《Linux网络操作系统（CentOS 6.5）》课件_3-1-4 CentOS 6.5的安全配置.pptx

Linux网络操作系统（CentOS）CentOS的安全配置

任务目标CentOS6.5系统安装完毕后，涉及到安全的一些参数的默认值都是比较保守的，因此可以通过禁用不必要的服务、重置防火墙规则等方式，来提高系统的安全性，更好的发挥系统的可用性。

查看系统安全记录文件涉及系统登录、账号修改、用户组修改、远程登录、网络连接等安全情况的记录均会保存在文件“/var/log/secure”中，因此定期查阅文件内容，可以针对潜在的安全问题采取相应的对策。

修改用户登录密码强制性要求用户登录密码是Linux安全的基础。CentOS6.5的默认登录密码长度要求为5位，很容易被人破解，因此可以在系统中强制要求用户设置足够长度的登录密码，确保不被轻易破解。

删除多余用户和用户组安装完操作系统后，会发现除了超级用户之外，还有很多伪用户及其用户组。应该禁止所有默认的被操作系统本身启动但不必要的账号，如：games、operator、news、sync等，因为账号越多系统就越容易受到攻击。

防止非授权用户获取密码文件权限chattr命令的基本格式如下：chattr选项参数常用选项如下：-R：递归处理，将指令目录下的所有文件及子目录一并处理。-v版本编号：设置文件或目录版本。-V：显示指令执行过程。+属性：开启文件或目录的该项属性。-属性：关闭文件或目录的该项属性。=属性：指定文件或目录的该项属性。

关闭重启Ctrl+Alt+Delete组合键在文件“/etc/init/control-alt-delete.conf”中编辑。

关闭SELinuxSELinux是以牺牲系统服务和驱动程序的兼容性来提高系统安全性。在SELinux没有设置为“permissive”或“disabled”的情况下，有些应用程序运行时可能会被拒绝，导致无法正常运行的情况，例如：如果对一个文件没有正确安全上下文配置，甚至root用户也不能启动某服务。因此，绝大多数情况下，安装完CentOS6.5后，可以将SELinux关闭，保证系统服务和驱动程序的兼容性。

重置防火墙规则iptables命令可以查看、添加、修改、删除防火墙规则，其基本格式如下：iptables[-t表名]命令选项[链名][条件匹配][-j目标动作或跳转]常用命令选项如下：-A：在指定链的末尾添加（append）一条新的规则。-D：删除（delete）指定链中的某一条规则，可以按规则序号和内容删除。-I：在指定链中插入（insert）一条新的规则，默认在第一行添加。-R：修改、替换（replace）指定链中的某一条规则，可以按规则序号和内容替换。-L：列出（list）指定链中所有的规则进行查看-F：清空（flush）。-N：新建（new-chain）一条用户自己定义的规则链。-X：删除指定表中用户自定义的规则链（delete-chain）。-P：设置指定链的默认策略（policy）。

重置防火墙规则目标动作即处理数据包的方式有四种：ACCEPT：允许数据包通过。DROP：直接丢弃数据包，不给任何回应信息。REJECT：拒绝数据包通过，必要时会给数据发送端一个响应的信息。?LOG：在“/var/log/messages”文件中记录日志信息，然后将数据包传递给下一条规则。

重置防火墙规则“-mstate--state”参数后可接四种状态：INVALID：无效的封包，例如数据破损的封包状态。ESTABLISHED：已经联机成功的联机状态。NEW：想要新建立联机的封包状态。RELATED：表示这个封包是与主机发送出去的封包有关，可能是响应封包或者是联机成功之后的传送封包。此态经常被设定，因设定后，只要未来由本机发送出去的封包，即使没有设定封包的INPUT规则，该有关的封包还是可以进入主机，可以简化相当多的设定规则。