V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
luyg
V2EX  ›  Linux

自己总结的 centos 安全加固标准

  •  
  •   luyg · 2016-04-19 22:58:46 +08:00 · 5459 次点击
    这是一个创建于 3138 天前的主题,其中的信息可能已经有所发展或是发生改变。
    27 条回复    2021-01-12 15:25:33 +08:00
    firefox12
        1
    firefox12  
       2016-04-19 23:02:18 +08:00
    404
    ab
        2
    ab  
       2016-04-19 23:02:49 +08:00
    404+1
    firefox12
        4
    firefox12  
       2016-04-19 23:10:32 +08:00
    不过的确很棒!

    请教一个 怎么配 ldap 管理用户权限
    第二如何记录所有用户 在每台服务器上操作的命令?
    UnisandK
        5
    UnisandK  
       2016-04-19 23:21:46 +08:00
    密码够长其实就能解决大部分问题了
    luyg
        6
    luyg  
    OP
       2016-04-19 23:28:22 +08:00
    @firefox12 我这没问题啊。
    luyg
        7
    luyg  
    OP
       2016-04-19 23:29:45 +08:00
    luyg
        8
    luyg  
    OP
       2016-04-19 23:31:19 +08:00
    @firefox12 我们这里没用到 ldap ,记录服务器上的操作命令我们这里使用的是堡垒机实现的,你说的这个开启系统的审计功能就行了,具体你可以搜索下 linux audit
    Patrick95
        9
    Patrick95  
       2016-04-19 23:31:52 +08:00
    学到了 thx
    est
        10
    est  
       2016-04-19 23:32:49 +08:00
    ctrl+f selinux 没找到。 LZ 解释一下。
    salmon5
        11
    salmon5  
       2016-04-19 23:42:33 +08:00
    "安全加固"这个词,看了感觉有些水,一点代码级的都没有。

    外围更重要。
    whatot
        12
    whatot  
       2016-04-19 23:43:25 +08:00
    iptables off ??
    selinux ??

    这些都没有,那不是生产环境吧?
    salmon5
        13
    salmon5  
       2016-04-19 23:43:42 +08:00
    "安全加固",很容易让不懂得人理解成 “安全专家” 的一种行为。然而这仅仅不过是普通的运维配置。
    Sunyanzi
        14
    Sunyanzi  
       2016-04-19 23:46:51 +08:00
    我用一般 CentOS 只做三项安全配置 ... 第一禁止密码登录 ... 第二只开放需要的端口 ... 第三启用 SELinux ...

    在我看来 ... 这篇文章作为 Linux Desktop 的安全指导还有点意义 ... 作为 Server 的安全指导完全是纸上谈兵 ...
    dndx
        15
    dndx  
       2016-04-19 23:47:12 +08:00
    RedHat 家的东西不用太复杂,禁用密码登录正确配置 SELinux 和 iptables 基本上就已经秒杀大多数其它的 Linux 发行版了。
    icybee
        16
    icybee  
       2016-04-20 00:32:43 +08:00
    cool
    luyg
        17
    luyg  
    OP
       2016-04-20 07:07:01 +08:00
    对,所以我说希望大家多提宝贵意见,因为这个确实是从我们运维的出发点发起做的,也还会不断完善,至于 iptables 和 selinux 这个确实现在还没怎么用。
    unique
        18
    unique  
       2016-04-20 08:37:42 +08:00
    404+10086
    yu1u
        19
    yu1u  
       2016-04-20 09:07:27 +08:00 via Android
    安全是从很多方面结合来搞的
    JoeyChan
        20
    JoeyChan  
       2016-04-20 14:41:11 +08:00
    好复杂的样子,如果只是登录安全来说,装个 csf ,改个 ssh 端口,我给你密码你都上不了,不需要那么复杂。 csf 禁止端口扫描,别人根本无法找到你的端口,这样已经足够安全了。
    soho176
        21
    soho176  
       2016-04-20 16:45:41 +08:00
    @JoeyChan csf 防火墙吗?
    yu1u
        22
    yu1u  
       2016-04-20 16:52:52 +08:00 via Android
    @JoeyChan 安全只是相对的, nmap 不发包能扫描到么
    firefox12
        23
    firefox12  
       2016-04-20 20:01:21 +08:00
    服务器一般 也就关掉服务, 开 iptables 防火墙, 登录端口修改. 其他的进程权限什么的,都是程序来的了
    firefox12
        24
    firefox12  
       2016-04-20 20:01:46 +08:00
    还有用 key 登录, 不允许 password
    cherrymill
        25
    cherrymill  
       2016-04-26 17:10:59 +08:00
    @luyg 404..
    jackZheng1992
        27
    jackZheng1992  
       2021-01-12 15:25:33 +08:00
    404 +10086
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5368 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 03:35 · PVG 11:35 · LAX 19:35 · JFK 22:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.