精益求精的CentOS操做系統安全設置

本博客轉移到http://www.51buyhost.com

此次咱們講的仍是安全問題，在CentOS操做系統中，能夠經過有效的安全設置來避免不少的問題。下面這些設置能夠很好的保護你的電腦不在受到打擾。

由於root用戶對CentOS操做系統具備全權的操做權限，爲了不一些失誤的操做，建議在通常狀況下，以通常用戶登陸CentOS操做系統，必要的時候須要root操做權限時，再經過「su -」命令來登陸爲root用戶進行操做。

在通常狀況下，通常用戶經過執行「su -」命令、輸入正確的root密碼，能夠登陸爲root用戶來對CentOS操做系統進行管理員級別的配置。可是，爲了更進一步增強CentOS操做系統的安全性，有必要創建一個管理員的組，只容許這個組的用戶來執行「su -」命令登陸爲root用戶，而讓其餘組的用戶即便執行「su -」、輸入了正確的root密碼，也沒法登陸爲root用戶。在UNIX下，這個組的名稱一般爲「wheel」。

首先咱們建立兩個普通的用戶tom john
[root@www ~]# useradd tom
[root@www ~]# passwd tom
輸入你的密碼
[root@www ~]# useradd john
[root@www ~]# passwd john
輸入你的密碼
[root@www ~]# usermod -g wheel tom 將tom用戶加入到wheel組中
[root@www ~]# vi /etc/pam.d/su 　← 打開這個配置文件找到這句話在第六行將其前面的#註釋掉
# auth            required        pam_wheel.so use_uid
[root@www ~]# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs

而後你能夠分別用tom和john登錄，沒有加入到wheel組的用戶，執行「su -」命令，即便輸入了正確的root密碼，也沒法登陸爲root用戶
在CentOS操做系統出現錯誤或有重要通知發送郵件給root的時候，讓系統自動轉送到咱們一般使用的郵箱中，這樣方便查閱相關報告和日誌。
[root@www ~]# vi /etc/aliases
在這兩句下面mailer-daemon:  postmaster
postmaster:root
加入這句話root:zy66289214@126.com 這裏寫本身郵箱
[root@www ~]# newaliases   重建aliasesdb
[root@www ~]# echo test | mail root 發送測試軟件給root
[8] 定義yum的非官方庫
在服務器構建的過程當中，咱們將要用到的一些工具不存在於CentOS操做系統中yum的官方庫中，因此須要定義yum的非官方庫文件，讓一些必需的工具經過yum也可以安裝。

[root@sample ~]# vi /etc/yum.repos.d/dag.repo　 ← 創建dag.repo，定義非官方庫
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1
[root@sample ~]# rpm --import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt　 ← 導入非官方庫的GPG

[9] CentOS操做系統中止打印服務

若是不許備提供打印服務，中止默認被設置爲自動啓動的打印服務。
[root@sample ~]# /etc/rc.d/init.d/cups stop　 ← 中止打印服務
Stopping cups: [ OK ]　 ← 中止服務成功，出現「OK」
[root@sample ~]# chkconfig cups off　 ← 禁止打印服務自動啓動
[root@sample ~]# chkconfig --list cups　 ← 確認打印服務自啓動設置狀態
cups 0:off 1:off 2:off 3:off 4:off 5:off 6:off　 ← 0-6都爲off的狀態就OK（當前打印服務自啓動被禁止中）
[10] 中止ipv6

在CentOS操做系統默認的狀態下，ipv6是被啓用的狀態。由於咱們不使用ipv6，因此，中止ipv6，以最大限度保證安全和快速。

首先再次確認一下ipv6功能是否是被啓動的狀態。

[root@www ~]# ifconfig -a　← 列出所有網絡接口信息
sit0 Link encap:IPv6-in-IPv4　← 確認ipv6是被啓動的狀態
[root@www ~]# vi /etc/modprobe.conf← 修改相應配置文件，添加以下行到文尾：
alias net-pf-10 off
alias ipv6 off
[root@www ~]# shutdown -r now 　← 從新啓動系統，使設置生效
修改/etc/yum.repos.d/CentOS-Base.repo，將鏡象站點地址改成在中國的鏡象站點地址。否則咱們經過yum安裝軟件速度會極慢。修改以下
 

1. # CentOS-Base.repo  
2. #  
3. # This file uses a new mirrorlist system developed by Lance Davis for CentOS.  
4. # The mirror system uses the connecting IP address of the client and the  
5. # update status of each mirror to pick mirrors that are updated to and  
6. # geographically close to the client. You should use this for CentOS updates  
7. # unless you are manually picking other mirrors.  
8. #  
9. # If the mirrorlist= does not work for you, as a fall back you can try the  
10. # remarked out baseurl= line instead.  
11.  
12. [base]  
13. name=CentOS-$releasever - Base  
14. baseurl=http://mirrors.shlug.org/centos/$releasever/os/$basearch/  
15. gpgcheck=1 
16. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
17. protect=1 
18. #released updates  
19. [updates]  
20. name=CentOS-$releasever - Updates  
21. baseurl=http://mirrors.shlug.org/centos/$releasever/updates/$basearch/  
22. gpgcheck=1 
23. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
24. protect=1 
25. #packages used/produced in the build but not released  
26. [addons]  
27. name=CentOS-$releasever - Addons  
28. baseurl=http://mirrors.shlug.org/centos/$releasever/addons/$basearch/  
29. gpgcheck=1 
30. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
31. protect=0 
32. #additional packages that may be useful  
33. [extras]  
34. name=CentOS-$releasever - Extras  
35. baseurl=http://mirrors.shlug.org/centos/$releasever/extras/$basearch/  
36. gpgcheck=1 
37. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
38. protect=0 
39. #additional packages that extend functionality of existing packages  
40. [centosplus]  
41. name=CentOS-$releasever - Plus  
42. baseurl=http://mirrors.shlug.org/centos/$releasever/centosplus/$basearch/  
43. gpgcheck=1 
44. enabled=0 
45. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5  
46. protect=1 
47. #contrib - packages by Centos Users  
48. [contrib]  
49. name=CentOS-$releasever - Contrib  
50. baseurl=http://mirrors.shlug.org/centos/$releasever/contrib/$basearch/  
51. gpgcheck=1 
52. enabled=0 
53. protect=0 
54. gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

更新CentOS操做系統[root@www ~]#yum -y upgrade