RedHat5安装手册.docx
《RedHat5安装手册.docx》由会员分享,可在线阅读,更多相关《RedHat5安装手册.docx(25页珍藏版)》请在冰豆网上搜索。
RedHat5安装手册
操作手册
2.1.系统安装指南(选择完全安装)
2.3.1.图形化安装程序用户界面
插入安装光盘,参照主机设备说明书将主机修改为光驱启动,启动主机,把光盘放进光驱,从光驱引导
系统,看到如下图的界面:
2.3.2.安装程序检测系统
2.3.3.安装欢迎界面
2.3.4.语言选择
使用鼠标来选择你想在安装中使用的语言(参见图3-7)。
选择恰当的语言会在稍后的安装中帮助你定位时区配置。
安装程序将会试图根据你在这个屏幕上所指定的
信息来定义恰当的时区。
图2-6.语言选择
当你选定了恰当的语言后,点击「下一步」来继续。
2.3.5.键盘配置
使用鼠标来选择你要在本次安装中和今后用作系统默认的键盘布局类型(例如,美国英语式),参见图3-8。
选定后,点击「下一步」来继续。
图3-8.键盘配置
2.3.6.输入安装号
2.3.7.安装程序提示分区表无法读取,需要创建分区
2.3.8.选择分区方式:
建立自定义的分区结构
2.3.9.创建两个分区:
SWAP交换分区和/根挂载点
交换分区的大小是物理内存的二倍
创建根挂载点:
2.3.10.创建完毕的分区
2.3.11.选择GRUB引导程序安装位置
按默认选项即可。
2.3.12.网络设置
2.3.13.时区选择
2.3.14.root帐号的密码
2.3.15.选择安装组件
2.3.16.检测软件依存关系
2.3.17.开始安装、拷贝软件
2.3.18.安装
2.3.19.安装完毕,需要重新启动系统
2.2.安装后的配置
2.4.1.配置欢迎界面
2.4.2.许可协议
2.4.3.防火墙配置
RedHatLinux为增加系统安全性提供了防火墙保护。
防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。
一个正确配置的防火墙可以极大地增加你的系统安全性。
「启用防火墙」
无防火墙给予完全访问权并不做任何安全检查。
安全检查是对某些服务的禁用。
建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
选择添加信任的设备或允许其它的进入接口。
「信任的设备」
选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。
例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。
把「eth0」选为“信任的”意味着所有这个以太网内的交通都是
被允许的,但是ppp0接口仍旧有防火墙限制。
如果你想限制某一接口上的交通,不要选择它。
建议你不要将连接到互联网之类的公共网络上的设备定为「信任的设备」。
「DHCP」
如果你允许进入的DHCP查询和回应,你将会允许任何使用DHCP来判定其IP地址的网络接口。
DHCP通常是启用的。
如果DHCP没有被启用,你的计算机就不能够获取IP地址。
「SSH」
Secure(安全)SHell(SSH)是用来在远程机器上登录及执行命令的一组工具。
如果你打算使用SSH工具通过防火墙来访问你的机器,启用该选项。
你需要安装openssh-server软件包以便使用SSH工具来远程访问你的机器。
「Telnet」
Telnet是用来在远程机器上登录的协议。
Telnet通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。
建议你不要允许进入的Telnet访问。
如果你想允许进入的Telnet访问,你需要安装telnet-server软件包。
「WWW(HTTP)」
HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。
如果你打算向公众开放你的万维网服务器,请启用该选项。
你不需要启用该选项来查看本地网页或开发网页。
如果你打算提供网页服务的话,你需要安装httpd软件包。
启用「WWW(HTTP)」将不会为HTTPS打开一个端口。
要启用HTTPS,在「其它端口」字段内注明。
「邮件(SMTP)」
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。
如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是fetchmail之类的工具,不要启用该选项。
请注意,不正确配置的SMTP服务器会允许远程机器使用你的服务器发送垃圾邮件。
「FTP」
FTP协议是用于在网络机器间传输文件的协议。
如果你打算使你的FTP服务器可被公开利用,启用该选项。
你需要安装vsftpd软件包才能利用该选项。
「其它端口」
你可以允许到这里没有列出的其它端口的访问,方法是在「其它端口」字段内把它们列出。
格式为:
端口:
协议。
例如,如果你想允许IMAP通过你的防火墙,你可以指定imap:
tcp。
你还可以具体指定端口号码,要允许UDP包在端口1234通过防火墙,输入1234:
udp。
要指定多个端口,用逗号将它们隔开。
2.4.4.SELinux(Security Enhanced Linux)设置
2.4.5.kdump设置
2.4.6.日期和时间设置
2.4.7.设置软件更新
2.4.8.创建用户
2.4.9.声卡
说明:
IBMX3850 X3650无声卡
2.4.10.附加光盘
2.4.11.RedHatEnterpriseLinux5登录界面
2.4.12.桌面
2.3.redhatlinux系统安全设置方案
2.5.1.关闭xinetd服务
直接停止xinetd进程。
停掉由xinetd控制的服务如:
ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。
2.5.2.删除不需要的服务
需要打开的服务列表如下:
anacron:
Runcronjobsthatwereleftoutduetodowntime
crond:
cron定时执行后台
atd:
at定时执行后台
autofs:
按需文件系统自动挂载。
cWnn:
中文字符转换引擎。
gpm:
鼠标处理
keytable:
键盘布局加载
kudzo:
硬件自动检测
netfs:
加载NFS
network:
系统启动是加载/卸载网卡
ntpd:
时钟同步守护进程。
portmap:
管理RPC连接,用于NFS、NIS等。
random:
随机数产生器,SSH用到。
rawdevices:
负责将raw设备分配给block设备。
sgi_fam:
文件发生改变时产生(相关)报告。
sshd:
ssh守护进程
syslog:
日志守护进程
xfs:
在系统启动是启动X字体服务。
其他的服务全部关闭,另外,需要根据实际现场的需要启停的服务有以下几个,目前均设置成关闭:
named:
DNS解析服务,目前设置成关闭。
Sendmail:
Sendmail服务。
Vncserver:
VNC服务
nscd:
处理passwd和shaodow,用于NIS、NIS+等命名服务。
(删除,NIS用不上)
nfs/nfslock:
NFS服务。
Snmpd:
SNMP守护进程
关闭的方法有很多,通常是使用/usr/sbin/setup来关闭的,只是用这样的方式来关闭的话,需要重新启动Linux,比较麻烦一些些,如果您是使用我们这个网页的RedHat系统的话,那就执行/usr/sbin/setup吧!
然后选择Systemservices,将所有的服务启动项目开到剩下如下的几个:
atd
crond
inet
keytable
kudzu
network
random
sendmai(如果你有开启e-mail服务的话)
smb(如果你有开启SAMBA服务的话)
syslog
xfs(如果你有执行X-windows的话)
其他的服务就是你的要求来开启啰,其实,除非你真的了解该服务是作何用的,否则可以先予以关闭之,但是上面的几个项目则必须要开启的!
设定启动时的服务:
另外还有一个档案在设定开机时的服务设定,那就是/etc/inetd.conf这个档案,在这个档案中,开启到剩下四个服务就好,其他的服务就把他注解掉(加上一个#符号即可)。
ftpstreamtcpnowaitroot/usr/sbin/tcpdin.proftpd
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd
pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
imapstreamtcpnowaitroot/usr/sbin/tcpdimapd
另外,如果您的RedHat版本在7.0以后的话,那关于各项服务的目录就会是在/etc/xinetd.d这个目录中了,由于xinetd是将所有的服务个别放置于不同的档案中,因此需要针对所有的档案进行修正!
通常,只要将每个档案中的disable=no改写成disable=yes就可以了!
从Linux系统上移除一些套件:
虽然已经将一些服务关掉了,但是最好还是从根本上将这个套件给他移除吧!
以下这些套件是不必要的套件,你可以移除:
git
finger
talk
ytalk
ucd-snmp-utils
另外,还有一些ftp的套件也可以将之移除,移除的方法就用rpm吧:
rpm-egitfingertalkytalkucd-snmp-utils
重新开机:
reboot即可。
2.5.3.删除不必要的帐户、组
需要删除的用户包括:
userdellp
userdelsync
userdelshutdown
userdelhalt
userdelnews
userdeloperator
userdelgames
userdelftp
userdelrpc
userdelrpcuser
userdelgopher
userdelwnn
userdelnscd
userdelident
需要删除的组包括:
groupdellp
groupdelnews
groupdelgames
groupdelgopher
groupdelwnn
groupdelident
目前不明确,暂时保留的用户:
adm、mail、mailnull、nfsnobody
目前不明确,暂时保留的组:
mailnull、nfsnobody、adm、mail
本次必须要保留的用户是:
root、bin、nobody、ntp、ssh、uucp
必须保留的组包括:
root、nobody、ntp、uucp
2.5.4.修改用户口令长度以及有效期
vi/etc/login.defs
PASS_MAX_DAYS99999最大有效期改为90
PASS_MIN_DAYS0
PASS_MIN_LEN5
PASS_WARN_AGE7
2.5.5.在/etc/syslog.conf中加入如下的条目
#Theauthprivfilehasrestricted
authpriv.*
/var/log/secure
2.5.6.修改别名文件/etc/aliases
注释掉不要的
#games:
root
#ingres:
root
#system:
root
#toor:
root
#uucp:
root
#manager:
root
#dumper:
root
#operator:
root
#decode:
root
#root:
marc
修改后执行/usr/bin/newaliases
2.5.7.修改/etc/hosts.allow和/etc/hosts.deny
vi/etc/hosts.allow
sshd:
218.29.0.224/255.255.255.224
sshd:
202.111.142.0/255.255.255.192
sshd:
202.111.142.96/255.255.255.224
sshd:
218.29.221.0/255.255.255.0
sshd:
202.111.142.0/255.255.255.192
sshd:
218.28.141.96/255.255.255.240
sshd:
218.246.107.125
sshd:
211.99.140.224/255.255.255.248
portmap:
202.111.142.0/255.255.255.192
portmap:
218.29.0.224/255.255.255.224
vi/etc/hosts.deny
ALL:
ALL
2.5.8.防止IPSPOOF
vi/etc/host.conf
添加:
nospoofon
打开系统审计的loghost功能编辑/etc/syslog.conf,语法:
@loghost*.err;kern.debug;deamon.notice;mail.crit(记录登录信息)
2.5.9.设置SSH超时时间
修改/etc/ssh/sshd_config内LoginGraceTime段,时间为秒,缺省是600秒。
本次不做设置。
2.5.10.停掉ctrl+alt+del自动重启的功能
编辑/etc/inittab文件注释掉下面
#TrapCTRL-ALT-DELETE
#ca:
:
ctrlaltdel:
/sbin/shutdown-t3-rnow
2.5.11.主机系统密码专人负责制
由专门的人员负责主机系统密码的修改、维护,对于密码的申请建立备案,由项目主管或者现场维护主管审批。
2.5.12.Redhatlinux5上telnet的开启过程
1、确定你的telnet服务打开没有:
[root@111~]#chkconfig--list|greptelnet
ekrb5-telnet:
off
krb5-telnet:
off
[root@111~]#
注意检查结果这里是关闭状态
2、打开telnet服务:
[root@111~]#chkconfigkrb5-telneton
[root@111~]#chkconfig--list|greptelnet
ekrb5-telnet:
offv
krb5-telnet:
on
[root@111~]#
检查已经被打开了
3、修改登陆文件securetty,主要增加要登陆的终端点
[root@111~]#vi/etc/securetty
增加如下几行:
pts/1
pts/2
pts/3
pts/4
pts/5
……
保存退出即可。
升级会员 