找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 2997|回复: 0

[【原创】] 一个用于远程管理的安全linux系统的安装配置过程

[复制链接]
发表于 2009-3-2 11:01:15 | 显示全部楼层 |阅读模式
使用Trustix Secure Linux
1. 下载并安装Trustix Secure Linux(网上到处都有,一抓一大把)
安装内容可以在安装过程中定制(如果徒省事,选择everything),安装过程中输入grub密码(可以不输),root密码(一定记牢),创建一个普通用户,输入网卡ip、netnask、dns等
2. 安装完毕配置ssh(ssh安全性很好,可使用证书远程登录)
设置只开放ssh2,关闭密码认证,关闭root登录,这样如果别人想攻破你的网站必须做到
A. 他有你的安全证书
B. 他知道你的证书密码
C. 他要有你的root密码
而同时有这三样东西的可能微乎其微
Sshd_config的一个配置样例如下:
Port 22
Protocol 2
ListenAddress 0.0.0.0
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PermitEmptyPasswords no
PermitUserEnvironment no
Subsystem sftp /usr/libexec/ssh/sftp-server
配置sshd_config之后,在/etc/rc3.d下运行
ln –s K??sshd S??sshd (??为数字,不同linux版本??可能不同,总之为包括ssh的那个文件
从普通用户登录(你需要远程登录的帐户,没有的话用useradd命令加入)
运行ssh-keygen(该命令有许多参数可选)产生ssh2的key文件,这样在用户目录下生成 .ssh目录,进入这个目录运行
Cp id_rsa.pub authorized_keys (生成接受证书登录的认证文件,id_rsa.pub、id_rsa为ssh-keygen生成的默认文件,如果你改名了,要应用你改名的文件)
重新启动linux服务器,sshd服务功能就可以使用了
将id_rsa、id_rsa.pub文件copy到你远程控制电脑上,用securecrt等软件就可以远程控制该服务器了
3. 配置好ssh之后,服务器是可以远程控制了,但交换数据不方便啊,下一步我们安装ftp
使用vsftp(顾名思义very secure ftp)功能很强,很安全,为了进一步保证安全,我们设置服务器只能以虚拟帐户登录,而不是用linux帐户登录,这样即使别人知道了你的ftp帐户,也不能对你的系统产生危害
Vsftp可以使用xinetd或者独立daemon方式启动,以独立daemon方式为例,vsftpd.conf的一个配置样例如下:
anonymous_enable=NO
local_enable=YES
chroot_local_user=YES
#guest_enable=YES
#guest_username=virtual
listen=YES
listen_port=21
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/user_config
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30999
同样/etc/rc3.d下ln –s K??vsftpd S??vsftpd
虚拟帐户如何设置呢?
a. 虚拟帐户用pam控制,进入/etc/pam.d,编辑vsftpd,其中一个配置样例如下:
Auth required /lib/security/pam_userdb.so db=/etc/vsftpd
Account required /lib/security/pam_userdb.so db=/etc/vsftpd
b. 创建帐户密码文件,文本文件即可,比如ftp.txt内容如下:
User1
Pass1
User2
Pass2
…….
c. 运行db_load –T –t hash –f ftp.txt /etc/vsftpd.db
d. /etc/vsftpd/user_config下创建每个ftp虚拟帐户的配置权限,一个配置如下:
local_root=/ftp/download
write_enable=NO
anon_upload_enable=NO
anon_other_write_enable=NO
anon_mkdir_write_enable=NO
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual
该配置为该帐户之用/ftp/download目录下的下载权限,没有删除权限
注意由于该帐户模拟linux的virtual帐户,使用要确保该帐户存在
e. 重新启动服务器,用flashfxp等软件连接,应该正常成功
4. 其他配置以后有时间再说
5. 很重要一点,时刻关注软件漏洞,及时升级。比如上面我们安装的ssh、vsftp如果存在漏洞也会被攻破。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-23 01:57 , Processed in 0.111331 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表