关命令?chcon命令chcon命令是修改对象（文件）的安全上下文，比如：用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。chcon命令格式为：chcon[选项]安全上下文对象（文件或目录）常用选项有：-R：递归处理所有的文件及子目录；-u：设置指定用户的目标安全环境；-r：设置指定角色的目标安全环境；-t：设置指定类型的目标安全环境；-l：设置指定范围的目标安全环境。

SELiunx配置?getsebool命令获取当前系统selinux策略值。getsebool命令格式为：getsebool[-a][布尔值条款]其中，“-a”表示列出目前系统上面的所有布尔值条款设置为开启或关闭值。?setsebool命令该命令是用来修改SElinux策略内各项规则的布尔值条款。setsebool命令格式为：setsebool[-P]布尔值条款=[0|1]其中，“-P”表示直接将设置值写入配置文件，该设置数据永久生效。

Iptables防火墙配置Iptable其实是Linux下的数据包过滤软件，也是目前Centos默认的防火墙。Iptables利用的数据包过滤的机制，根据定义的规则来决定该数据包是进入主机还是丢弃。Iptables命令定义规则的格式为：iptables[-AI链名][-io网络接口][-p协议][-s来源IP/网络][-d目标IP/网络]-j[ACCEPT/DROP/REJECT/LOG]参数说明如下：-A：新增一条规则，该规则在原规则的最后面；-I：插入一条规则，默认该规则在原第一条规则的前面，即该新规则变为第一条规则；

Iptables防火墙配置参数说明如下（续）：链名：即INPUT链（入站规则）、OUTPUT链（出站规则）、FORWARD链（转发规则）；-i：表示输入，即数据包进入的网络接口。与INPUT链配合；-o：表示输出，即数