RedHat5安装手册Word格式文档下载.docx
- 文档编号:17273842
- 上传时间:2022-11-30
- 格式:DOCX
- 页数:25
- 大小:1.19MB
RedHat5安装手册Word格式文档下载.docx
《RedHat5安装手册Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《RedHat5安装手册Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
2.3.12.网络设置
2.3.13.时区选择
2.3.14.root帐号的密码
2.3.15.选择安装组件
2.3.16.检测软件依存关系
2.3.17.开始安装、拷贝软件
2.3.18.安装
2.3.19.安装完毕,需要重新启动系统
2.2.安装后的配置
2.4.1.配置欢迎界面
2.4.2.许可协议
2.4.3.防火墙配置
RedHatLinux为增加系统安全性提供了防火墙保护。
防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。
一个正确配置的防火墙可以极大地增加你的系统安全性。
「启用防火墙」
无防火墙给予完全访问权并不做任何安全检查。
安全检查是对某些服务的禁用。
建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
选择添加信任的设备或允许其它的进入接口。
「信任的设备」
选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;
它不受防火墙规则的限制。
例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。
把「eth0」选为“信任的”意味着所有这个以太网内的交通都是
被允许的,但是ppp0接口仍旧有防火墙限制。
如果你想限制某一接口上的交通,不要选择它。
建议你不要将连接到互联网之类的公共网络上的设备定为「信任的设备」。
「DHCP」
如果你允许进入的DHCP查询和回应,你将会允许任何使用DHCP来判定其IP地址的网络接口。
DHCP通常是启用的。
如果DHCP没有被启用,你的计算机就不能够获取IP地址。
「SSH」
Secure(安全)SHell(SSH)是用来在远程机器上登录及执行命令的一组工具。
如果你打算使用SSH工具通过防火墙来访问你的机器,启用该选项。
你需要安装openssh-server软件包以便使用SSH工具来远程访问你的机器。
「Telnet」
Telnet是用来在远程机器上登录的协议。
Telnet通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。
建议你不要允许进入的Telnet访问。
如果你想允许进入的Telnet访问,你需要安装telnet-server软件包。
「WWW(HTTP)」
HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。
如果你打算向公众开放你的万维网服务器,请启用该选项。
你不需要启用该选项来查看本地网页或开发网页。
如果你打算提供网页服务的话,你需要安装httpd软件包。
启用「WWW(HTTP)」将不会为HTTPS打开一个端口。
要启用HTTPS,在「其它端口」字段内注明。
「邮件(SMTP)」
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。
如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。
请注意,不正确配置的SMTP服务器会允许远程机器使用你的服务器发送垃圾邮件。
「FTP」
FTP协议是用于在网络机器间传输文件的协议。
如果你打算使你的FTP服务器可被公开利用,启用该选项。
你需要安装vsftpd软件包才能利用该选项。
「其它端口」
你可以允许到这里没有列出的其它端口的访问,方法是在「其它端口」字段内把它们列出。
格式为:
端口:
协议。
例如,如果你想允许IMAP通过你的防火墙,你可以指定imap:
tcp。
你还可以具体指定端口号码,要允许UDP包在端口1234通过防火墙,输入1234:
udp。
要指定多个端口,用逗号将它们隔开。
2.4.4.SELinux(Security Enhanced Linux)设置
2.4.5.kdump设置
2.4.6.日期和时间设置
2.4.7.设置软件更新
2.4.8.创建用户
2.4.9.声卡
说明:
IBMX3850 X3650无声卡
2.4.10.附加光盘
2.4.11.RedHatEnterpriseLinux5登录界面
2.4.12.桌面
2.3.redhatlinux系统安全设置方案
2.5.1.关闭xinetd服务
直接停止xinetd进程。
停掉由xinetd控制的服务如:
ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。
2.5.2.删除不需要的服务
需要打开的服务列表如下:
anacron:
Runcronjobsthatwereleftoutduetodowntime
crond:
cron定时执行后台
atd:
at定时执行后台
autofs:
按需文件系统自动挂载。
cWnn:
中文字符转换引擎。
gpm:
鼠标处理
keytable:
键盘布局加载
kudzo:
硬件自动检测
netfs:
加载NFS
network:
系统启动是加载/卸载网卡
ntpd:
时钟同步守护进程。
portmap:
管理RPC连接,用于NFS、NIS等。
random:
随机数产生器,SSH用到。
rawdevices:
负责将raw设备分配给block设备。
sgi_fam:
文件发生改变时产生(相关)报告。
sshd:
ssh守护进程
syslog:
日志守护进程
xfs:
在系统启动是启动X字体服务。
其他的服务全部关闭,另外,需要根据实际现场的需要启停的服务有以下几个,目前均设置成关闭:
named:
DNS解析服务,目前设置成关闭。
Sendmail:
Sendmail服务。
Vncserver:
VNC服务
nscd:
处理passwd和shaodow,用于NIS、NIS+等命名服务。
(删除,NIS用不上)
nfs/nfslock:
NFS服务。
Snmpd:
SNMP守护进程
关闭的方法有很多,通常是使用/usr/sbin/setup来关闭的,只是用这样的方式来关闭的话,需要重新启动Linux,比较麻烦一些些,如果您是使用我们这个网页的RedHat系统的话,那就执行/usr/sbin/setup吧!
然后选择Systemservices,将所有的服务启动项目开到剩下如下的几个:
atd
crond
inet
keytable
kudzu
network
random
sendmai(如果你有开启e-mail服务的话)
smb(如果你有开启SAMBA服务的话)
syslog
xfs(如果你有执行X-windows的话)
其他的服务就是你的要求来开启啰,其实,除非你真的了解该服务是作何用的,否则可以先予以关闭之,但是上面的几个项目则必须要开启的!
设定启动时的服务:
另外还有一个档案在设定开机时的服务设定,那就是/etc/inetd.conf这个档案,在这个档案中,开启到剩下四个服务就好,其他的服务就把他注解掉(加上一个#符号即可)。
ftpstreamtcpnowaitroot/usr/sbin/tcpdin.proftpd
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd
pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
imapstreamtcpnowaitroot/usr/sbin/tcpdimapd
另外,如果您的RedHat版本在7.0以后的话,那关于各项服务的目录就会是在/etc/xinetd.d这个目录中了,由于xinetd是将所有的服务个别放置于不同的档案中,因此需要针对所有的档案进行修正!
通常,只要将每个档案中的disable=no改写成disable=yes就可以了!
从Linux系统上移除一些套件:
虽然已经将一些服务关掉了,但是最好还是从根本上将这个套件给他移除吧!
以下这些套件是不必要的套件,你可以移除:
git
finger
talk
ytalk
ucd-snmp-utils
另外,还有一些ftp的套件也可以将之移除,移除的方法就用rpm吧:
rpm-egitfingertalkytalkucd-snmp-utils
重新开机:
reboot即可。
2.5.3.删除不必要的帐户、组
需要删除的用户包括:
userdellp
userdelsync
userdelshutdown
userdelhalt
userdelnews
userdeloperator
userdelgames
userdelftp
userdelrpc
userdelrpcuser
userdelgopher
userdelwnn
userdelnscd
userdelident
需要删除的组包括:
groupdellp
groupdelnews
groupdelgames
groupdelgopher
groupdelwnn
groupdelident
目前不明确,暂时保留的用户:
adm、mail、mailnull、nfsnobody
目前不明确,暂时保留的组:
mailnull、nfsnobody、adm、mail
本次必须要保留的用户是:
root、bin、nobody、ntp、ssh、uucp
必须保留的组包括:
root、nobody、ntp、uucp
2.5.4.修改用户口令长度以及有效期
vi/etc/login.defs
PASS_MAX_DAYS99999最大有效期改为90
PASS_MIN_DAYS0
PASS_MIN_LEN5
PASS_WARN_AGE7
2.5.5.在/etc/syslog.conf中加入如下的条目
#Theauthprivfilehasrestricted
authpriv.*
/var/log/secure
2.5.6.修改别名文件/etc/aliases
注释掉不要的
#games:
root
#ingres:
#system:
#toor:
#uucp:
#manager:
#dumper:
#operator:
#decode:
root
#root:
marc
修改后执行/usr/bin/newaliases
2.5.7.修改/etc/hosts.allow和/etc/hosts.deny
vi/etc/hosts.allow
sshd:
218.29.0.224/255.255.255.224
202.111.142.0/255.255.255.192
202.111.142.96/255.255.255.224
218.29.221.0/255.255.255.0
218.28.141.96/255.255.255.240
218.246.107.125
211.99.140.224/255.255.255.248
portmap:
vi/etc/hosts.deny
ALL:
ALL
2.5.8.防止IPSPOOF
vi/etc/host.conf
添加:
nospoofon
打开系统审计的loghost功能编辑/etc/syslog.conf,语法:
@loghost*.err;
kern.debug;
deamon.notice;
mail.crit(记录登录信息)
2.5.9.设置SSH超时时间
修改/etc/ssh/sshd_config内LoginGraceTime段,时间为秒,缺省是600秒。
本次不做设置。
2.5.10.停掉ctrl+alt+del自动重启的功能
编辑/etc/inittab文件注释掉下面
#TrapCTRL-ALT-DELETE
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
2.5.11.主机系统密码专人负责制
由专门的人员负责主机系统密码的修改、维护,对于密码的申请建立备案,由项目主管或者现场维护主管审批。
2.5.12.Redhatlinux5上telnet的开启过程
1、确定你的telnet服务打开没有:
[root@111~]#chkconfig--list|greptelnet
ekrb5-telnet:
off
krb5-telnet:
[root@111~]#
注意检查结果这里是关闭状态
2、打开telnet服务:
[root@111~]#chkconfigkrb5-telneton
offv
on
检查已经被打开了
3、修改登陆文件securetty,主要增加要登陆的终端点
[root@111~]#vi/etc/securetty
增加如下几行:
pts/1
pts/2
pts/3
pts/4
pts/5
……
保存退出即可。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RedHat5 安装 手册