寫這篇文章是針對使用linux的管理員,愛好者,對linux安全性很關心的同僚們,希望對大家有所幫助,廢話就不多說了,進入正題吧。
在說安全設置之前,我想先說說關于發行版和安裝的問題。對于發行版,我相信大都知道,linux發行版實在是太多了我也不止一次在很多網站的文章,很多書籍上看到過議論那種發行版是最好的,其實我個人認為,在linux世界中,沒有最好的這種說法,只要自己習慣,熟悉的一種版本,那么我就可以說他是最好的。寫這篇文章,我也試找了很多資料,試圖找到一個大家都覺得常用的,熟悉的,最后,我覺得redhat linux真的很不錯,雖然它的內核比較龐大,而且效率不使所有發行版中最高的,但是它的普遍性,易用性和軟件升級支持,應用軟件支持方面是值得提出的,這些方面也正是一個好的linux發行版需要具有的。 這篇文章建立在redhat linux 7.3版之上,所有的軟件設置均在這個版本上測試通過。
說到這里,可能大家要問,為什么我要用redhat 7.3?現在不是有很多嗎?就redhat來說就有redhat 8.0, redhat 9.0還有什么redhat 高級企業版,等等。這么多新的東西為什么不用呢?這個問題問得很好,這正是我要說的安裝和選擇發行版是要注意的一點。
1、版本的選擇
我使用redhat也有很長時間了,個人認為,redhat的.0版本都屬于大版本升級的第一個版本,這個版本往往很多軟件包不是很穩定,而且容易出現故障,對于管理員來說linux絕大部分是用來作為服務器使用的,那么要最為服務器,最最大的首要問題就是穩定,其次最重要的也是安全,所以如果你是管理員,而非狂熱的愛好者,發燒友,我建議你選擇redhat 7.3。redhat 的版本號,后面跟了小版本號的就是軟件包有很多更新和修改的,雖然這個更新可能不是最新,但是至少它是這個穩定版本中最新最穩定的,不知大家理解這個問題沒有,后面我將詳細介紹一下版本的升級問題,那里我將會說明這個理論。
2、安裝方式
選擇好了安裝發行版,那么我們就開始安裝了,其實安裝的時候只有幾個需要注意的地方,其一就是分區,其二就是安裝的軟件包。分區的講究就是你需要針對你的應用來規劃分區,過去看過很多論述linux是否有一個最佳的分區方案,雖然很多人也提出了很多優秀的分區方案,但是我覺得還是需要更具自己的應用作的分區才是最佳的分區,下面各個分區方案,但是純屬建議,還是要更具自己的需要來作。個人認為,標準的服務器,至少擴常用的分區,因此建議將硬盤劃分為以下的樣子: /boot swap / /var /usr /home /tmp ,大小根據自己的應用來,/不能小于1G,/usr 和 /var都要大一點,因為大部分軟件在里面,其他幾個更具需要來,說到swap我想關于這個區的大小爭議也比較大,我在綜合了很多朋友的意見后,總結出一條規則,如果你的內存小于1G那么分為內存的2倍,如果大于1G那么就分最大2G的swap,這樣做是為什么呢?因為swap大家都知道,是虛擬內存的空間,小了又不能發揮最好的作用,大了又浪費空間,這個大小是具體的理由就是,內存大的話,那么應用程序占用的虛擬空間就小,但是為了完全滿足服務器的內存需要,據很多朋友的經驗,還有我切身的體驗,這種分法可以說是一個最佳的方案了,特別對于數據庫等大型應用程序的內存需要來講,而且很多服務器的內存都是1G-2G左右。安裝軟件包,講究的是安裝得越少越精越好,但是redhat開始安裝的時候,作為一個服務器,下面的幾個軟件包組需要選擇:
Networ support(網絡支持)
Messaging and web tools(可選擇安裝,一些聯網的工具如ncftp等)
Router/Firewall(防火墻軟件,需要安裝,但是他有一點不好把ipchian,iptables,ipwf等都安裝了,后面將解釋如何刪除)
Network managed workstation(管理用工具)
Utilities(常用工具,備份工具等)
雖然我們現在安裝是簡單的選擇了這幾個軟件包組,我們在后面的安全設置時將會刪除一些不用的包,這將在后面說。
3、更新軟件
雖然redhat 7.3是更新過的版本,但是其中還有很多軟件包有漏洞,其中最大的漏洞就是2.4.18的一個漏洞,它會導致ext3文件系統崩潰,我就遇到過很幾次(據ext3開發小組稱,這種現象是在特定的操作和條件下才會產生的,一般用戶很少出現這種現象),雖然很多現在已近解決這個問題,但是7.3沒有更新內核的話還是不穩定的,更新有兩種方式,一種時下在更新的軟件包手動的用rpm –Uvh 來更新,另外一種也是我推薦的方式,使用up2date來更新,這可是一個好東西,它能很方便的更新你的系統,而且是更具你安裝的軟件包來更新的,他不會把bind8更新為bind9,不會把redhat 7.3更新到redhat 9.0,這樣就確保了你目前使用的版本的穩定性和完整性,它只是針對這個版本的軟件包進行了修正,版本號一般就是這樣變得,比如iptables ,7.3的rpm 版本是1.2.5那么更新后就是1.2.8修正了很多漏洞錯誤,但是并沒有作大的調整,確保了你的使用和與應用程序的兼容性。
Up2date的使用,在自動升級之前,建議幾個操作:
第一個,由于redhat 7.3版自帶的up2date有SSL的bug,因此,需要取下在一個最新的up2date來更新,下載地址https://rhn.redhat.com/errata/RHSA-2003-267.html
第二個,一般來說,我們都不希望up2date自動更新內核,然后內核的更新直接解決很多重大漏洞,特別是新安裝的redhat 7.3就有ext3崩潰的漏洞因此,我建議大家自己先手工升級內核,當然使用rpm 包來升級,這樣節約很多時間,開始我就說過,雖然redhat不是效率最高的,但是確實做得最普遍的一個系統,rpm的方便就完全體現了這點優勢,redhat 7.3內核的下載地址:
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i386.rpm
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i586.rpm
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i686.rpm
