6. 保证系统是最新的得一直保证系统包含了最新版本的补丁、安全修复和可用内核。 # yum updates # yum check-update 7. 锁定 Cron任务Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/cron.allow 和 /etc/cron.deny 控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户使用corn,那么可以将“ALL”作为一行加到cron.deny里。 # echo ALL >>/etc/cron.deny 8. 禁止USB探测很多情况下我们想去限制用户使用USB,来保障系统安全和数据的泄露。建立一个文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令来禁止探测USB存储。 install usb-storage /bin/true 9.打开SELinux SELinux(安全增强linux)是linux内核提供的一个强制的访问控制安全机制。禁用SELinux意味着系统丢掉了安全机制。要去除SELinux之前仔细考虑下,如果你的系统需要发布到网络,并且要在公网访问,你就要更加注意一下。 SELinux 提供了三个基本的操作模式,他们是:
你可以使用命令行‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘来浏览当前的SEliux的状态。 # sestatus 如果是关闭模式,通过下面的命令开启SELinux # setenforce enforcing 你也可以通过配置文件‘/etc/selinux/config‘来进行SELinux的开关操作。 10. 移除KDE或GNOME桌面没必要在专用的LAMP服务器上运行X Window桌面比如KDE和GNOME。可以移掉或关闭它们,以提高系统安全性和性能。打开/etc/inittab然后将run level改成3就可以关闭这些桌面。如果你将它彻底的从系统中移走,可以用下面这个命令: # yum groupremove "X Window System" 11. 关闭IPv6如果不用IPv6协议,那就应该关闭掉它,因为大部分的应用和策略都不会用到IPv6,而且当前它不是服务器必需的。可以在网络配置文件中加入如下几行来关掉它。 # vi /etc/sysconfig/network NETWORKING_IPV6=no IPV6INIT=no |
