一、基本配置
查看Linux的版本信息:cat /etc/redhat-release
lsb_release -a
mkdir不带参数是只能创建一个目录,当加上参数 -P时同时创建父目录/子目录/子子目录·······
对于安装好的Linux系统,首先可以做是给系统配置IP、修改主机名、配置本地yum源
以centos7为例:
配置IP:vim /etc/sysconfig/network-scripts/ifcfg-eth0
ifdown eth0
ifup eth0
修改主机名:/etc/hosts
/etc/sysconfig/network
配置本地yum源:
1. 如果使用虚拟机,那么就在虚拟机中挂载DVD的iso文件。
2. 使用如下命令新建一个挂载点并挂载修改yum源配置
mkdir /media/CentOS mount -t auto /dev/cdrom /media/CentOS
通过命令mount可以查看已挂载的结果如下所示:
3. 修改yum源配置,把CentOS-Base.repo文件备份
cd /etc/yum.repos.d/ cp CentOS-Base.repo CentOS-Base.repo.bak
修改CentOS-Base.repo的内容,注释文档中的所有mirrorlist属性,把baseurl属性打开注释,并设置baseurl的属性值为挂载点
baseurl=file:///media/CentOS/
如下图所示:
保存,退出编辑。
4. 清空yum已存在的所有源信息
yum clean all
5. 查看本地源的所有软件
yum list
6. 如果想要恢复使用网络上的源,再次把CentOS-Base.repo.bak重命名为CentOS-Base.repo就可以了。
7. 注意系统重启之后,需要再次手动挂载,如果需要的话,可以设置/media/CentOS自动挂载。在/etc/fstab配置文件中新添加一行,表示自动挂载/media/CentOS。如下所示:
二、系统更新安全
安装EPEL源
EPEL,即Extra Packages for Enterprise Linux的简称,是为企业级Linux提供的一组高质量的额外软件包,包括但不限于Red Hat Enterprise Linux (RHEL), CentOS and Scientific Linux (SL), Oracle Enterprise Linux (OEL)。
方法一:命令安装
方法二:手动安装
yum update 更新系统是不会升级系统内核,由于兼容性问题,不建议升级系统内核
需要关闭自动下载更新。有时出于对于生产环境中业务系统的稳定性方面考虑,在更新前,
必须先对补丁包进行测试;在其不影响业务系统运行的情况下,再进行更新;那么就需要关闭自动更新了,改手动更新。
[root@localhost ~]# systemctl start crond
[root@localhost ~]# yum -y install cronie
[root@localhost ~]# yum -y install yum-cron
[root@localhost ~]# systemctl start yum-cron
[root@localhost ~]# vim /etc/yum/yum-cron.conf
//前下面两项改为“no”
update_messages = no
download_updates = no
三、账号基本安全
注释掉系统不需要的用户和用户组
Ø 不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦
将非登录用户的Shell设为/sbin/nologin
Ø 锁定一段时间内不使用的帐号
[root@localhost ~]# usermod -s /sbin/nologin user00
[root@localhost ~]# tail -2 /etc/passwd //查看一下
user00:x:1000:1000:user00:/home/user00:/sbin/nologin
likui:x:1001:1001::/home/likui:/bin/bash
[root@localhost ~]# usermod -L user00
[root@localhost ~]# tail -3 /etc/shadow
tcpdump:!!:16673::::::
user00:!$6$9kOvPaa/SJuqojOm$X95/U0BzzcQjmYsXemYrrp725zW.PPZ.NIsV7TiuL
4qLbTvPmrKqcrkWEs6aNNVknoeYD5vNSXs1aSpvgSGiv/:16673:0:99999:7:::
likui:$6$p1AeYs41$xLsJpo1ZJuRSxmbtzlezRw6U/WCW95oE1v.HTQmDGzGflEIbNT
XhY5QyTQI2nRdc9oH/O8Dpbnnx6Z4oW0E2k1:16730:0:99999:7:::
注意:在用户口令前加上!,还用就不能登录了!!!
给帐号、组帐号、帐号口令文件加上不可更改属性(加
锁),从而防止非授权用户获得权限
[root@localhost ~]# chattr +i /etc/passwd
[root@localhost ~]# chattr +i /etc/shadow //帐号口令文件
[root@localhost ~]# chattr +i /etc/group
[root@localhost ~]# chattr +i /etc/gshadow //组帐号口令文件
[root@localhost ~]# lsattr /etc/passwd /etc/shadow /etc/group
/etc/gshadow
----i----------- /etc/passwd //查看以上文件属性
----i----------- /etc/shadow
----i----------- /etc/group /* 注意:执行以上权限修改之后,
----i----------- /etc/gshadow 就无法添加删除用户了 */
[root@localhost ~]# chattr -i /etc/passwd //通过这个命令解锁
//将相关文件解锁后,便可以添加删除用户或修改密码了;操作完成后再锁定
帐号口令的安全设置
Ø 设置密码有效期与最短长度限制
Ø 要求用户下次登录时修改密码
[root@localhost ~]# vim /etc/login.defs //只适用于新建帐号
//修改以下配置
PASS_MAX_DAYS 90 //密码使用最长天数改为90天
PASS_MIN_DAYS 0 //密码最短使用天数
PASS_MIN_LEN 8 //密码最短长度改为8,必要情况下改为14
PASS_WARN_AGE 7 //改换口令提醒天数
[root@localhost ~]# chage -M 30 likui //修改已存在帐号的密码有效期
[root@localhost ~]# chage -d 0 likui //强制在下次登录时更改密码
命令历史限制
Ø 减少记录的命令条数
Ø 注销时自动清空历史命令记录
Ø 终端自动注销
Ø 闲置600秒后自动注销
[root@localhost ~]# vim /etc/profile
//修改下面环境变量的值
HISTSIZE=50
[root@localhost ~]# vim ~/.bash_logout
//添加下面两行
history -c
clear
[root@localhost ~]# vim ~/.bash_profile
//在行尾添加下面的环境变量
export TMOUT=600
限制使用su命令的用户
Ø 启用pam_wheel认证模块
Ø 将允许使用su命令的用户加入wheel组
[root@localhost ~]# vim /etc/pam.d/su
//找到下面行,将“#”号删掉
#auth required pam_wheel.so use_uid
[root@localhost ~]# gpasswd -a likui wheel
正在将用户“likui”加入到“wheel”组中
使用sudo机制提升权限
Ø 配置sudo授权
Ø visudo 或者 vim /etc/sudoers
Ø 记录格式:用户 主机名列表=命令程序列表
[root@localhost ~]# vim /etc/sudoers
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
[likui@localhost 桌面]$ sudo ifconfig