您尚未登录，请登陆后浏览更精彩内容！
Powered by教你如何搭建一个安全的Linux服务器教程
字体：[ ] 类型：转载 时间：
在当前很多php程序都使用了linux服务器，因为php在linux下运行效果更佳，很多大网站采用了linux服务器
要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf (其中网络部分的配置可以通过netconf命令来实现)。下面介绍基本的 TCP/IP网络配置文件。 　　* /etc/conf.modules文件 　　该配置文件定义了各种需要在激活时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少激活时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态加载的系统若需要安装多块网卡，应该在“conf.modules”文件中进行相应的配置。 　　若设备驱动被编译为模块(内核的模块)：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备;对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/conf.modules”中提供。 　　例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“conf.modules”文件如下：alias eth0 3c509alias eth1 3c509options 3c509 io=0x300，0x320这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载(alias eth0，eth1)，并且它们应该以参数io=0x300，0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。 　　对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“conf.modules”文件如下：alias eth0 3c905alias eth1 3c905若驱动已经被编译进了内核：系统激活时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作： 　　在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将激活参数信息传递给内核。对于ISA卡，编辑“lilo.conf”文件，增加如下内容：append=" ether="0，0，eth0 ether="0，0，eth1"注：先不要在“lilo.conf”中加入激活参数，测试一下你的ISA卡，若失败再使用激活参数。 　　如果用传递激活参数的方法，eth0和eth1将按照激活时被发现的顺序来设置。 　　* /etc/HOSTNAME文件： 　　该文件包含了系统的主机名称，包括完全的域名，如： 　　 　　*/etc/sysconfig/network-scripts/ifcfg-ethN文件： 　　在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。 　　下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：DEVICE=eth0IPADDR=208.164.186.1NETMASK=255.255.255.0NETWORK=208.164.186.0BROADCAST=208.164.186.255ONBOOT=yesBOOTPROTO=noneUSERCTL=no 　　若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件(ifcfg-ethN)或创建新的文件来实现。 　　DEVICE=name name表示物理设备的名字 　　IPADDR=addr addr表示赋给该卡的IP地址 　　NETMASK=mask mask表示网络掩码 　　NETWORK=addr addr表示网络地址 　　BROADCAST=addr addr表示广播地址 　　ONBOOT=yes/no 激活时是否激活该卡 　　none：无须激活协议 　　bootp：使用bootp协议 　　dhcp：使用dhcp协议 　　USERCTL=yes/no 是否允许非root用户控制该设备 　　*/etc/resolv.conf文件： 　　该文件是由域名解析器(resolver，一个根据主机名解析IP地址的库)使用的配置文件，示例如下： 　　nameserver 208.164.186.1nameserver 208.164.186.2 　　“”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。 */etc/host.conf文件： 　　该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例： 　　order bind，hosts 　　multi on 　　ospoof on 　　“order bind，hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。 　　“multi on”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。 　　“nospoof on”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算器，来取得其它计算器的信任。 　　*/etc/sysconfig/network文件 　　该文件用来指定服务器上的网络配置信息，下面是一个示例： 　　NETWORK=yesRORWARD_IPV4=yesHOSTNAME=GAREWAY=0.0.0.0GATEWAYDEV=NETWORK=yes/no 网络是否被配置;FORWARD_IPV4=yes/no 是否开启IP转发功能HOSTNAME=hostname hostname表示服务器的主机名GAREWAY=gw-ip gw-ip表示网络网关的IP地址GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等 　　注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。 　　*/etc/hosts文件 　　当机器激活时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。 　　下面是一个“/etc/hosts”文件的示例： 　　IP Address Hostname Alias127.0.0.1 Localhost 208.164.186.1
Gate 　　最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新激活网络以使修改生效。使用下面的命令来重新激活网络：/etc/rc.d/init.d/network restart 　　* /etc/inetd.conf文件 　　众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和Ftp服务器的机器，应该只开放80 和25端口，而将其它无关的服务如：finger auth等服务关掉，以减少系统漏洞。 　　而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口激活哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号)，禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。 　　第一步：把文件的权限限改成600。 　　[root@deep]# chmod 600 /etc/inetd.conf 　　第二步：确信文件的所有者是root。 　　[root@deep]# stat /etc/inetd.conf 　　第三步：编辑“inetd.conf”文件(vi /etc/inetd.conf)，禁止所有不需要的服务，如：ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示： # To re-read this file after changes， just do a 'killall -HUP inetd'##echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen dgram udp wait root internal#time stream tcp nowait root internal#time dgram udp wait root internal## These are standard services.##ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd## Shell， login， exec， comsat and talk are BSD protocols.
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具Linux教程_Linux公社-Linux系统门户网站
你好，游客
最近装了虚拟机系统是 CentOS 6.8，为了以后使用方便对虚拟机进行克隆或复制。当使用克隆后的虚拟机时发现原来在基本系统中的网卡eth0到了新系统却没有了。
日期：今 09:22
作者：lisea
实验是在虚拟机上实现，在真实的生产环境下的无人值守安装，需要根据具体情况自行进行调整。实验前，已经预装了一台CentOS 6.5 32位的虚拟机，使用的是NAT模式，IP地址为192.168.206.131，网关是192.168.206.2。
日期：昨 10:27
作者：cct0513
本人较为深入地学习过华为与思科的相关级别认证的网络知识，并在去年通过了华为ICT最高级别认证HCIE-RS，因此本博文的撰写是站在一个网络工程师的角度来理解VMware虚拟机中各种上网模式的通信原理，虽还是难以真正透彻理解其中的一些细节，但是相信还是可以为各位朋友带来很大的帮助。
日期：03月17日
作者：xpleaf
这里要说的网络排错，应该是适合大部分对网络有一定了解的人员的，其实关于网络排错的方法，网络上已经有大部分的资料，但我个人觉得太多都只是停留在文字层面上的，对其中涉及的一些基本原理并没有提及，因此实用性并不大，这里希望写出一篇图文并茂并有一定技术性的网络排错文章给大家，让大家真正掌握一套系统的网络排错方法。
日期：03月17日
作者：xpleaf
CentOS 6.4升级Python过程总结
日期：03月16日
CentOS 6.4下yum安装报错实例
日期：03月16日
Python升级不能简单的卸载删除之前的Python版本，因为一些系统工具只支持特定的版本的Python。如CentOS5.6只能使用Python2.4，升级之后必须重新设置它的Python运行环境变量。
日期：03月15日
作者：Linux
以vi打开一个文件就直接进入命令模式。在这个模式中，可以使用[上下左右]按键来移动光标，删除字符来处理文件内容，也可以复制粘贴文件数据。
日期：03月14日
作者：fckz001
dd命令磁盘对拷及备份
日期：03月13日
作者：ljohn
使用Xshell连接Linux输入反斜杠成W
日期：03月13日
作者：ljohn
Scons安装配置以及JsonCpp编译使用说明，Scons是Linux下的自动构建工具，需要python。注:以下内容以86测试环境举例。
日期：03月13日
作者：韩笑
之前写的Vim文章是刚开始使用Vim的时候做的简单配置，最近深入学习了两天Vim的安装与配置，在此做一个总结。
日期：03月13日
作者：Star_Sky
Vim 7.4 安装NERDTree 显示文件目录树
日期：03月12日
默认的CentOS 6.5 glibc版本最高为2.12, 而在进行Nodejs开发时项目所依赖的包往往需要更高版本的glibc库支持, 因此在不升级系统的前提下, 需要主动更新系统glibc库. 一般遇到错误libc.so.6: version GLIBC_2.14 not found时表示需要对glibc进行升级了。
日期：03月11日
作者：ttlsa
CentOS上执行wget报错：unable to resolve host address
日期：03月10日
作者：angel22xu
大部分情况下，我们的工作环境都是Windows，然后当我工作中有需要用到Linux环境的时候我们大多会选择选择虚拟机来安装Linux，这里我记录我在虚拟机里安装CentOS7过程，以便今后工作中参考。
日期：03月10日
作者：Linux
再&CentOS 7安装Nvidia GTX1080显卡驱动，直接说安装步骤和遇到的问题：
日期：03月10日
作者：zorro
Docker的好处不用多说，作为一个.net方面的老鸟也想早点搭上Docker末班车，减少布署中的各种坑。以下我是在Visual Studio 2017正式版发布后（其实VS2015也是可以的），完全跑起来的步骤。
日期：03月10日
作者：bdqlaccp
最新的SUSE Linux Enterprise Server 11 SP3有2个安装盘，第一个为主要安装盘，一般下载这个即可第二个里面包含了一些常用软件，可选下载，下载需要注册;
日期：03月09日
作者：Linux
SUSE Linux Enterprise Server 11 SP3源码编译安装R-3.2.2过程详解。suse上安装R，过程艰难，文章里的源码包版本都是自己安装时候所用的版本，不一定必须是该版本。
日期：03月09日
作者：wonder191
LVS Fullnat之编译内核 将fullnat模块添加到内核
日期：03月09日
作者：firelowrie
Docker开发平台的构建
日期：03月09日
作者：RUReady
Linux内核从2.6.13-rc3开始，提供了在用户空间，可动态的绑定和解绑定设备和设备驱动之间关系的功能。在这之前，只能通过insmod（modprobe）和rmmod来绑定和解绑，而且这种绑定和解绑都是针对驱动和所有设备的。而新的功能可以设置驱动和单个设备之间的联系。
日期：03月09日
作者：styshoo
官方建议Docker源码编译在Docker容器内进行，因为官方提供的容器内已经继承了编译需要的环境，如果非要自己搭建编译环境也不是不可以，就是稍微有些繁琐。以下以1.8.2版本为例。 1.pull docker-dev:1.8.2的镜像
日期：03月09日
作者：styshoo
我们知道，迄今为止，Ubuntu已有多个发行版，如11.04、11.10，以至于现在最新的16.10。而我们平常通过apt-get来安装软件，如果OS版本不同，那么镜像源的配置就不同，否则就会出现找不到对应软件、软件版本不匹配等一系列奇怪的问题。
日期：03月09日
作者：Linux
给VirtualBox虚拟机（装载了Ubuntu16.04系统）配置了两张网卡，网络模式分别为&网络地址转换（NAT）&和&仅主机（Host-Only）适配器&，其中，enp0s3网卡（NAT）用于外网访问，而enp0s8网卡（Host-Only）用于主机访问虚拟机。然而，虚拟机启动后，却不能访问外网。
日期：03月09日
作者：styshoo
Kodi（以前称为XBMC）是一个着名的开源媒体中心和家庭影院软件，翻译超过30种语言。 此外，其功能可以通过第三方插件和扩展高度扩展，并支持PVR（个人视频录像机）。
日期：03月08日
作者：Linux
使用VS Code 从零开始开发调试.NET Core 1.1。无需安装VS 2017 RC 即可开发调试.NET Core 1.1应用。.NET Core 1.1 发布也有一段时间了，最大的改动是从&project.json 还原回了csproj 。
日期：03月08日
作者：linezero
使用VS Code 从零开始开发调试.NET Core 1.0。 .NET Core 是一个开源的、跨平台的 .NET 实现。VS Code 全称是 Visual Studio Code，Visual Studio Code是一个轻量级的跨平台Web集成开发环境，可以运行在 Linux，Mac 和Windows下
日期：03月08日
作者：linezero
Visual Studio 2017正式版离线安装及介绍
日期：03月08日
作者：linezero
在Ubuntu 16.04下经常要用到压缩/解压缩RAR文件， 每次都是网上搜索教程，而且都没有详细解析每个命令的具体用法，现在详细记下方法，以备再次用的时候方便的找到。
日期：03月08日
作者：Linux
Ubuntu 16.04集成Qt开发环境
日期：03月08日
作者：selous
一个进程，包括代码、数据和分配给进程的资源。fork（）函数通过系统调用创建一个与原来进程几乎完全相同的进程 fork调用的一个奇妙之处就是它仅仅被调用一次，却能够返回两次，它可能有三种不同的返回值
日期：03月08日
作者：天问chen
Ubuntu 14.04 搭建嵌入式Qt开发环境
日期：03月08日
作者：天问chen
为了能够在Ubuntu 16.04中编译出ccmake和cmake-gui，首先需要安装libncurses5-dev
日期：03月08日
作者：pursuiting
OpenGL 是一套由SGI公司发展出来的绘图函数库，它是一组 C 语言的函数，用于 2D 与 3D 图形应用程序的开发上。OpenGL 让程序开发人员不需要考虑到各种显示卡底层运作是否相同的问题，硬件由 OpenGL 核心去沟通，因此只要显示卡支援 OpenGL，那么程序就不需要重新再移植，而程序开发人员也不需要重新学习一组函数库来移植程序。
日期：03月08日
作者：zhangliang