首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
宝塔
V2EX  ›  Linux

自己总结的 centos 安全加固标准

  •  
  •   luyg · 2016-04-19 22:58:46 +08:00 · 4207 次点击
    这是一个创建于 1312 天前的主题,其中的信息可能已经有所发展或是发生改变。
    26 回复  |  直到 2016-04-28 09:49:18 +08:00
        1
    firefox12   2016-04-19 23:02:18 +08:00
    404
        2
    ab   2016-04-19 23:02:49 +08:00
    404+1
        4
    firefox12   2016-04-19 23:10:32 +08:00
    不过的确很棒!

    请教一个 怎么配 ldap 管理用户权限
    第二如何记录所有用户 在每台服务器上操作的命令?
        5
    UnisandK   2016-04-19 23:21:46 +08:00
    密码够长其实就能解决大部分问题了
        6
    luyg   2016-04-19 23:28:22 +08:00
    @firefox12 我这没问题啊。
        7
    luyg   2016-04-19 23:29:45 +08:00
        8
    luyg   2016-04-19 23:31:19 +08:00
    @firefox12 我们这里没用到 ldap ,记录服务器上的操作命令我们这里使用的是堡垒机实现的,你说的这个开启系统的审计功能就行了,具体你可以搜索下 linux audit
        9
    Patrick95   2016-04-19 23:31:52 +08:00
    学到了 thx
        10
    est   2016-04-19 23:32:49 +08:00
    ctrl+f selinux 没找到。 LZ 解释一下。
        11
    salmon5   2016-04-19 23:42:33 +08:00
    "安全加固"这个词,看了感觉有些水,一点代码级的都没有。

    外围更重要。
        12
    whatot   2016-04-19 23:43:25 +08:00
    iptables off ??
    selinux ??

    这些都没有,那不是生产环境吧?
        13
    salmon5   2016-04-19 23:43:42 +08:00
    "安全加固",很容易让不懂得人理解成 “安全专家” 的一种行为。然而这仅仅不过是普通的运维配置。
        14
    Sunyanzi   2016-04-19 23:46:51 +08:00
    我用一般 CentOS 只做三项安全配置 ... 第一禁止密码登录 ... 第二只开放需要的端口 ... 第三启用 SELinux ...

    在我看来 ... 这篇文章作为 Linux Desktop 的安全指导还有点意义 ... 作为 Server 的安全指导完全是纸上谈兵 ...
        15
    dndx   2016-04-19 23:47:12 +08:00
    RedHat 家的东西不用太复杂,禁用密码登录正确配置 SELinux 和 iptables 基本上就已经秒杀大多数其它的 Linux 发行版了。
        16
    icybee   2016-04-20 00:32:43 +08:00
    cool
        17
    luyg   2016-04-20 07:07:01 +08:00
    对,所以我说希望大家多提宝贵意见,因为这个确实是从我们运维的出发点发起做的,也还会不断完善,至于 iptables 和 selinux 这个确实现在还没怎么用。
        18
    unique   2016-04-20 08:37:42 +08:00
    404+10086
        19
    yu1u   2016-04-20 09:07:27 +08:00 via Android
    安全是从很多方面结合来搞的
        20
    JoeyChan   2016-04-20 14:41:11 +08:00
    好复杂的样子,如果只是登录安全来说,装个 csf ,改个 ssh 端口,我给你密码你都上不了,不需要那么复杂。 csf 禁止端口扫描,别人根本无法找到你的端口,这样已经足够安全了。
        21
    soho176   2016-04-20 16:45:41 +08:00
    @JoeyChan csf 防火墙吗?
        22
    yu1u   2016-04-20 16:52:52 +08:00 via Android
    @JoeyChan 安全只是相对的, nmap 不发包能扫描到么
        23
    firefox12   2016-04-20 20:01:21 +08:00
    服务器一般 也就关掉服务, 开 iptables 防火墙, 登录端口修改. 其他的进程权限什么的,都是程序来的了
        24
    firefox12   2016-04-20 20:01:46 +08:00
    还有用 key 登录, 不允许 password
        25
    cherrymill   2016-04-26 17:10:59 +08:00
    @luyg 404..
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   899 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 22:30 · PVG 06:30 · LAX 14:30 · JFK 17:30
    ♥ Do have faith in what you're doing.