在 CentOS 和 RHEL 系统上安装或自动更新安全补丁
在 Linux 系统上，其中一个最重要的需求就是保持定期更新最新的安全补丁，或者为相应的 Linux 版本更新可用的安全补丁。
-- Gabriel Cánepa
-在 CentOS/RHEL 系统上配置自动安全更新16%
-在 CentOS/RHEL 7 系统上启用自动安全更新22%
-在 CentOS/RHEL 6 上启用自动安全更新44%
编译自： /auto-install-security-patches-updates-on-centos-rhel/
作者： Gabriel Cánepa
译者： ucasFL
在 Linux 系统上，其中一个最重要的需求就是保持定期更新最新的安全补丁，或者为相应的 Linux 版本更新可用的安全补丁。
在之前的文章中，我们分享了如何在 Debian/Ubuntu 上配置自动安全更新[1]，在这篇文章中，我们将分享如何在 CentOS/RHEL 7/6 版本中设置在需要时自动更新重要的安全补丁。
和它同一家族的其它 Linux 版本（Fedora 或 Scientific Linux）中可以用类似的方法进行配置。
在 CentOS/RHEL 系统上配置自动安全更新
在 CentOS/RHEL 7/6 系统上，你需要安装下面的安装包：
#yumupdate -y &&yuminstall yum-cron-y
在 CentOS/RHEL 7 系统上启用自动安全更新
安装完成以后，打开 /etc/yum/yum-cron.conf，然后找到下面这些行内容，你必须确保它们的值和下面展示的一样
update_cmd =security
update_messages =yes
download_updates =yes
apply_updates =yes
第一行表明自动更新命令行应该像这样：
#yum--security upgrade
而其它的行保证了能够通知并自动下载、安装安全升级。
为了使来自 root@localhost 的通知能够通过邮件发送给同一账户（再次说明，你可以选择其他账户，如果你想这样的话），下面这些行也是必须的。
emit_via =email
email_from =root@localhost
email_to =root
在 CentOS/RHEL 6 上启用自动安全更新
默认情况下， cron 任务被配置成了立即下载并安装所有更新，但是我们可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为 yes，从而改变这种行为。
#不要安装，只做检查（有效值：yes|no）
CHECK_ONLY=yes
#不要安装，只做检查和下载（有效值：yes|no）
#要求CHECK_ONLY=yes（先要检查后才可以知道要下载什么）
DOWNLOAD_ONLY=yes
为了启用关于安装包更新的邮件通知，你需要把 MAILTO 参数设置为一个有效的邮件地址。
#默认情况下MAILTO 是没有设置的，crond 会将输出发送邮件给自己#（LCTT 译注：执行cron的用户，这里是root）
#例子：MAILTO=root
MAILTO=admin@tecmint.com
最后，打开并启用 yum-cron 服务：
-------------OnCentOS/RHEL 7-------------
systemctlstart yum-cron
systemctlenable yum-cron
-------------OnCentOS/RHEL 6-------------
#service yum-cronstart
#chkconfig --level 35yum-cronon
恭喜你，你已经成功的在 CentOS/RHEL 7/6 系统上设置了自动升级。
在这篇文章中，我们讨论了如何保持你的服务器定期更新或升级最新的安全补丁。另外，为了保证当新的补丁被应用时你自己能够知道，你也学习了如何配置邮件通知。
如果你有任何关于这篇文章的疑问，请在下面的评论区留下你的问题。我们期待收到你的回复。
via: /auto-install-security-patches-updates-on-centos-rhel/
作者：Gabriel Cánepa[2]译者：ucasFL校对：jasminepeng
本文由 LCTT[3]原创编译，Linux中国荣誉推出
滑动查看更多
输入文章 ID 或长按二维码直达
[1]: /auto-install-security-updates-on-debian-and-ubuntu/
[2]: /author/gacanepa/
[3]: /LCTT/TranslateProject
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点中国领先的IT技术网站
51CTO旗下网站
如何在CentOS和RHEL系统上安装或自动更新安全补丁
在 Linux 系统上，其中一个最重要的需求就是保持定期更新最新的安全补丁，或者为相应的 Linux 版本更新可用的安全补丁。在之前的文章中，我们分享了如何在 Debian/Ubuntu 上配置自动安全更新，在这篇文章中，我们将分享如何在 CentOS/RHEL 7/6 版本中设置在需要时自动更新重要的安全补丁。
作者：Gabriel Cánepa来源：| 18:12
在 Linux 系统上，其中一个最重要的需求就是保持定期更新最新的安全补丁，或者为相应的 Linux 版本更新可用的安全补丁。
在之前的文章中，我们分享了如何在 Debian/Ubuntu 上配置自动安全更新，在这篇文章中，我们将分享如何在 CentOS/RHEL 7/6
版本中设置在需要时自动更新重要的安全补丁。
和它同一家族的其它 Linux 版本(Fedora 或 Scientific Linux)中可以用类似的方法进行配置。
在 CentOS/RHEL 系统上配置自动安全更新
在 CentOS/RHEL 7/6 系统上，你需要安装下面的安装包：
#&yum&update&-y&&&&yum&install&yum-cron&-y&
在 CentOS/RHEL 7　系统上启用自动安全更新
安装完成以后，打开 /etc/yum/yum-cron.conf，然后找到下面这些行内容，你必须确保它们的值和下面展示的一样
update_cmd&=&security&update_messages&=&yes&download_updates&=&yes&apply_updates&=&yes&
第一行表明自动更新命令行应该像这样：
而其它的行保证了能够通知并自动下载、安装安全升级。
为了使来自 root@localhost
的通知能够通过邮件发送给同一账户(再次说明，你可以选择其他账户，如果你想这样的话)，下面这些行也是必须的。
emit_via&=&email&email_from&=&root@localhost&email_to&=&root&
在 CentOS/RHEL 6 上启用自动安全更新
默认情况下， cron 任务被配置成了立即下载并安装所有更新，但是我们可以通过在 /etc/sysconfig/yum-cron
配置文件中把下面两个参数改为 yes，从而改变这种行为。
#&不要安装，只做检查（有效值：&yes|no）&CHECK_ONLY=yes&#&不要安装，只做检查和下载（有效值：&yes|no）&#&要求&CHECK_ONLY=yes（先要检查后才可以知道要下载什么）&DOWNLOAD_ONLY=yes&
为了启用关于安装包更新的邮件通知，你需要把 MAILTO 参数设置为一个有效的邮件地址。
#&默认情况下&MAILTO&是没有设置的，crond&会将输出发送邮件给自己&#&（LCTT&译注：执行&cron&的用户，这里是&root）&#&例子：&MAILTO=root&MAILTO=&
最后，打开并启用 yum-cron 服务：
&systemctl&start&yum-cron&systemctl&enable&yum-cron&&#&service&yum-cron&start&#&chkconfig&&
恭喜你，你已经成功的在 CentOS/RHEL 7/6 系统上设置了自动升级。
在这篇文章中，我们讨论了如何保持你的服务器定期更新或升级最新的安全补丁。另外，为了保证当新的补丁被应用时你自己能够知道，你也学习了如何配置邮件通知。
如果你有任何关于这篇文章的疑问，请在下面的评论区留下你的问题。我们期待收到你的回复。【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
原创头条头条外电头条
24H热文一周话题本月最赞
讲师：3人学习过
讲师：9人学习过
讲师：22人学习过
精选博文论坛热帖下载排行
本书主要介绍由Sun微系统公司创建的Java编程语言。
除了核心内容外，Java还有许多免费的财富，即开放源代码的库。本书就是为了介绍这些库...
订阅51CTO邮刊07-0507-0507-0507-0507-0507-0507-0507-0507-0507-05最新范文01-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-0101-01CentOS7.0系统安全加固手册 - 简书
CentOS7.0系统安全加固手册
一、用户帐号和环境……………………………………………………………. 2二、系统访问认证和授权……………………………………………………… 3三、核心调整……………………………………………………… 4四、需要关闭的一些服务…………………………………………………… 5五、SSH安全配置……………………………………………………….. 5六、封堵openssl的Heartbleed漏洞……………………. 6七、开启防火墙策略…………………………………八、启用系统审计服务……………………………………………………. 8九、部署完整性检查工具软件………………………………. 10十、部署系统监控环境……………………………………………………….. 11以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。一、用户帐号和环境检查项注释:1、清除了operator、lp、shutdown、halt、games、gopher 帐号删除的用户组有： lp、uucp、games、dip其它系统伪帐号均处于锁定SHELL登录的状态2、验证是否有账号存在空口令的情况:awk -F:
‘($2 == “”) { print $1 }’ /etc/shadow3、检查除了root以外是否还有其它账号的UID为0:awk -F:
‘($3 == 0) { print $1 }’ /etc/passwd任何UID为0的账号在系统上都具有超级用户权限.4、检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马5、用户的home目录许可权限设置为700用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限6、是否有用户的点文件是所有用户可读写的:for dir
in \`awk -F:
‘($3 &= 500) { print $6 }’ /etc/passwd`dofor file
in $dir/.[A-Za-z0-9]*doif [ -f
$file ]; thenchmod o-w
$filefidonedoneUnix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限7为用户设置合适的缺省umask值:cd /etcfor file
in profile csh.login csh.cshrc bashrcdoif [
`grep -c umask $file` -eq 0 ];thenecho
“umask 022″ && $filefichown
root:root $filechmod 444
$filedone为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.8、设备系统口令策略：修改/etc/login.defs文件9、将PASS_MIN_LEN最小密码长度设置为12位。10、限制能够su为root 的用户：#vi /etc/pam.d/su在文件头部添加下面这样的一行auth
pam_wheel.so use_uid这样，只有wheel组的用户可以su到root操作样例：#usermod
-G10 test 将test用户加入到wheel组11、修改别名文件/etc/aliases：#vi /etc/aliases注释掉不要的
#games: root #ingres: root #system: root #toor: root#uucp: root #manager:
root #dumper: root #operator: root #decode: root#root: marc修改后执行/usr/bin/newaliases13、修改帐户TMOUT值，设置自动注销时间vi /etc/profile增加TMOUT=600无操作600秒后自动退出14、设置Bash保留历史命令的条数#vi /etc/profile15、修改HISTSIZE=5即只保留最新执行的5条命令16、防止IP
SPOOF：#vi /etc/host.conf 添加：nospoof on不允许服务器对IP地址进行欺骗17、使用日志服务器：#vi /etc/rsyslog.conf 照以下样式修改*.mail.authpriv.cron.none
@192.168.10.199这里只是作为参考，需要根据实际决定怎么配置参数二、系统访问认证和授权检查项注释:1、限制
at/cron给授权的用户:cd /etc/rm -f
cron.deny at.denyecho root
&cron.allowecho root
&at.allowchown
root:root cron.allow at.allowchmod 400
cron.allow at.allowCron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令5、Crontab文件限制访问权限:chown
root:root /etc/crontabchmod 400
/etc/crontabchown -R
root:root /var/spool/cronchmod -R
go-rwx /var/spool/cronchown -R
root:root /etc/cron.*chmod -R
go-rwx /etc/cron.*系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序6、建立恰当的警告banner:echo
“Authorized uses only. All activity may be \monitored
and reported.” &&/etc/motdchown
root:root /etc/motdchmod 644
/etc/motdecho
“Authorized uses only. All activity may be \monitored
and reported.” && /etc/issueecho
“Authorized uses only. All activity may be \monitored
and reported.” && /etc/issue.net改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.7、限制root登录到系统控制台:cat
&/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchown
root:root /etc/securettychmod 400
/etc/securetty通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪8、设置守护进程掩码vi /etc/rc.d/init.d/functions设置为 umask 022系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件三、核心调整设置项注释:1、禁止core
dump:cat &&/etc/security/limits.conf* soft core 0* hard core 0END_ENTRIES允许core
dump会耗费大量的磁盘空间.2、chown root:root /etc/sysctl.confchmod 600 /etc/sysctl.conflog_martians将进行ip假冒的ip包记录到/var/log/messages其它核心参数使用CentOS默认值。四、需要关闭的一些服务设置项注释:1、关闭Mail
Serverchkconfig postfix off多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务五、SSH安全配置设置项注释:1、配置空闲登出的超时间隔:ClientAliveInterval 300ClientAliveCountMax 0Vi /etc/ssh/sshd_config2、禁用
.rhosts 文件IgnoreRhosts yesVi /etc/ssh/sshd_config3、禁用基于主机的认证HostbasedAuthentication noVi /etc/ssh/sshd_config4、禁止
root 帐号通过 SSH
登录PermitRootLogin noVi /etc/ssh/sshd_config5、用警告的
BannerBanner /etc/issueVi /etc/ssh/sshd_config6、iptables防火墙处理 SSH 端口 # 64906-A INPUT -s 192.168.1.0/24 -m state –state NEW
-p tcp –dport 64906 -j ACCEPT-A INPUT -s 202.54.1.5/29 -m state –state NEW -p
tcp –dport 64906 -j ACCEPT这里仅作为参考，需根据实际需要调整参数7、修改 SSH
端口和限制 IP 绑定：Port 64906安装selinux管理命令yum -y install policycoreutils-python修改
port contexts（关键），需要对context进行修改semanage port -a -t ssh_port_t -p tcp 64906semanage port -l | grep ssh
—-查看当前SElinux 允许的ssh端口Vi /etc/ssh/sshd_config仅作为参考，需根据实际需要调整参数。8、禁用空密码：PermitEmptyPasswords no禁止帐号使用空密码进行远程登录SSH9、记录日志：LogLevel
INFO确保在
sshd_config 中将日志级别
LogLevel 设置为
DEBUG，可通过 logwatch orlogcheck 来阅读日志。10、重启SSHsystemctl restart sshd.service重启ssh六、封堵openssl的Heartbleed漏洞检测方法：在服务器上运行以下命令确认openssl版本# openssl versionOpenSSL 1.0.1e-fips 11 Feb 2013以上版本的openssl存在Heartbleed bug，需要有针对性的打补丁。升及补丁：#yum -y install openssl验证：# openssl version -aOpenSSL 1.0.1e-fips 11 Feb 2013built on: Thu Jun
5 12:49:27 UTC 2014以上built on 的时间是号，说明已经修复了该漏洞。注：如果能够临时联网安装以上补丁，在操作上会比较简单一些。如果无法联网，则有两种处理办法：首选从安装光盘拷贝独立的rpm安装文件并更新；另一个办法是提前下载最新版本的openssl源码，编译并安装。七、开启防火墙策略在CentOS7.0中默认使用firewall代替了iptablesservice。虽然继续保留了iptables命令，但已经仅是名称相同而已。除非手动删除firewall，再安装iptables，否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法：#cd /usr/lib/firewalld/services
//该目录中存放的是定义好的网络服务和端口参数，只用于参考，不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务，也不必再增加相关xml定义，后续通过管理命令可以直接增加。#cd /etc/firewalld/services/
//从上面目录中将需要使用的服务的xml文件拷至这个目录中，如果端口有变化则可以修改文件中的数值。# Check firewall state.firewall-cmd --state# Check active zones.firewall-cmd --get-active-zones# Check current active services.firewall-cmd --get-service# Check services that will be active after next reload.firewall-cmd --get-service --permanent查看firewall当前的配置信息，最后一个命令是查看写入配置文件的信息。# # Set permanent and reload the runtime config.# firewall-cmd --permanent --zone=public --add-service=http# firewall-cmd --reload# firewall-cmd --permanent --zone=public --list-services打开HTTP服务端口并写入配置文件从配置文件中重载至运行环境中。# firewall-cmd --permanent --zone=public --remove-service=https# firewall-cmd --reload从已有配置中删除一个服务端口# firewall-cmd --permanent --zone=public --add-port=/tcp# firewall-cmd --reload# firewall-cmd --zone=public --list-ports/tcp# firewall-cmd --permanent --zone=public --list-ports/tcp## firewall-cmd --permanent --zone=public --remove-port=/tcp# firewall-cmd --reload打开或关闭一段TCP端口的方法，同理如果使用了其它非通用端口，那么也可以这么操作。# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" \source address="192.168.0.4/24" service name="http" accept"# firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" \source address="192.168.0.4/24" service name="http" accept"The following command allows you to open/close
HTTP access to a specific IP address.八、启用系统审计服务审计内容包括：系统调用、文件访问、用户登录等。编辑/etc/audit/audit.rules,在文中添加如下内容：-w /var/log/audit/ -k LOG_audit-w /etc/audit/ -p wa -k CFG_audit-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf-w /etc/audisp/ -p wa -k CFG_audisp-w /etc/cups/ -p wa -k CFG_cups-w /etc/init.d/cups -p wa -k CFG_initd_cups-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules-w /etc/selinux/mls/ -p wa -k CFG_MAC_policy-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy-w /usr/sbin/stunnel -p x-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test-w /etc/aide.conf -p wa -k CFG_aide.conf-w /etc/cron.allow -p wa -k CFG_cron.allow-w /etc/cron.deny -p wa -k CFG_cron.deny-w /etc/cron.d/ -p wa -k CFG_cron.d-w /etc/cron.daily/ -p wa -k CFG_cron.daily-w /etc/cron.hourly/ -p wa -k CFG_cron.hourly-w /etc/cron.monthly/ -p wa -k CFG_cron.monthly-w /etc/cron.weekly/ -p wa -k CFG_cron.weekly-w /etc/crontab -p wa -k CFG_crontab-w /var/spool/cron/root -k CFG_crontab_root-w /etc/group -p wa -k CFG_group-w /etc/passwd -p wa -k CFG_passwd-w /etc/gshadow -k CFG_gshadow-w /etc/shadow -k CFG_shadow-w /etc/security/opasswd -k CFG_opasswd-w /etc/login.defs -p wa -k CFG_login.defs-w /etc/securetty -p wa -k CFG_securetty-w /var/log/faillog -p wa -k LOG_faillog-w /var/log/lastlog -p wa -k LOG_lastlog-w /var/log/tallylog -p wa -k LOG_tallylog-w /etc/hosts -p wa -k CFG_hosts-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network-w /etc/inittab -p wa -k CFG_inittab-w /etc/rc.d/init.d/ -p wa -k CFG_initscripts-w /etc/ld.so.conf -p wa -k CFG_ld.so.conf-w /etc/localtime -p wa -k CFG_localtime-w /etc/sysctl.conf -p wa -k CFG_sysctl.conf-w /etc/modprobe.conf -p wa -k CFG_modprobe.conf-w /etc/pam.d/ -p wa -k CFG_pam-w /etc/security/limits.conf -p wa -k CFG_pam-w /etc/security/pam_env.conf -p wa -k CFG_pam-w /etc/security/namespace.conf -p wa -k CFG_pam-w /etc/security/namespace.init -p wa -k CFG_pam-w /etc/aliases -p wa -k CFG_aliases-w /etc/postfix/ -p wa -k CFG_postfix-w /etc/ssh/sshd_config -k CFG_sshd_config-w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers-a exit,always -F arch=b32 -S sethostname-w /etc/issue -p wa -k CFG_issue-w /etc/issue.net -p wa -k CFG_issue.net重启audit服务#service auditd
restart九、部署完整性检查工具软件AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文档的完整性。AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inodenumber)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。在系统安装完毕，要连接到网络上之前，系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息：关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息，例如：日志文档、邮件、/proc文档系统、用户起始目录连同临时目录安装方法：#yum -y install aide注：如果主机不能联网安装AIDE，那么也可以从安装光盘拷贝至目标主机。检验系统文件完整性的要求：因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此，应该把AIDE的数据库放到安全的地方，而且进行检查时要使用确保没有被修改过的程序，最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时，需要先验证该程序没有被篡改过。配置说明：序号参数注释1、/etc/aide.conf配置文件2、databaseAide读取文档数据库的位置，默认为/var/lib/aide，默认文件名为aide.db.gz3、database_outAide生成文档数据库的存放位置，默认为/var/lib/aide，默认文件名为aide.db.new.gzdatabase_new在使用aide
–compare命令时，需要在aide.conf中事先设置好database_new并指向需要比较的库文件4、report_url/var/log/aide，入侵检测报告的存放位置5、其它参数继续使用默认值即可。建立、更新样本库：1）执行初始化，建立第一份样本库# aide –init# cd /var/lib/aide/# mv aide.db.new.gz aide.db.gz
//替换旧的样本库2）更新到样本库#aide –update# cd /var/lib/aide/# mv aide.db.new.gz aide.db.gz
//替换旧的样本库执行aide入侵检测：1）查看入侵检测报告#aide –check报告的详细程度可以通过-V选项来调控，级别为0-255，-V0 最简略，-V255 最详细。或#aide –compare这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。2）保存入侵检测报告（将检查结果保存到其他文件）aide –check –report=file：/tmp/aide-report-.txt3）定期执行入侵检测，并发送报告# crontab -e45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s ”AIDE REPORT $（date +%Y%m%d）” 或45 23 * * * aide -C && /var/log/aide/’date +%Y%m%d’_aide.log记录aide可执行文件的md5 checksum：#md5sum /usr/sbin/aide十、部署系统监控环境该段落因为需要安装或更新较多的依赖包，所以目前仅作为参考。为了在将来合适的时候，可以支持通过一台集中的监控主机全面监控主机系统和网络设备的运行状态、网络流量等重要数据，可以在安全加固主机的系统中预先安装和预留了系统监控软件nagios和cacti在被监控主机中需要使用的软件支撑环境。由于以下软件在安装过程中需要使用源码编译的方式，由此而引发需要安装GCC和OPENSSL-DEVEL。而为了安装GCC和OPENSSL-DEVEL而引发的依赖包的安装和更新大约有20个左右。这就违返了安全加固主机要保持最小可用系统的设计原则，所以该部分监控软件支撑环境的部署工作不作为默认设置，但仍然通过下文给出了部署参考，以用于系统运行运维过程中需要部署全局性监控系统时使用。1）安装net-snmp服务#yum -y install net-snmp#chkconfig snmpd off
—将该服务设置为默认关闭，这里只是为以后部署cacti先预置一个支撑环境如果不能联网安装，则可以使用安装光盘，并安装以下几个rpm包：lm_sensors
， net-snmp
net-snmp-libs
net-snmp-utils2）安装nagios-plugin和nrpea. 增加用户&设定密码# useradd nagios# passwd nagiosb. 安装Nagios 插件# tar zxvf nagios-plugins-2.0.3.tar.gz# cd nagios-plugins-2.0.3# ./configure –prefix=/usr/local/nagios# make && make install这一步完成后会在/usr/local/nagios/下生成三个目录include、libexec和share。修改目录权限# chown nagios.nagios /usr/local/nagios# chown -R nagios.nagios /usr/local/nagios/libexecc. 安装NRPE# tar zxvf nrpe-2.15.tar.gz# cd nrpe-2.15# ./configure# make all接下来安装NPRE插件，daemon和示例配置文件。c.1 安装check_nrpe 这个插件# make install-plugin监控机需要安装check_nrpe 这个插件，被监控机并不需要，在这里安装它只是为了测试目的。c.2 安装deamon# make install-daemonc.3 安装配置文件# make install-daemon-config现在再查看nagios 目录就会发现有5个目录了