RHEL6服务器操作系统参数及安全配置

上海有限责任公司计费信息中心 主机设备安装检查确认表 系统参数及安全配置检查确认表系统参数及安全配置检查确认表 手册说明 V1 3 5 手册名称RHEL6 服务器操作系统参数及安全配置检查确认表 修订历史 REVISION HISTORY RevSectionTypeDateAuthorRemarks 1 0All2012 5 18 温士帅创建第一个版本 1 1 语言环境 建议的服务包 部分增加 禁用 IPv6 安装 FTP 配置时钟同步 2012 5 21 林东晖补充修改 1 1 1 修改禁用 IPv6 配置 增强配置兼容性 2012 5 21 林东晖修改禁用 IPv6 1 1 2 修正密码策略部分 加入配置文件对象文件 2012 5 24 林东晖修正密码策略部分 1 2 调整段落次序 2012 7 4 温士帅修改网卡绑定部分内容 1 2 1 新增时区和时间修改方法 2012 7 4 温士帅修改和完善始终同步设置 1 2 2 修改 IPv6 禁用的配置方法 2012 7 30 温士帅 修改禁用 IPv6 和网卡绑定冲 突的问题 1 2 3 1 参考集团基线安全加固 2 提升稳定性配置 2012 08 05 温士帅 1 2 4 修正错误和不合理 2012 08 23 温士帅 1 2 5 添加 nmon 安装方法 网卡绑定修正增加 bonding conf 的配置 时钟同步 修正了同步到硬件时钟 2012 09 03 温士帅 上海有限责任公司计费信息中心 主机设备安装检查确认表 1 2 6 确认语言环境 内核参数调整 有效期管理 使用 telnet 和 ssh 调整日志保存 指定日志保存文件 2012 09 19 石成珂 修改语言变量设置 添加 limits conf 参数配置 追加 login defs 文件参数配 置 追加 sshd config 文件参数 配置 添加 rsyslog 日志参数配置 1 2 7 修正错误 2012 09 24 温士帅 SELINUX 配置的错误 hosts equiv 写错 1 3 建立自动化配置脚本 2012 09 26 温士帅 1 3 1 自动化脚本更新到 1 3 3 版本 2012 10 23 温士帅修正自动化配置脚本 bug 1 3 2 修改 参数优化 部分 2012 10 26 温士帅新增用户资源限制部分优化 1 3 3 修改自动化配置脚本 2012 10 27 温士帅 增加参数优化 ulimit 配置 自动执行 1 3 4 修正 sysctl conf 配置的错误 修改 rhelstdmk 脚本默认配置的错误 2014 4 16 温士帅 参数配置 左右必须有空格才 是有效的配置 Ntpdate 需要加入绝对路径 1 3 5 更新网卡 bond 方式配置 2014 5 8 温士帅 新增网卡绑定的 arp 探测方 式的配置 可以对网卡链路 up 但是网关不通的情况进行 切换 上海有限责任公司计费信息中心 主机设备安装检查确认表 1 3 6 修正自动配置脚本 bug 2014 5 30 温士帅 自动配置脚本 TMOUT 设置错 误 已修正 填表人 填表时间 审核人 审核时间 上海有限责任公司计费信息中心 主机设备安装检查确认表 主机基本信息主机基本信息 主机名 IP 地址 CPU 型号 主频 数量 TPMC 内存 存储适配卡 网卡1000M 光纤卡 4 1000M UTP 卡 双绞线 4 内置磁盘 序列号 是否配置 Cluster 操作系统版本 用户列表 组名帐号名称类型状态用途 表一表一 性能专题问题检查性能专题问题检查 项目建议配置值及配置方法实际配置值或者确认结果备 注 基 础 环 境 关闭图形界面建议设置 一般作为服务器端 不需要图形化桌面的界面 关闭图形桌面 相关设置可以提升系统稳定性 应用有特殊图形桌面要求的除外 编辑 etc inittab 将如下行 id 5 initdefault 改为 id 3 initdefault 上海有限责任公司计费信息中心 主机设备安装检查确认表 停止相关桌面工具服务 chkconfig NetworkManager off chkconfig haldaemon off 重启后验证系统只有字符界面登录 确认语言环境检查系统当前默认语言环境 执行如下命令 locale LANG en US UTF 8 如果是非 English 环境 请修改至 English 环境 编辑 etc sysconfig i18n 增加或编辑 LANG 开头的行为如下内容 LANG en US UTF 8 如果需要配置中文环境 则 LANG zh CN GBK 也可通过命令 system config language 配置 默认 基 础 配 置 本地 YUM 源配 置 创建放置安装文件的本地目录 rhel6 将安装光盘中的所有文件复制到 rhel6 文件夹 进入光盘所在目录 使用 cp 命令将所有文件复制到 rhel6 文件夹 mkdir rhel6 mount dev cdrom mnt cp r mnt rhel6 进入 etc yum repos d 目录 将现有文件复制为 rhel6 local repo 使用 vi 命令对 rhel6 local repo 文件做如下修改 并保存退出 etc yum repos d rhel6 r epo OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 rhel6 Name RHEL 6 baseurl file rhel6 enabled 1 gpgcheck 1 gpgkey file etc pki rpm gpg RPM GPG KEY redhat release 依次执行 yum clean all 命令和 yum list 命令 我在 10 10 104 123 上放了个 ISO 镜像 网络能访问到的可以设置成以下的 yum 配置 rhel6 Name RHEL 6 baseurl ftp rhel61 vfr43edc 10 10 104 123 rhel61 iso enabled 1 gpgcheck 1 gpgkey file etc pki rpm gpg RPM GPG KEY redhat release 服 务 包 建议的服务包 增加常见依赖软件包增加常见依赖软件包 yum install binutils compat libstdc elfutils libelf elfutils libelf devel gcc gcc c glibc glibc common glibc devel glibc headers ksh libaio libaio devel libgcc libstdc libstdc devel make sysstat unixODBC libXp yum install system config screen iotop expect pexpect IOS 手工传上去 在 1 台机 器弄完后可以用 nfs 方式共 享 本地 YUM 源配置 这个要先 做 OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 OpenIPMI ipmitool iptraf rpm kernel devel kernel doc tuned 碰到装不上去吧 install 替换为 update yum update binutils compat libstdc elfutils libelf elfutils libelf devel gcc gcc c glibc glibc common glibc devel glibc headers ksh libaio libaio devel libgcc libstdc libstdc devel make sysstat unixODBC libXp 配置关闭 SElinux 关闭 SElinux 编辑 SElinux 配置文件 etc selinux config 将 SELINUX enforcing 改为 SELINUX disabled 修改完毕后保存退出 系统重启后 才能关闭 SElinux OK 配置关闭 Firewall 关闭 Firewall 以 root 身份登入执行命令 service iptables stop 关闭 iptables 服务 chkconfig iptables off 开机不启动 iptables 服务 OK 关闭不需要的 服务 检查命令 chkconfig list grep i E shell login exec talk ntalk imap pop 2 pop 3 finger auth Anancron Cups Gpm Isdn Kudzu Pcmcia Rhnsd sendmail snmpd 如果哪个服务 xxx 开启了 可以用以下命令关闭 无需重启 service 服务名 xxx stop chkconfig 服务名 xxx off 注意关闭前确认该服务与应用无关注意关闭前确认该服务与应用无关 基 本 服 务 关闭不必要的 远程操作服务 主要是主要是 rlogin rsh rexec 接入域的主机务必关闭 接入域的主机务必关闭 HA 和和 rac 系统除外 系统除外 检查命令 chkconfig list grep i E rlogin rsh rexec 上海有限责任公司计费信息中心 主机设备安装检查确认表 如果哪个服务 xxx 开启了 可以用以下命令关闭 无需重启 service 服务名 xxx stop chkconfig 服务名 xxx off 注意关闭前确认该服务与应用无关注意关闭前确认该服务与应用无关 配置关闭 IPv6方法一 有网卡绑定的不能采用 1 创建或编辑 etc modprobe d ipv6 conf 加入下面的行 options ipv6 disable 1 install ipv6 bin true blacklist ipv6 2 禁用 ip6tables 服务 chkconfig ip6tables off 3 重启系统禁用 IPv6 reboot 方法二 适合有网卡绑定的 1 创建或编辑 etc modprobe d ipv6 conf 加入下面的行 options ipv6 disable 1 blacklist ipv6 2 禁用 ip6tables 服务 chkconfig ip6tables off 3 重启系统禁用 IPv6 reboot OK 安装 FTP 服务无特别需求不建议安装无特别需求不建议安装 ftp 服务服务 1 安装 vsftpd 软件包 OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 yum install vsftpd yum install ftp 2 禁用 ftp 的 anonymous 登录 修改 etc vsftpd vsftpd conf 文件中下面的配置 anonymous enable NO 3 手工启动 vsftpd 服务 service vsftpd start 注意 vsftpd 默认禁止 root 用户访问 需要创建普通用户使用 4 设置随系统自动启动服务 chkconfig level 345 vsftpd on 网 络 设 置 网卡 IP 及绑 定设置 配置修改网络配置文件 进入配置文件目录 etc sysconfig network scripts 添加 bond0 设备配置文件 ifcfg bond0 绑定网卡 bond0 配置文件内容 DEVICE bond0 ONBOOT yes BOOTPROTO static IPADDR 192 168 1 1 NETMASK 255 255 255 0 GATEWAY 192 168 1 254 USERCTL no BONDING OPTS mode 1 miimon 100 primary eth0 该方式依据链路 状态进行切换 不能对交换机层面故障 BONDING OPTS mode 1 arp interval 1000 arp ip target 192 168 1 254 网关地址 推荐采用该模式 用 arp 两层 OK ifcfg bond0 上海有限责任公司计费信息中心 主机设备安装检查确认表 探测方式来检测链路状态 一般配置对网关进行 arp 探测 说明 miimon 是用来进行链路监测的 比如 miimon 100 那么系统每 100ms 监测一次链路连接状态 如果有一条线路不通就转入另一条线路 mode 的值表示工作模式 他共有 0 1 2 3 四种模式 常用的为 0 1 两种 mode 0 表示 load balancing round robin 为负载均衡方式 两块网卡都工作 mode 1 表示 fault tolerance active backup 提供冗余功能 工作方式是主备 的工作方式 也就是说默认情况下只有一块网卡工作 另一块做备份 bonding 只能提供链路监测 即从主机到交换机的链路是否接通 如果只是交换机 对外的链路 down 掉了 而交换机本身并没有故障 那么 bonding 会认为链 路没有问题而继续使用 修改第一块物理网卡 ifcfg eth0 配置文件内容 DEVICE eth0 MASTER bond0 SLAVE yes ONBOOT yes BOOTPROTO none USERCTL no 修改第二块物理网卡 ifcfg eth1 配置文件内容 DEVICE eth1 MASTER bond0 SLAVE yes ONBOOT yes BOOTPROTO none USERCTL no 上海有限责任公司计费信息中心 主机设备安装检查确认表 bonding 模块设置 etc modprobe d bonding conf 文件中添加如下内容 alias bond0 bonding 重启启动 network 服务 使配置生效 service network restart 查看网卡绑定工作情况 cat proc net bonding bond0 参 数 优 化 内核参数调整注意 以下只是推荐参数 具体如何配置请和该主机应用人员商议确认 注意 以下只是推荐参数 具体如何配置请和该主机应用人员商议确认 使用 vi 编辑 etc sysctl conf 添加以下内容 内存部分内存部分 vm swappiness 10 降低内存交换到磁盘的倾向 vm min free kbytes 409600 最小保留空闲内存 400M vm vfs cache pressure 200 增加加虚拟内存回收 directory 和 i node 缓冲的倾向 vm dirty ratio 5 系统 Cache 配置为内存的 5 网络部分 注意等号左右必须有空格才有效注意等号左右必须有空格才有效 net core rmem default 262144 OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 net core rmem max 4194304 Receive socket buffer size net core wmem default 262144 net core wmem max 4194304 Send socket buffer size net ipv4 tcp rmem 4096 262144 4194304 net ipv4 tcp wmem 4096 262144 4194304 TCP socket buffer size net ipv4 ip local port range 40000 65000 Network port range 65000 使配置生效 sysctl p 用户资源限制1 删除 etc security limits d 目录下所有文件 2 修改两个文件 etc pam d sshd 和 etc pam d login 增加 session required lib64 security pam limits so session required pam limits so 3 重启 sshd 服务 service sshd restart 4 修改 etc security limits conf 文件 增加以下内容并保存 soft nofile 32768 hard nofile 65536 soft nproc unlimited hard nproc unlimited 上海有限责任公司计费信息中心 主机设备安装检查确认表 时区设置系统时区的确认 1 首先以系统变量 TZ 值为准 2 如果 TZ 变量未配置 以 etc localtime 为准 查看当前时区 date R 如果最后显示 0800 代表 8 时区 至少和北京时区一致 可以不做操作 如果不一致可以采取下面两种方式 1 etc profile 文件末尾添加一行 export TZ Asia Shanghai 2 修改 etc localtime 文件 注意非文本文件不得直接 vi ln sf usr share zoneinfo Asia Shanghai etc localtime 时 区 和 时 间 设 置 修改机器时间date s 12 20 2003 date s 12 30 00 clock w 写入 BIOS hwclock r 显示 bios 时间 时 钟 同 步 时钟同步设置方法一 适用于对时间不敏感系统 在 crontab 中配置定时的 ntp 始终同步 crontab e 配置 0 0 ntpdate 10 10 100 59 clock w 方法二 适用于时间敏感系统 如 rac 库 cluster 系统等 NTP 服务器 10 10 100 59 编辑 etc ntp conf 上海有限责任公司计费信息中心 主机设备安装检查确认表 将文件中的如下行 server 0 rhel pool ntp org server 1 rhel pool ntp org server 2 rhel pool ntp org 合并更改为下面的唯一行 server 10 10 100 59 IP of NTP server 修改以下文件 添加 SYNC HWCLOCK 设置 将 ntp 同步至硬件时钟 vi etc sysconfig ntpd SYNC HWCLOCK yes 开启 NTP 服务 ntpdate 10 10 100 59 service ntpd start 开启 ntpd 服务到自动启动 chkconfig ntpd on 检查同步情况 ntpq p ntpstat 刚配置完同步需要一段时间 系 统 安 全 密码策略增强备份配置文件 cp etc pam d password auth ac root password auth ac defaut cp etc pam d system auth ac root system auth ac defaut OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 增 强 配 置 使用 vi 编辑 etc pam d password auth ac 配置文件 修改内容为如下 PAM 1 0 This file is auto generated User changes will be destroyed the next time authconfig is run auth required pam env so auth required pam faillock so preauth silent audit deny 10 unlock time 600 auth sufficient pam unix so nullok try first pass auth default die pam faillock so authfail audit deny 10 auth sufficient pam faillock so authsucc audit deny 10 auth requisite pam succeed if so uid 500 quiet auth required pam deny so account required pam faillock so account required pam unix so account sufficient pam localuser so account sufficient pam succeed if so uid 500 quiet auth required pam deny so account required pam faillock so account required pam unix so 上海有限责任公司计费信息中心 主机设备安装检查确认表 account sufficient pam localuser so account sufficient pam succeed if so uid 500 quiet account required pam permit so password requisite pam cracklib so try first pass retry 3 minlen 8 lcredit 1 ucredit 1 dcredit 1 ocredit 1 difok 3 password requisite pam passwdqc so use first pass enforce everyone password sufficient pam unix so md5 remember 6 shadow nullok try first pass use authtok password required pam deny so session optional pam keyinit so revoke session required pam limits so session success 1 default ignore pam succeed if so service in crond quiet use uid session required pam unix so 以上配置实时生效 请避免网络远程操作 以上配置实时生效 请避免网络远程操作 请打开至少两个终端窗口操作测试 如测试失败 请使用备份文件覆盖 有效期管理用户密码有效期定义 编辑配置文件 etc login defs 修改内容如下 PASS MAX DAYS 90 PASS MIN DAYS 0 PASS MIN LEN 8 OK 上海有限责任公司计费信息中心 主机设备安装检查确认表 PASS WARN AGE 7 LASTLOG ENAB yes 已存在用户的密码有效期使用 chage 命令修改 chage d 2012 01 01 将用户的最后一次密码修改时间设定为 2012 01 01 chage E 2012 12 31 将用户帐号过期日设置为 2012 12 31 chage I 5 用户密码过期后的宽限期为 5 天 chage m 0 密码最小生存期 0 天 当天可以改密码 chage M 90 密码最大生存期 90 天 chage W 7 提前 7 天提醒修改密码 以上命令中的时间长度参数值为 1 表示无限制 设定 umask 和 timeout 编辑 etc profile 文件 设置系统默认 umask 将 umask 002 umask 022 都修改为 umask 027 设定 timeout 在文件末尾添加 TMOUT 120 OK 限制 root 用 户使用 telnet 和 ssh 1 限制 root 用户 telnet 登陆 无特别需求不推荐开启 无特别需求不推荐开启 telnet 服务 服务 系统默认不安装 telnet server 安装后必须手工配置才能启用 默认 root 不允许通过 telnet 登录 安装 telnet server 不安装 上海有限责任公司计费信息中心 主机设备安装检查确认表 yum install telnet server 启用 telnet server 编辑 etc xinetd d telnet 配置 disable no 重启 xinetd 服务 service xinetd restart 2 限制 root 用户 ssh 登陆 基线要求 建议设置 基线要求 建议设置 编辑 etc ssh sshd config 修改 PermitRootLogin no 重启 sshd 才生效 service sshd restart 3 确认 SSH 使用的协议 grep Protocol etc ssh sshd config 输出结果 Protocol 2 如果为 Protocol 1 则不符合要求 请修改 4 修改 etc ssh sshd config 中的 UseDNS 设置 新增一行 UseDNS no 确认信任主机 方式 配置文 件是否配置妥 当 检查机器上所有的文件 find name host print 如果有 rhosts 或者 hosts equiv 文件 请检查该文件是否含有 设置 如果 有则删除 锁定无关用户 帐号 执行 cat etc shadow 确认是否存在与业务无关的账号 建议锁定的用户 Adm lp sync shutdown halt news uucp operator games 上海有限责任公司计费信息中心 主机设备安装检查确认表 锁定方法