服务器安全狗Linux版(SafeDog for Linux Server)是为Linux服务器开发的一款服务器管理软件,它集成了系统参数快速设置,系统运行状态直观展示,系统状态实时监控,常用服务、设备或软件的快速安装和配置等功能,帮助管理员快速直观地管理服务器,本软件还提供了纯字符界面下的界面交互接口和详细的操作指引,使得管理员对服务器的状态更加了解,管理和配置服务器也更加简单。
系统快速配置
1、网络接口配置
界面显示系统各个网卡的IP,子网掩码,MAC地址,IP设置方式,网卡激活状态等信息,还显示系统的DNS服务器(nameserver)设置。
快捷键支持修改网卡的IP获取方式,如果设置手动需要填写IP和掩码信息,网关和DNS信息可选填写,同时提供停用网卡,启动网卡等功能。
如果显示值为”??”,表示软件无法探测到该项参数或者该项参数不存在。
[注意]
软件显示的dynamic或static为当前IP的获取方式,仅仅作为参考,可能并不一定是正确的。
2、系统状态配置
界面显示系统的机器名,系统日期和时间,快捷键支持修改系统的机器名,系统中的账号和密码,系统日期和时间。本菜单下每隔二到三秒会自动刷新状态。
系统快速优化
1、 网络优化
Icmp Echo Ignore All 开启或关闭“禁止响应ping包策略”
[验证生效方法]
cat /proc/sys/net/ipv4/icmp_echo_ignore_all
结果为1表示生效,为0表示不生效
[测试方法]
可通过在本机执行命令
ping 127.0.0.1
查看配置前后效果
Tcp SynCookies 开启或关闭“防范syn flood攻击策略”
[验证生效方法]
执行命令
cat /proc/sys/net/ipv4/tcp_syncookies
结果为1表示生效,为0表示不生效
[测试方法]
暂无
TcpTimeWaitReuse 开启或关闭“TIME-WAIT状态的端口重用”
[验证生效方法]
执行命令
cat /proc/sys/net/ipv4/tcp_tw_reuse
结果为1表示生效,为0表示不生效
[测试方法]
暂无
2、 进程资源优化
shmmax 设置单个共享内存段的最大值,单位为Byte
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmmax
[测试方法]
使用以下命令
ipcmk
shmall 全部允许使用的共享内存大小,单位为页面
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmall
[测试方法]
使用以下命令
ipcmk
shmmni 系统范围内共享内存段的最大数量
[验证生效方法]
执行命令
cat /proc/sys/kernel/shmmni
[测试方法]
使用以下命令
ipcmk
threadsmax 系统最大线程数[验证生效方法]
执行命令
cat /proc/sys/kernel/threads-max
[测试方法]
暂无
filemax 分配给进程的最大文件描述符数目
[验证生效方法]
执行命令
cat /proc/sys/kernel/file-max
[测试方法]
暂无
系统实时监控
1、 文件监控
Monit Toggle 文件监视器开关
File List 监视的文件列表
[测试方法]
设置完文件列表后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/filemonit.txt
对文件列表中的文件或文件夹进行的生成、修改、删除会马上反应到报告文件中,
对文件列表中的文件夹内的文件或一级文件夹进行的生成、修改、删除也会马上反应到报告文件中。
[注意]
不会递归监控到子目录里面,并且当文件名列表为空时无法启动监视器。
2、 进程监控
Monit Toggle 进程监视器开关
Process List 监视的进程名(必须包括运行参数)列表
[测试方法]
设置完进程名列表后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/processmonit.txt使用命令
top或ps aux
能够看到进程是否正在运行,一旦进程结束或被kill,监视器会马上重启进程,
比如设置进程名列表为
/bin/sleep 5
/bin/sleep 15
可以看到,进程中将一直有这两个进程在运行,只要一结束,马上就会被重启。
注意当进程名列表为空时,无法启动监视器。
[注意]
本功能只适用于监控可以通过一条命令启动的守护进程,本功能正确的使用方法是,初始时不要启动要监控的服务,通过添加要监控的进程启动命令,让安全狗自动启动被监控的进程,否则可能因为启动过程不同导致安全狗无法匹配出进程列表中的进程名。(比如要监控vsftpd进程,如果用户添加的监控内容为”vsftpd &”,但是用户在此之前通过命令service vsftpd start启动了vsftpd的命令就会出错。)
3、 CPU监控
Monit Toggle CPU使用率监视器开关
CPU Ceil CPU使用率监视上限(高于该值写入报告)
CPU Floor CPU使用率监视下限(低于该值写入报告)
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/cpumonit.txt
4、 内存监控
Monit Toggle 内存使用率监视器开关
Memory Use Ceil 内存使用率监视上限(高于该值写入报告)
同时显示系统当前内存使用量和空闲量
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/memorymonit.txt
5、 磁盘容量监控Partition 监视的磁盘分区,比如/dev/sda1
Ceil 监视的磁盘容量的上限(高于该值写入报告)
Floor 监视的磁盘容量的下限(低于该值写入报告)
Interval 监视的磁盘容量的报告间隔值(增减量大于该值时写入报告)
[测试方法]
设置完监视范围后,再开启监视器开关,可以使用如下命令查看报告文件
tail -f /etc/safedog/monitor/ diskvolumemonit.txt
6、 文件备份
File 需要备份的文件绝对路径
Backup Directory 存方向备份文件的目标目录
Backup Size 监视的文件大小超过此值时,文件将被压缩备份到备份目录,同时清空原文件
[测试方法]
设置完监视路径和备份后,再开启监视器开关,当文件大小超过设定值时,可以检查备份的目标目录和所监视的文件内容。
7、 TCP监听端口
显示当前系统中正在监听的tcp端口及相应的地址、进程ID和进程名字。
应用程序设置
1、 iptables
显示iptables的当前规则集列表以及规则链的默认策略(policy)。
可以对iptables中的input链或output链添加一些简单的规则,包括协议类型(TCP/UDP),源地址,源端口,目的地址,目的端口,行为等。
[测试方法]
通过软件添加相应规则后测试通过网络测试相应规则是否生效。
[注意]
通过本软件对iptables的设置在重启后丢失。
2、 vsftpd
对系统中已安装未配置过的vsftpd进行一些简单的配置。
Anonym Enable 是否允许匿名用户登录Anonym Upload 是否允许匿名用户上传权限
Anonym Make Directory 是否允许匿名用户建立文件夹权限
Anonym Root Path 匿名用户的根目录路径
Local User Enable 是否允许本地用户登录
Write Enable 是否允许写权限,些开关影响所有需要用到写权限的操作
Ftp Start 启动停止ftp服务
Ftp Restore Default 初化或恢复甩的默认配置,第一次进入时必须先进行初始化
[测试方法]
配置完成后启动vsftpd,然后通过网络访问本机的ftpd服务器测试配置项是否生效。
在浏览器上输入
ftp://服务器ip/
访问ftp服务器
[注意]
本软件只能对vsftpd进行简单的配置,如果需要更加复杂的设置,请直接参考vsftpd手册编辑配置文件。使用本功能时,必须先启动一次” Ftp Restore Default”功能,对配置进行初始化,初始化以后,vsftpd之前的配置信息会丢失,同时,匿名用户的根目录设置到了/srv/ftp,同时/srv/ftp/upload目录是匿名用户的上传目录。通过软件也可以重新修改相关设置。通过软件配置完毕后,要使用配置生效,需要在软件界面上的” Ftp Start”中先关闭服务再重新打开服务(即重启服务)。
3、 samba
对系统中已安装未配置过的samba进行一些简单的配置。
Share Directory Path 共享文件夹的路径
Share Write Enable 共享文件夹的匿名写权限
Samba Start 启动停止共享
Samba Restore Default 初始化配置文件,第一次进入时必须先进行初始化
[测试方法]
配置完成后启动samba,然后通过网络访问本机的samba共享文件夹测试配置项是否生效。
在浏览器上输入
\\服务器ip\访问samba共享服务器
[注意]
参考vsftpd的注意事项。
软件卸载
在之前的解压出来的safedog_1.0.0.tar.gz目录下执行命令:
./uninstall.sh
即可。
1、安装apache2
sudo apt-get install apache2
运行如下命令重启:sudo /etc/init.d/apache2 restart
在浏览器里输入localhost或者是127.0.0.1,如果看到了It works!,那就说明Apache就成功的安装了,
===================================================================
如果此时你没有看到It works! 也不必着急,请看下面的解决办法:
需要说明的是, 普通的apache发行 版本配置文件是:
Ubuntu发行版本 的主配置文件是:
/etc/apache2/
所以,如果你看到别人配置 ,但是你却没有这很正常!
如果你没有 看到It works!那么 修改 /etc/apache2/ ,增加一行内容: ServerName 127.0.0.1:80
Apache2一些常用的命令
产生的启动和停止文件是:/etc/init.d/apache2
配置文件是:/etc/apache2
启动:sudo apache2ctl -k start
停止:sudo apache2ctl -k stop
重新启动:sudo apache2ctl -k restart
===================================================================
安装完apache之后会在/var下返现一个名为www的目录,里面有个html文件夹,这就是apache的默认web目录 ,由于Linux系统的安全性原则,改目录下的文件读写权限是只允许root用户操作的,所以我们不能在www文件夹中新建php文件,也不能修改和删除,必须要先修改/var/www目录的读写权限,执行命令:sudo chmod 777 /var/www
2、安装PHP
sudo apt-get install libapache2-mod-php5 php5
安装完后,我们要重新启动Apache,让它加载PHP模块:
sudo /etc/init.d/apache2 restart
3、测试
现在可以Web目录下面新建一个test.php文件来测试PHP是否能正常的运行:
sudo vim /var/www/test.php
然后输入:
接着保存文件,在浏览器里输入127.0.0.1/test.php,如果在网页中显示hello,world!!,那就说明PHP已经正常运行了,
简化在新的 Power System 或 System p LPAR 上安装 Linux 的过程
简化操作系统安装过程能够减少管理云计算环境所需的时间,本文讲解如何在新的 IBM Power? System 或 System p? LPAR 上自动安装 SUSE Linux?。这种安装方法也适用于安装 Red Hat Linux 或 AIX?。
云计算的特性之一就是能够将应用程序从一个处理器环境移动到另一个。这个特性要求在移动应用程序之前 存在一个接收它的目标操作系统。如果能够自动化新操作系统的安装,不是很好吗?
Intel? 架构系统的一个为人熟知的特性就是能够自动安装 Linux。不过,对于使用硬件管理控制台的 System p 或 IBM Power Systems,自动安装 Linux 是一个棘手的问题。本文讨论的解决方案的优点之一是:它是一个纯 Linux 解决方案,并且不要求您掌握任何具体的 AIX 技术。
自动化解决方案概述
这个解决方案的目标是通过使用一组易于维护和修改的配置自动化操作系统的安装。它具有以下特征:
●刚创建和安装的 LPAR 使用一个静态 IP 地址。这仅与 LPAR 的最终配置相关;您可以在安装过程使用动态主机配置协议(DHCP)。
●Automatic Linux Installation and Configuration with YaST2(AutoYaST)配置 XML 文件是很通用的,可以在许多服务器类型上使用,包括 HTTP、MySQL 等。
●AutoYaST 文件不 包含特定于系统的信息,比如 IP 地址、主机名等。
●使用这种方式自动化所有内容,这样在 HMC 上使用一个命令就可以安装新的 LPAR。
●构建和使用自动化解决方案的步骤包括:
1.配置 AutoYaST 文件
2.配置 DHCP/BOOTP 和 TFTP 服务器
3.使用 HMC lpar_netboot 命令
4.使用 -g 参数自动化 lpar_netboot
5.重用自动化解决方案
步骤 1. 配置 AutoYaST 文件
SUSE Linux 使用一个名为 AutoYaST.xml 的 XML 配置文件控制操作系统的安装。默认情况下,每次使用 AutoYaST 时它都会使用相同的配置安装系统。这使您能够获得特定于不同配置的 AutoYaST 文件。例如,您可能有一个针对 Web 服务器的 AutoYaST 文件,以及另一个针对 MySQL 服务器的 AutoYaST 文件。然而,如果服务器仅是 IP 地址和主机名不同,为它们配置和维护多个 AutoYaST 文件是相当困难的,并且很费时。
要创建一个从 DHCP 服务器获取 IP 地址和主机名的定制 AutoYaST 文件,必须从 SUSE 安装 CD 复制 AutoYaST 文件,并按以下的说明修改它:
1.将标准的 AutoYaST 文件配置为使用 DHCP。将网络区段修改为仅在首次安装操作系统时使用 DHCP。进行检查,确保这些网络区段中没有分配主机名。如果某个区段存在主机名,必须完全删除该区段。
2.如果 XML 文件包含静态 IP 信息、DNS 信息 或其他网络信息,请将这些内容从文件中删除。
3.将清单 1 中的代码复制到 AutoYaST 文件的最后一个 XML 标记之前的位置。这个新的部分包含一个脚本,它将当前的引导 DHCP 配置转换成静态网络配置(在下一次引导 LPAR 时使用该配置)。
有了这个脚本之后,就不需要单独为每个 LPAR 准备硬编码 IP 地址的 AutoYaST 文件。因此,您只需维护 DHCP 服务器。
清单 1. AutoYaST DHCP 转换脚本
步骤 2. 配置 DHCP/BOOTP 和 TFTP 服务器
这个解决方案使用标准的 Linux DHCP 服务器,该服务器是所有主要的 Linux 发行版的一部分。在这一步骤中,需要配置 DHCP 服务器以为新的 LPAR 提供网络引导信息。初始代码通过 Trivial File Transfer Protocol(TFTP)服务器装载到 LPAR。要设置网络引导,必须将 DHCP 服务器和 TFTP 服务器装载到网络中的服务器。
这个解决方案使用的 DHCP 服务器并没有配置为动态地向网络中的系统提供 TCP/IP 地址,但它能够在同一个网络上和担任这一传统角色的 DHCP 服务器共存。即使 DHCP 服务器所在的网络与引导系统的网络不同,也可以使用这种类型的配置。例如,它可以通过德克萨斯州的服务器动态地引导在纽约的系统。
要使 lpar_netboot 命令能够按照这个解决方案的 步骤 3 那样工作,则需要为每个安装的 LPAR 配置 DHCP 服务器。这个方法的优点是:自动安装 LPAR 所需的所有配置信息都包含在 文件中。因此,在前面步骤中更改的 AutoYaST 文件不需要包含任何用于定义 LPAR 网络配置的硬编码信息。
清单 2 包含了一个示例 文件。使用这个示例作为一个模型,并为每个需要配置的 LPAR 添加额外的 host 定义。本文 下载 小节的压缩文件包含一个名为 addsystem 的脚本,您可以使用它来自动化 文件的编辑过程。
每次更改 文件时,必须重启 DHCP 服务器使更改生效。
清单 2. 示例 文件
ddns-update-style. ad-hoc;
allow bootp;
subnet 0.0.0.0 netmask 0.0.0.0 {
host rcc-hny-poc-003 {
option host-name “myserver.cloud9”;
fixed-address 192.168.0.203;
hardware ethernet 16:E9:10:94:87:03;
filename “inst64”;
}
next-server 192.168.0.201;
option routers 192.168.0.201;
}
下面详细说明示例 文件中的选项:
●subnet 将该服务器配置为响应其他服务器的请求,而不考虑这些服务器在网络中的位置。因为没有将这个 DHCP 服务器配置为动态寻址,所以它将响应来自 LPAR 的引导请求,并且不影响在网络上进行正常的 DHCP 操作。
●host 部分定义每个需要配置的 LPAR。配置文件中可以拥有多个 host 部分。这个示例的 host 部分仅包含安装 LPAR 所需的最少选项(并且以后将 LPAR 作为 DHCP 客户机引导时还可以使用这个选项)。
host-name 是 DNS 分配给客户机的 IP 地址的名称。如果客户机没有 DNS 条目,这个选项应该指定需要包含在 LPAR 的本地主机文件中的名称。
fixed-address 是分配给 LPAR 的 IP 地址。这个指定的地址用于代替 DHCP 服务器的默认地址池,
这样做的优点是在每次引导操作系统时为 LPAR 保留这一 IP 地址。
hardware ethernet 指定 LPAR 的 MAC 地址。使用这个选项在安装的 BOOTP 阶段将 LPAR 和 host 条目关联起来。
●filename 指定响应 BOOTP 请求时需要装载的 Linux 内核。必须能够通过由 next-server 选项指定的服务器上的 TFTP 访问这个文件。或者,如果忽略 next-server,则必须能够通过 DHCP 服务器上的 TFTP 访问这个文件。
●next-server 指定服务器的地址。在这个服务器上,通过 TFTP 可以访问在 filename 选项中定义的 Linux 内核。如果 TFTP 服务器与 DHCP 服务器都在同一个服务器中,则可以跳过这个选项。
option routers 指定 TFTP 服务器的地址,前提是将路由器配置为在网络中不将 TFTP 服务器请求转发到 TFTP 服务器。如果 TFTP 服务器和 DHCP 服务器在同一个机器上,则可以跳过这个选项。
可以使用 SLES 发行版中的 atftpd 包配置 TFTP 服务器。TFTP 配置提供一个目录,在这里可以使用 TFTP 下载文件。下载目录通常为 /tftpboot。在 文件中的每个 host 部分的 filename 参数上指定的文件必须位于该下载目录中。
例如,对于网络安装 SUSE,该文件为 inst64 文件,可从 SUSE 安装 CD 的 /suseboot 目录获得。您需要将该文件放到 /tftpboot 目录,确保所有人都有读取它的权限。步骤 3. 使用 HMC lpar_netboot 命令
就像 HMC 可用于激活现有的 LPAR 一样,它也可用于在一个新的 LPAR 上安装操作系统。虽然 HMC 提供了一个图形用户界面,但所有 HMC 功能也可以通过命令行来使用。通过命令行可以进一步自动化这个步骤。
开始网络安装的 HMC 命令为 lpar_netboot。本文的 参考资料 小节包含详细说明如何使用 lpar_netboot 命令的链接。这个解决方案使用 lpar_netboot 通过网络引导 LPAR。
清单 3 是一个示例 lpar_netboot 命令。根据需求修改这个示例,然后在一个 LPAR 上使用它,并尝试从网络中的服务器引导它。
该示例命令假设:
●如本文的前一个步骤所述,配置 DHCP/BOOTP 服务器,使其带有新的 LPAR 的 MAC 地址,并且有一个针对 SUSE 安装程序的条目。
●通常将新的 LPAR 作为 DHCP 引导,并且在 文件中包含为它定义的静态 IP 地址。
清单 3. 示例 lpar_netboot 命令
lpar_netboot -f -t ent -m 16E910948703 -s auto -d auto -S 192.168.0.201 -G
192.168.0.201 -C 192.168.0.203 lpar1 lpar1 SystemA
注意:清单 3 使用反斜杠字符表示连续行;它不是该命令的一部分。输入命令时切勿使用反斜杠。
以下是该示例中所用的参数的详细说明:
●-m 需要引导的客户机的 MAC 地址。可以通过使用另一种形式的 lpar_netboot 命令获取 MAC 地址。
●-S 是 DHCP/BOOTP 服务器的 IP 地址。
●-G 是到达 DHCP/BOOTP 服务器所需的网关的 IP 地址。如果 DHCP/BOOTP 服务器位于本地网络,则改用 DHCP/BOOTP 服务器的 IP 地址。
●-C 是分配给被引导的客户机的 IP 地址。
●命令末尾有 3 个名称:
LPAR(lpar1)的 HMC 名
LPAR 配置名,默认情况下与 LPAR 本身同名(lpar1)
在 HMC 上拥有 LPAR 的服务器的名称(SystemA)
本文 下载 小节的压缩文件包含一个名为 autoinstall 的示例脚本。您可以将该脚本安装到 HMC 服务器,以使用本文描述的技术自动安装新的 LPAR。该脚本自动获取 LPAR 的 MAC 地址,接着调用 DHCP addsystem 脚本来配置并重启 DHCP 服务器,然后调用 lpar_netboot 命令安装 LPAR。最后,它调用一个 mkvterm 命令,使您可以看到安装过程。步骤 4. 使用 -g 参数自动化 lpar_netboot
新的 LPAR 使用本文前面提到的步骤装载 Linux 安装程序。如果从 HMC 打开一个到 LPAR 的控制台连接,就可以看到安装程序的初始屏幕。
要进一步自动化安装,可以使用 lpar_netboot 命令的 -g 参数,将其他参数传递到刚引导的系统的安装程序。Linux 发行版(比如 SUSE 和 Red Hat)允许通过网络完全自动化安装,前提是要将正确的信息传递给安装程序以启动安装。
在 -g 参数上传递的信息是一个字符串,它包含安装程序查找 SUSE AutoYaST XML 文件和 SUSE 操作系统安装 RPM 所需的信息。该信息的格式由每个发行版进行归档,并且对所有架构都是一样的(i386 和 Power 等)。
清单 4 是 -g 参数的一个示例,它从服务器启动一个自动化安装。根据需要修改这个示例,然后将它和 lpar_netboot 命令一起使用,以开始操作系统的自动化安装。
这个示例假设:
拥有一个在安装服务器上运行的 Web 服务器。这个 Web 服务器可以包含 DHCP 服务器和 TFTP 服务器,但这不是必须的。
已经将 SUSE 安装 CD 映像复制到 Web 服务器文档根目录下的一个目录中。
已经将在本文的 步骤 1 中配置的 AutoYaST.xml 文件的一个副本放置到 SUSE 安装映像所在的 Web 服务器目录中。
清单 4. 示例 lpar_netboot 服务器 -g 参数
-g “hostip=192.168.0.203 netmask=255.255.255.0
gateway=192.168.0.1 nameserver=192.168.0.1 insmod=ibmveth
install=192.168.0.201/SUSE autoyast=192.168.0.201/autoyast.xml”
注意:清单 4 使用反斜杠字符表示连续行;它不是该命令的一部分。输入命令时切勿使用反斜杠。
清单 4 中的 insmod 参数装载一个虚拟 Ethernet 适配器。如果当前引导的 LPAR 拥有一个物理 Ethernet 适配器,则不需要该参数。步骤 5. 重用自动化解决方案
现在,您已经拥有一个在云环境中轻松管理 LPAR 的配置。通过以下步骤添加新的 LPAR:
1.在 HMC 上创建 LPAR。
2.登录 HMC SSH 界面并运行 lpar_netboot,确定 LPAR 的 MAC 地址。
3.使用新的 LPAR 信息重新配置 文件。
4.重启 DHCP 服务器使对 的更改生效。
5.再次登录 HMC 并运行 lpar_netboot 以在 LPAR 上安装操作系统。
现在,您惟一需要做的就是等待操作系统安装完成。安装完成之后,您的云环境就有了一个新的 LPAR,它已经准备好接受您需要装载的进程。
我们的Linux服务器并不是安装完成后就可直接托管到机房了,
而是需要进行一系列的优化配置和安全配置等
1,关闭不需要的服务
这个应该很容易理解的,凡是我们的系统不需要的服务,一概关闭,
这样一个好处是减少内存和CPU时间的占用,另一个好处相对可以提高安全性
那么哪些服务是肯定要保留的呢?
在Linux机器上通常有四项服务是必须保留的
iptables
linux下强大的防火墙,只要机器需要连到网上,哪里离得开它
network
linux机器的网络,如果不上网可以关闭,只要上网当然要打开它
sshd
这是openssh server,如果你的机器不是本地操作,而是托管到IDC机房,
那么访问机器时需要通过这个sshd服务进行
syslog
这是linux系统的日志系统,必须要有,
否则机器出现问题时会找不到原因
除了这四项必需的服务之外,其他的服务需要保留哪些呢?
这时就可以根据系统的用途而定,比如:数据库服务器,就需要启用mysqld(或oracle)
web服务器,就需要启用apache
2,关闭不需要的tty
请编辑你的/etc/inittab
找到如下一段:
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6 这段命令使init为你打开了6个控制台,分别可以用alt+f1到alt+f6进行访问
此6个控制台默认都驻留在内存中,事实上没有必要使用这么多的
你用ps auxf这个命令可以看到,是六个进程
root3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1
root3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2
root3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3
root3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4
root3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5
root3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6 如何关闭这些进程?
通常我们保留前2个控制台就可以了,
把后面4个用#注释掉就可以了
然后无需重启机器,只需要执行 init q 这个命令即可
init q
q作为参数的含义:重新执行/etc/inittab中的命令
3,如何关闭ipv6?
ipv6目前我们还不需要,但系统安装完成后它会作为模块常驻核心,没有必要,
可以用这个步骤来关闭它:
首先编辑网络配置文件:
vi /etc/sysconfig/network
修改
NETWORKING_IPV6=yes
为
NETWORKING_IPV6=no
然后关闭其模块:vi /etc
在文件中添加以下两行
alias net-pf-10 off
alias ipv6 off
修改完成后需重启机器使之生效4,如何关闭atime?
一个linux文件默认有3个时间:
atime:对此文件的访问时间
ctime:此文件inode发生变化的时间
mtime:此文件的修改时间
如果有多个小文件时通常没有必要记录文件的访问时间,
这样可以减少磁盘的io,比如web服务器的页面上有多个小图片
如何进行设置呢?
修改文件系统的配置文件:vi /etc/fstab
在包含大量小文件的分区中使用noatime,nodiratime两项
例如:
/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0
这样文件被访问时就不会再产生写磁盘的io
5,一定要让你的服务器运行在level 3上
做法:
vi /etc/inittab
id:3:initdefault:
让服务器运行X是没有必要的
6,优化sshd
X11Forwarding no //不进行x图形的转发
UseDNS no //不对IP地址做反向的解析
7,优化shell
修改命令history记录
# vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=100
然后 source /etc/profile
现在服务器安全软件也是铺天盖地的,不过稍微选错了,就有可能起不到安全的效果,反而让服务器不安全,
先用一款现在比较流行的服务器安全软件来测试,新安装的
(由于虚拟机explorer.exe出了点问题,所以凑合看这个目录吧)
然后我们此软件安装目录的iis文件夹中的log目录,右键属性,他的权限竟然是
可读可写可运行,这就又产生出了一个可执行目录,上次adslless让我帮他提权,也是利用了这个软件的这一漏洞,
而且,如果软件编写的时候有问题,就会导致服务器的崩溃。
而另外一款软件,开启后默认设置就关闭了FSO,这样虽然是安全了,但是导致了一些正常程序无法运行,我一个朋友就是因为这个软件默认就把fso给关了,导致他的网站无法打开,弄了好半天也没弄好。。
所以,最安全的服务器,应该是手动设置权限的,应该慎装服务器安全软件。
摘自:网络安全技术博客