Deal

Auto Time Auto Www Dealtimeauto Et Deal Time Auto zh/HowTos/OS Protection - CentOS

Auto Time Auto Www Dealtimeauto Et Deal Time Auto

网��服务器的挂载亦可以被设置为 noexec，但这样做会影响到 cgi 类应用程序，与及依赖 execute bit hack 的服务器端包含档。如果你不会应用 cgi 程序，我推荐最低�a�p�测试采用oexec，并看看会否有副作用。

安装组件

当你在系统上安装组件时，请记得简单就是美。你的系统上越多东西，就意味著越多东西需要追踪漏动及更新，及越多东西有机会妨碍你做想做的事情。由於服务器的工种可以很不同，我甚至不会尝试列出哪些组件应该或不应该安装。反而，我会推荐采用自定组件清单及只选择基本组件这个简单策略。当你这样做之后，列出现时安装了的组件，然后继续清除你不需要的东西。

yum list installed >> ~/installed.txt

定期更新

既然我们已经设置了最细的组件集，我们便须要定时更新它们。我不推荐使用 yum-updatesd，因为它给我太多抢夺资源的坏经验。你可以设立一个 cron 工作来进行更新或检查更新，这亦是 NSA 指南的推荐。你可以简单地每周进行手动更新，或者赴力设置一个 spacewalk 服务器进行跨系统的更新管理。不论你采用哪一种更新政策，它基本上是：适时地进行更新来避免问题发生。另外，订阅 CentOS-Announce 这个邮件列表亦是一个不错的主意。这样，每次有更新时，你都会收到通知，而你便可以按所需加入重要的修正。

一旦你已经充份地修剪及更新你的组件清单，你好应该检查你的服务清单及停用任何在服务器上不需用的服务。再一次，由於每个环境都不同，我不会试图告诉你甚么应该或不应该被停用；然而，你应该自问服务器是否真的需要 bluetooth 服务 :-P

基本加固

既然我们已经完成磁盘分割、收窄权限、及修剪组件清单，现在是时候进到核心部份。是时候将系统加固了。下列某些方法或许不适用於你的环境。你应该考虑每个方法，但你的处境或许需要用到别的方法。

实体保护

• 只容许直接为服务器负责任的人员接近它。
• 不要以可卸式媒体作为缺省开机选项。
• 要求使用口令来更改 BIOS 选项。操作系统上的保安对入侵者的自备操作系统是起不了作用的。
• 为 grub 设置口令。保如有人在你的开机程序内输入引数来停用保安设置，世上任何保安都没有用。
• 在单一用户模式下采用口令。理由同上。
• 多数服务器不需要 USB 存储设备。可能的话，停用 usb-storage 这个驱动程序。

关於如何保护 grub，请参阅 BIOS and Boot Loader Security。要令单一用户模式询问 root 的口令，你可以用：

echo "引导单一用户模式时要求 root 口令" >> /etc/inittab
echo "~~:S:wait:/sbin/sulogin" >> /etc/inittab
echo "避免人停止服务器"
perl -npe 's/ca::ctrlaltdel:\/sbin\/shutdown/#ca::ctrlaltdel:\/sbin\/shutdown/' -i /etc/inittab

假如你的环境中不会应用到 USB 存储器，现在便停用它

echo "停用 USB 存储器"
echo "blacklist usb-storage" > /etc/modprobe.d/blacklist-usbstorage

用户权限

这算是最大的类型，包含了一些最重要的东西。由於每个机构都有所不同，它们未必全数适用於你，但请考虑它们。

在缺省情况下，用户被赋予不少自由度。你可以借着收窄这些宽限来加固系统。由於 root 拥有最多权力，我们就以限制 root 用户作为一个开始。 iAuto Time Auto Www Dealtimeauto Et Deal Time Auto zh/HowTos/OS Protection - CentOS p u v v Auto Auto oAuto Time Auto Www Dealtimeauto Et Deal Time Auto zh/HowTos/OS Protection - CentOS i r Auto