RH413-RHEL6.4课程总结

RH413-RHEL6.4课程总结 Unit1 Tracking Security Updates 更新分以下三类 RHSA RHBA RHEA yum updateinfo list    查看所有更新 yum updateinfo list --cve=CVE-2013-0755查看某一更新 yum --security list updates    查看安全更新 yum updateinfo list | grep 'Critical'|cut -f1 -d''|sort -u|wc -l Unit2 Managing Software Updates rpm -qa >/root/pre-update-software.$(date +%Y%m%d)    把安装的所有的软件包导入到一个文件 yum updateinfo >/root/updateinfo-report.$(date +%Y%m%d) yum update --security -y    只更新安全的包,安装前gpgcheck=1要开启 yum update --cve=<CVE>    可以更新具体的 rpm --import <GPG-KEY-FILE>    导入安装包的key rpm -qa |grep gpg-pubkey    查看可信的GPG keys rpm -qi gpg-pubkey    查看安装包的详细信息 rpm -K    rpm package    查看安装包的md5值是不是正确 rpm -vvK rpm package    给出调试信息 rpm -qp --scripts rpm package    查看安装包有没有脚本运行 Unit3 Creating File Systems lvcreate -l 100%FREE -n lvname vgname    -l, --extents LogicalExtentsNumber[%{VG|PVS|FREE|ORIGIN}] cryptsetup luksFormat /dev/vgname/lvname    键入YES开始加密格式化，输入密码 cryptsetup luksOpen   /dev/vgname/lvname  luksname    打开并命名 mkfs -t ext4 /dev/mapper/luksname    设置文件系统 mkdir    /secret mount    /dev/mapper/luksname    /secret umout    /secret cryptsetup luksClose luksname    关闭加密 dd if=/dev/urandom of=/path/to/passsword/file bs=4096 count=1    加密文件也可以用明文 chmod    600 /path/to/password/file cryptsetup luksAddkey /dev/vdaN  /path/to/password/file        这里也需要输入密码 touch /etc/crypttab luksname  /dev/vgname/lvname     /path/to/password/file 在/etc/fstab添加如下 /dev/mapper/luksname    /secret     ext4  defaults 1 2    这样就可以开机自动挂载加密分区了 Unit4 Managing File Systems nosuid,noexec    命令没有suid权限和执行权限 tune2fs -l /dev/vd1 |head -n 19 tune2fs -l /dev/vda1 |grep 'mount options' tune2fs -o user_xattr，acl /dev/vda1    给分区添加acl权限，也可以修改/etc/fstab文件 lsattr    查看文件特殊属性 chattr    +、-    语法 a    只能追加 i    禁止修改 Unit5 Managing Special Permissions suid    setUID guid    setGID chmod u+s /path/to/procedure    所有人对程序有运行权限 chmod g+s /path/to/dir   文件夹下生成的文件的所属组不变 find /bin -perm /7000  查找/bin下所有特殊权限位 find /bin -perm  4000  精确查找 find /bin -perm -4000  setUID find /bin -perm -2000  setGID find /bin -perm -6000  setUID and setGID 还可以用/6000 Unit6 Managing Additional File Access Controls umask    查看umask值 getfacl somefile    查看文件ACLs（access control lists） setfacl -m u:bob:rwx /path/to/file    bob拥有所属者和所属组权限 setfacl -m d:u:smith:rx subdir    d默认u用户rx权限subdir子目录 setfacl -m o::r /pat/to/file    所有人可读 Unit7 Monitoring For File System Changes AIDE （Advanced Intrusion Detection Environment）高级***检测环境 它的主要功能是检测文档的完整性 yum install -y aide    使用aide监控文件的权限 grep PERMS /etc/aide.conf    添加要监控的文件 PERMS = p+i+u+g+acl+selinux    p权限，inode，u用户，g用户组 /etc    PERMS /root/\..* PERMS aide --init        初始化数据库 mv /var/lib/aide/aide.db.new.gz /var/aide/aide.db.gz aide --check    对上文文件进行更改，check核实 Unit8 Managing User Accounts chage -m 0 -M 90 -W 7 -I 14  username -m min days -M max days -W warn days -I inactive days chage -d 0 username 用户下次登录要修改密码 chage -l username  列出用户配置信息 userdel -r username    ***用户时同时***目录 grep PASS_M /etc/login.defs 可以在配置文件里修改， 对新添加用户生效 #       PASS_MAX_DAYS   Maximum number of days a password may be used. #       PASS_MIN_DAYS   Minimum number of days allowed between password changes. #       PASS_MIN_LEN    Minimum acceptable password length. PASS_MAX_DAYS   30 PASS_MIN_DAYS   3 PASS_MIN_LEN    8 getent passwd |cut -d: -f3 |sort -n |uniq -d 看看系统中有没有重复的账号 Unit9 Managing Pluggable Authentication Modules PAM    可插拔的认证模块，可以按需要动态的对验证的内容进行变更，所以可以大大提高验证的灵活性 1、认证管理（authentication management） 接受用户名和密码，进而对该用户的密码进行认证，并负责设置用户的一些秘密信息 2、帐户管理（account management） 检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等 3、密码管理（password management） 主要是用来修改用户的密码 4、会话管理（session management） 主要是提供对会话的管理和记账（accounting） inux各个发行版中，PAM使用的验证模块一般存放在/lib/security/目录下，可以使用ls命令进行查看本计算机支持哪些 验证控制方式，一般的PAM模块名字例如pam_unix.so，模块可以随时在这个目录下添加和***，这不会直接影响程序运 行，具体的影响在PAM的配置目录下。 PAM的配置文件一般存放在/etc/pam.d/目录下。 查看某个程序是否支持PAM，使用命令： ldd `which cmd` | grep libpam  //cmd就代表查看的程序名 如果包含libpam库，那么该程序就支持PAM验证。 ldd `which login` |grep libpam               libpam.so.0 => /lib64/libpam.so.0 (0x000000326d200000)         libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x000000326b600000) /etc/pam.d Configuration File Syntax type control module [module arguments] grep maxlogins /etc/security/limits.conf    #<domain>      <type>  <item>         <value> #        - maxlogins - max number of logins for this user @student        -       maxlogins       4    配置用户同时最大登录次数 @qa        hard    cpu        1    配置cpu使用时间 限制用户密码错误输入次数 cat /etc/pam.d/system-auth    同样password-auth也要改 #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth        required      pam_env.so auth        required      pam_tally2.so onerr=fail deny=3 unlock_time=180 3次错误禁止3分钟 auth        sufficient    pam_fprintd.so auth        sufficient    pam_unix.so nullok try_first_pass auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success auth        required      pam_deny.so account     required      pam_tally2.so    还要注意放置的位置 account     required      pam_unix.so pam_tally2    查看用户 pam_tally2 --reset -u username    重置释放禁用用户 Unit10 Securing Console Access 加密方式不一样$6 sh256  $1 md5 grub-crypt Password: Retype password: $6$01wSV5m9GBdGdQ3J $oroEE6jjedQ59yQqJlxwAc1MBPSrdm6ufuUJil5rJaXmLgYNbsjz1F.kQlcrZYcrO5y9h014VkGCsH5PN7TTg. grub-md5-crypt Password: Retype password: $1$HqxBl1$DVC9jyW6HXZ8.vAlPo2QR1 cat /etc/grub.cfg password --encrypted $6$01wSV5m9GBdGdQ3J $oroEE6jjedQ59yQqJlxwAc1MBPSrdm6ufuUJil5rJaXmLgYNbsjz1F.kQlcrZYcrO5y9h014VkGCsH5PN7TTg. /etc/issue    认证前显示 /etc/motd  Message Of The Day and historically 认证后显示 /etc/ssh/sshd_config PermitRootLogin no 禁止root用户ssh登录 Unit11 Installing Central Authentication IdM(Identity Management) chkconfig NetworkManager off;service NetworkManager stop    关闭NetworkManager,否则ipa-server安装 不上 /etc/sysconfig/network-scripts/ifcfg-eth0    网卡配置静态IP,网关,DNS都要配置NM_CONTROLLED=no /etc/hosts    本机的做解析   ip   server.example.com    server yum -y install ipa-server ipa-server-install --idstart=2000 --idmax=20000  注意给uid加上一个区间 安装完成需要开启下列端口： TCP Ports: 80,443  HTTP/HTTPS 389,636 LDAP/LDAPS 88,464    kerberos UDP Ports: 88,464    kerberos 123    ntp 也可用命令行指定具体参数，这样就不需要在上面交互式指定 ipa-server-install --hostname=server.example.com -n example.com -r EXAMPLE.COM -p redhat123 -a redhat123 -U service sshd restart kinit admin        初始化，若是普通用户第一次要修改密码 ipa user-find admin    验证 剩下的添加用户，添加组，修改配置信息都可以在浏览器上操作https://server.example.com 登陆名admin 密码 redaht123 客户端安装如下： yum -y install ipa-client ipa-client-install --mkhomedir 注意要给新用户生成目录 安装的过程中要用admin redhat123认证一下 也可以用非交互式安装 ipa-client-install --domain=example.com --server=server.example.com --realm=EXAMPLE.COM -p admin -w redhat123 --mkhomedir -U 最后idm上的用户就可以在client上登陆了，登陆后自动生成家目录 Unit12 Managing Central Authentication kinit admin ipa pwpolicy-show 命令行查看策略 kpasswd bob  为用户修改密码 这些都可以在浏览器上操作，包括sudoers,用户能使用的命令等 Unit13 Configuring System Logging ryslog-gnutls安装后支持TLS port 6514 日志服务器分为服务端和客户端 服务端配置如下： /etc/rsyslog.conf    打开端口模块，支持TCP和UDP这里打开的是TCP # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 /etc/rsyslog.d/remote.conf    这个文件是在rsyslog.d目录下新建的 :fromhost,isequal,"client.example.com" /var/log/client/messages :fromhost,isequal,"client.example.com" ~    添加~后客户端的信息只保存在上面的文件中 客户端配置如下： /etc/rsyslog.conf 先注释所有日志发送端口，本地不保留 *.* @@(o)server.example.com:514        两个@是走TCP（o）是为后面的端口号用 logrotate日志分割工具 其实还有个logwatch工具，可以把服务器重要信息每天发送给指定邮箱 Unit14 Configuring System Auditing /etc/sysconfig/auditd /etc/audit/auditd.conf    默认端口号tcp 60 /etc/audit/audit.rules    man rules查看语法 remote logging with auditd  /etc/audisp/plugins.d/syslog.conf  setting active=yes 后并重启auditd服务 可以用syslog发送信息到远程服务器 安装audispd-plugins包后(每个客户端，这是多节点)，可以开启/etc/audisp/plugins.d/au-remote.conf active=yes把审核日志发送到日志服务器 具体语法可以man auditctl /etc/audit/audit.rules -w  /path/to/file -p rwxa -k key -e 2 -w 指定审核文件路径 -p 访问权限  r读w写x执行a属性改变 -k key -e 设置enabled flag，可以是0,1,2 设置2后/etc下其他文件就不要加进来，有问题得重启 Unit15 Controlling Access to Network Services iptables 防火墙 iptables -L iptables -F iptables -X iptables -Z iptables -A INPUT -i lo -j ACCEPT    系统服务用 iptables -A INPUT -m state --stat ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 80 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 514 -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -j LOG iptables -A INPUT -j REJECT server iptables save    保存记录 cat /etc/sysconfig/iptables    默认保存位置 iptables -nvL --line-numbers    查看核查 另外一个比较有用的地方，用于PPTP服务器，拨号进入后上网问题-s网段是PPTP服务器自动分配的IP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE