CentOS4.4系統基本安全設置
在向大家詳細介紹CentOS4.4系統環境之前,首先讓大家了解下CentOS4.4基本安全設置,然后全面介紹CentOS4.4系統環境,希望對大家有用。CentOS Linux作為眾多Linux發行版中的一個,有著獨特的個性,那就是CentOS Linux 與Red Hat Linux企業版(RHEL)保持著密切的關聯。CentOS Linux的起源還要從著名的Linux發布商Red Hat公司的發行版產品說起。
系統約定
1、CentOS4.4系統環境
OS:CentOS-4.4.ServerCD-i386
Apache:2.2.4
MySQL:4.0.26
PHP:4.3.11
ZendOptimizer:3.2.2
phpMyAdmin:
2、源碼包存放位置 :/usr/local/src
#為什么一定要在/usr/local/src/下進行Tarball呢?這僅是約定俗成的,因為如此一來,大家都安裝在這個地方,以后主機的維護與移交都很簡單,并且對于將來在主機上面進行“升級”與”版本識別“都有很好的幫助。
CentOS4.4系統環境部署及調優
1、基本安全設置
對于一個在Internet上提供服務的主機,安全性很重要,這方面的工作包含主機的包漏洞修補、關閉并不是必須的守護進程(端口)、防火墻配置以及每日的日志分析等。在裝完CentOS4.4系統后,建議按照以下步驟來進行安全設置:
1)關閉并不是必須的守護進程(端口)
CentOS4.4系統安裝完成后,一些可能并不是必須的守護進程會啟用。禁用非必要的進程會減少CentOS4.4系統的內存開銷,同時也可以減少系統的安全隱患,可以釋放更多的內存空間、減少系統的啟動時間、減少CPU處理的進程數量。
默認情況下,很多守護進程可以安全的在CentOS4.4系統下停止和禁用。下表列出了CentOS4.4安裝(安裝時軟件包只選擇開發工具一項)的一些守護進程,如果不是必須的你可以考慮禁用這些進程。
進程描述acpid提供高級電源管理。建議保留anacron
一個自動化運行任務守護進程。Red Hat Linux 隨帶四個自動化任務的工具cron、anacron、at、和 batc。當你的Linux服務器并不是全天運行,這個anacron就可以幫你執行在"crontab"設定的時間內沒有執行的工作。
apmd
apmd(Advanced Power Management)是高級電源管理。傳統的電源管理標準,對于筆記本電腦比較有用,可以了解系統的電池電量信息。并將相關信息通過syslogd 寫入日志。也可以用來在電源不足時關機。
atd
計劃任務(執行一次)守護進程。建議保留
autos
自動mount文件系統進程(例如自動mount光驅),在服務器系統上文件系統很少使用自動mount功能。關閉
cpuspeed
動態調整CPU頻率的進程,在服務器系統中這個進程建議關閉。
crond
計劃任務(循環執行)守護進程。建議保留
cups
通用UNIX打印系統,如果你計劃在服務器上運行打印服務就不要關閉這個進程。
gmp
文本終端的鼠標服務,如果你想在本地文本終端支持鼠標就不要禁用這個進程。
haldaemon
和Windows的硬件管理類似,掛載U盤等必不可少。建議保留
iptables
這個是防火墻守護進程,無論如何,先啟動它。
irqbalance
在多個處理器之間平衡中斷,如果你使用一個單CPU系統或者你計劃靜態的平衡中斷可以禁用這個進程。
isdn
ISDN調制解調器支持,如果你準備在服務器上支持ISDN調制解調器就不要禁用這個進程。
kudzu
檢測和配置新硬件,如果硬件配置改變了應該手動運行。
mdmonitor
RAID相關設備的守護程序。
messagebus
掛載U盤時,要確保haldaemon和messagebus服務啟動,所以這個也建議保留。
microcode_ctl
可編碼以及發送新的微代碼到內核以更新Intel IA32系列處理器守護進程。建議保留
netfs
用于支持NFS共享,如果你準備在服務器上支持NFS共享就不要禁用這個進程。
network
激活/關閉啟動時的各個網絡接口守護進程。
nfslock
對nfs啟用文件鎖,如果你準備在服務器上支持NFS共享就不要禁用這個進程。
pcmcia
Pcmcia支持,在服務器上很少使用pcmcia適配器因此可以安全的禁用這個進程。
portmap
為RPC服務動態分配端口(例如NIS和NFS),如果系統沒有支持RPC服務可以禁用這個進程。
rawdevices
提供對裸設備綁定的支持,如果你不準備在系統中使用裸設備可以禁用這個進程。
rpcgssd
主要用于NFS和Samba的多個遠程調用進程,如果系統沒有基于rpc服務的支持,可以禁用這個進程。
rpcidmapd
同上
sendmail
郵件傳輸代理,如果服務器需要支持郵件服務就不要禁用這個進程。
smartd
使用S.M.A.R.T兼容設備的進程,如果你不是使用IDE/SATA磁盤子系統,可以禁用這個進程。
sshd
OpenSSH服務器守護進程,如果你不需要遠程管理主機,可以關閉,不過應該沒有幾個人不需要這個服務吧。
syslog
把各類事件寫入日志,是相當重要的服務,務必啟動。
xfs
X Window的字體服務,如果你的運行級別是5請不要禁用這個進程。
xinetd
支持多種網絡服務的核心守護進程。務必啟動。[root@localhost ~]# ntsysv
#根據自己的需要,使用ntsysv工具來啟用那些里程。
[root@localhost ~]# reboot
#重新啟動使設置生效
[root@localhost ~]# netstat -an |more
#......信息略......
#檢查一下當前開啟的端口
#netstat是個很重要的命令,請大家務必掌握,這部份的知識自行在網上查閱。
2)基本防火墻配置
[root@localhost ~]# /etc/rc.d/init.d/iptables stop
#防火墻開啟
[root@localhost ~]# /etc/rc.d/init.d/iptables start
#防火墻開啟
[root@localhost ~]# vi /etc/sysconfig/iptables
#根據自己的情況增加防火墻規則。
[email=root@localhost]root@localhost[/email] ~]# iptables-save > filename
#上面的命令用于將當前主機上的防火墻規則保存到filename文件。
root@localhost ~]# iptables-restore
LANG="zh_CN.GB18030"
[root@localhost ~]# reboot
#重新啟動要設置生效
如果臨時需要英文環境,執行以下命令即可。
[root@localhost ~]# export LANG='en_US'
2)對TCP/IP網絡參數進行調整,加強抗syn_flood能力
[root@localhost ~]# echo 'net.ipv4.tcp_syncookies = 1' >> /etc/sysctl.conf
[root@localhost ~]# sysctl –p
3)網絡校時
[root@localhost ~]# date
#確認CentOS4.4系統時間是否正確
[root@localhost ~]# ntpdate 210.72.145.44
#與中國國家授時中心進行時間校正
[root@localhost ~]# yum install ntp
#安裝ntpdate程序。CentOS4.4系統雖然默認沒有安裝這個套件,但我們可以很方便的通過yum工具來在線安裝。
[root@localhost ~]# crontab -e
CODE
[Copy to clipboard]
0 23 * * * root /usr/sbin/ntpdate 210.72.145.44 > /dev/null 2>&1#以上命令設置好后存盤。您的機器將在每天的23:00根據中國國家授時中心的NTP服務器時間自動校準時間。
#關于linux下定時執行工具crontab的介紹請見
http://hi.baidu.com/monobao/blog/item/01e9ecdcbc6a14a1cc11665b.html
3、安裝LAMP套件所必需的包
[root@localhost ~]# vi install.sh
CODE
[Copy to clipboard]
yum install gcc
yum install cpp
yum install gcc-c++
yum install ncurses
yum install ncurses-devel
yum install gd-devel php-gd
yum install zlib-devel
yum install freetype-devel freetype-demos freetype-utils
yum install libpng-devel libpng10 libpng10-devel
yum install libjpeg-devel
yum install ImageMagick
yum install flex
yum install ImageMagick-devel [root@localhost ~]# sh install.sh
#為了方便,直接這些軟件包在線安裝的指令行編寫到到腳本(Shell Script)中,下次用到時,你只需執行這個腳本就能自動安裝了。因為Shell Script是利用您平日在使用的一些指令,將之組合起來,成為一個"程式"。如果您平日某些序列的指令下得特別頻繁,便可以將這些指令組合起來,成為另一個新的指令。這樣,不但可以簡化并加速操作速度,甚至還可以乾脆自動定期執行,大大簡化CentOS4.4系統管理工作。
下面正式步入LAMP的的安裝步驟,開始安裝之前,先了解一下源碼編譯方面的知識。
【編輯推薦】
