没有合适的资源?快使用搜索试试~ 我知道了~
LINUX操作系统配置规范.doc
2 下载量 53 浏览量
2022-11-23
16:59:24
上传
评论
收藏 166KB DOC 举报
温馨提示
试读
22页
LINUX操作系统配置规范.doc
资源推荐
资源详情
资源评论
精选资料
可修改编辑
本规范适用于某运营商使用 Linux 操作系统的设备。本规范明确了 Linux 操作系统在安全配置方面的基本要求,适用
于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
LINUX 操作系统配置规范
目录
1 概述
2 上架规范
2.1 配置 iLo 管理口
2.2 硬盘 RAID 配置
2.3 服务器安装导轨
2.4 服务器插线要求
3 系统安装
3.1 系统版本要求
3.2 分区要求
3.3 安装包要求
3.4 用户要求
3.5 时间同步要求
3.6 字符集
3.7 网卡绑定
3.8 配置 snmp
3.9 连存储的服务器
3.10 多路径软件
3.11 udev 配置(块设备管理、ASM 组)
3.12 CVE 漏洞软件包版本
4 补丁
4.1 系统补丁(仅供参考)
4.2 其他应用补丁(仅供参考)
5 主机名、账号和口令安全配置基线
5.1 主机命名规范
5.2 账号安全控制要求
5.3 口令策略配置要求
5.4 口令复杂度和密码锁定策略配置要求
5.5 口令重复次数限制配置要求
5.6 设置登录 Banner
5.7 设置 openssh 登陆 Banner
5.8 Pam 的设置
5.9 root 登录策略的配置要求
5.10 root 的环境变量基线
6 网络与服务安全配置标准
6.1 最小化启动服务
6.2 最小化 xinetd 网络服务
7 文件与目录安全配置
精选资料
可修改编辑
7.1 临时目录权限配置标准
7.2 重要文件和目录权限配置标准
7.3 umask 配置标准
7.4 core dump 状态
7.5 ssh 的安全设置
7.6 bash 历史记录
7.7 其他注意事项
8 系统 Banner 的配置
9 防病毒软件安装
10 ITSM 监控 agent 安装
11 内核参数优化
12 syslog 日志的配置
13 重启服务器
附件:安全工具
1 概述
本规范适用于某运营商使用 Linux 操作系统的设备。本规范明确了 Linux 操作系统在安全配置方面
的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的
参考。
由于版本不同,配置操作有所不同,本规范以 Redhat 6.6 为例,给出参考配置操作。
2 上架规范
2.1 配置 iLo 管理口
2.2 硬盘 RAID 配置
2.3 服务器安装导轨
2.4 服务器插线要求
精选资料
可修改编辑
1、 集成网卡服务器
业务网络要求使用 eth0、eth1 两网口做双网卡绑定。(个别应用默认顺序取第一个接口 mac 地址,
要求使用前两个端口做业务网络接口)
网卡插线参考如下图方式:
2、 非集成网卡服务器
要求充分考虑网卡与网卡、网口与网口冗余、充分考虑网卡间散热问题。
光口卡同理操作。
网卡插线参考如下图方式:
3 系统安装
3.1 系统版本要求
新上系统全部使用 rhel6.6 64 位操作系统。
rhel-server-6.6-x86_64-dvd.iso 3.52 GB
SHA-256: 16044cb7264f4bc0150f5b6f3f66936ccf2d36e0a4152c00d9236fb7dcae5f32
[root@rhel6-6 /]$ uname -a
Linux rhel6-6 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64
x86_64 x86_64 GNU/Linux
目前机房生产平台用的较多的是 rhel5.7 和 rhel6.1。
有特殊要求的则仍使用 rhel6.1。
3.2 分区要求
使用 LVM 分区、文件系统格式采用 ext4。
3.3 安装包要求
安装系统当中要将 GCC 等所有的开发包和管理包打全,以防后期存在缺包现象。以下包全部安装
� Administration Tools
� Development Tools
� System Tools
� telnet ftp lrzsz (这三个包要求安装)
“系统管理”菜单:所有包全选安装
精选资料
可修改编辑
“开发”菜单:所有包全选安装
“语言支持”菜单:要求安装英文语言包、简体中文语言包!
3.4 用户要求
根据主机运维工作的实际需求,要求系统初始用户包括以下用户。密码根据项目整体要求配置
� root
root 用户密码根据要求进行配置
� pcloud
新创建用户且附加组为 wheel
参考命令:
#useradd -G wheel pcloud
� bestpay
新创建用户
#useradd bestpay
� logview
新创建用户且附加组为 bestpay
参考命令:
#useradd –G bestpay logview
� 分区赋权
在 root 用户根目录下按 3.3 小节分区要求,给分区重新赋权
/data:
o
chown –R bestpay:bestpay/data
o
o
chmod 0750 /data
o
/tools:
o
chown –R bestpay:bestpay /tools
o
o
chmod 0700 /tools
o
/admin:
精选资料
可修改编辑
o
chown –R bestpay:bestpay /admin
o
o
chmod 0750 /admin
o
3.5 时间同步要求
在 root 用户下执行 crontab –e
*/5 * * * * /usr/sbin/ntpdate 172.18.70.10 172.18.70.20
15 7 * * * /sbin/hwclock –w
3.6 字符集
使用系统缺省字符集配置。系统缺省字符集为 en_US.UTF-8;有特殊需求,另行配置。修改字符集
可以在文件/etc/sysconfig/i18n 里改。
3.7 网卡绑定
将服务器网卡两两做绑定,网卡绑定为主备模式。服务器网卡要求使用第一块网卡 1 口和第二块网
卡 1 口;第一块网卡 2 口和第二块网卡 2 口;即避免由于单块网卡故障导致的业务中断,可以冗余。
以下为配置示例:
配置虚拟网卡:
[root@rhel6 network-scripts]# cp ifcfg-eth0 ifcfg-bond0
[root@rhel6 network-scripts]# vi ifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
IPADDR=192.168.1.100
NETMASK=255.255.255.0
ONBOOT=yes
TAPE=Ethernet
GATEWAY=192.168.1.254
USERCTL=no
配置真实网卡:
[root@rhel6 network-scripts]# vi ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
USERCTL=no
剩余21页未读,继续阅读
资源评论
zzzzl333
- 粉丝: 676
- 资源: 7万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功