中標麒麟高級服務器操作系統(tǒng)培訓四完整版

1、 內容大綱 系統(tǒng)安全 常見問題 以服務形式提供系統(tǒng)資源 計算機體系由各種“角色”組成 提供服務的系統(tǒng) 請求服務的系統(tǒng) 系統(tǒng)體系由各種“角色”組成 提供服務的進程 請求服務的進程 處理體系由各種“角色”組成 提供服務的帳戶 接受服務的帳戶 作為保護系統(tǒng)安全的策略，系統(tǒng)資源及其 使用必須要被逐項記錄 從實際操作角度討論安全 從設計目標上講，系統(tǒng)提供可用資源 只提供您必須提供的服務，只提供給必需 的用戶 “我需要提供這個服務嗎？我知道自己在提供 它嗎？” “他們需要這個服務嗎？他們知道這個服務的 存在嗎？” “系統(tǒng)行為和它的歷史記錄一致嗎？” “我有沒有應用所有相關的安全更新？” 監(jiān)控系統(tǒng)資源的安全

2、弱點和不良性能 安全策略：用戶 管理用戶活動 包括安全策略的維護 誰負責什么？ 關于假警報，誰做最后的決定？ 什么時候通知系統(tǒng)？ 安全策略：系統(tǒng) 管理系統(tǒng)活動 定期系統(tǒng)監(jiān)控 在外部服務器上記載日志，以防萬一系統(tǒng)泄密 使用 logwatch 來監(jiān)控系統(tǒng)日志 監(jiān)控輸入和輸出的帶寬用量 定期備份系統(tǒng)數(shù)據(jù) 響應策略 假定可疑的系統(tǒng)是不值得信任的 不要運行來自可疑系統(tǒng)的程序 用可信的介質引導，校驗是否有破壞之處 分析遠程記錄器的日志和“本地”日志 根據(jù)只讀的備份 RPM 數(shù)據(jù)庫來檢查文件的完整 性 為機器制作一份系統(tǒng)映像，進行進一步的 分析和證據(jù)收集 重新安裝機器，從備份中恢復數(shù)據(jù) 系統(tǒng)錯誤和違例 都會

3、影響系統(tǒng)性能 系統(tǒng)性能關系到系統(tǒng)安全 系統(tǒng)錯誤會生出體系空檔 體系空檔會給另類資源訪問提供可乘之機 另類資源訪問機會會導致無法記錄的資源訪問 無法記錄的資源訪問是違反安全策略的行為 對錯誤進行分析的方法 判斷問題的性質 再現(xiàn)出錯過程 查找進一步信息 錯誤分析：假說 形成一系列假說 挑選一個假說來證明 測試假說 對錯誤進行分析的方法 記錄結果，若有必要建立或測試新的假說 如果簡單的假說沒有產生有建設性的結果， 就需要進一步分析問題 錯誤分析：收集數(shù)據(jù) strace tail -f syslog 的 *.debug(var/log/debug) 應用程序中的 -debug 選項 系統(tǒng)監(jiān)控的益處 系

4、統(tǒng)性能和安全性可以通過定期系統(tǒng)監(jiān)控 來維護 系統(tǒng)監(jiān)控包括： 網絡監(jiān)控和分析 文件系統(tǒng)監(jiān)控 進程監(jiān)控 日志文件分析 修改 OpenSSH 服務默認端口 配置文件路徑：/etc/ssh/sshd_config Port 22 外網環(huán)境下，默認 22 端口號極容易被黑客工具掃描 到實施暴力破解 PermitRootLogin yes 默認情況下允許 root 用戶直接通過 SSH 登錄較容易 導致被暴力破解 可關閉的服務 通過關閉不必要服務的方式減少端口的監(jiān) 聽 中標軟件的服務： cobblerd nkucsd nrpe systemcenter 可關閉的服務 其他系統(tǒng)服務 atd autofs b

5、lutooth certmonger iscsi 不使用 iSCSI 可關閉 iscsid 不使用 iSCSI 可關閉 mcelogd mdmonitor netfs 不使用 NFS 或 Samba 可關閉 nfslock 不使用 NFS 可關閉 rpcbind 不使用 RPC 協(xié)議可關閉 rpcgssd xinetd 內容大綱 系統(tǒng)安全 常見問題 物理服務器安裝 常見影響安裝的情況： RAID 未創(chuàng)建 現(xiàn)象：在系統(tǒng)安裝過程中無法識別到硬盤 解決：進入 RAID 卡控制界面配置 RAID（建議讓硬 件原廠技術人員配置） RAID 卡沒有驅動 現(xiàn)象：在系統(tǒng)安裝過程中無法識別到硬盤 解決：確定硬件

6、的具體型號和安裝介質的具體版本 安裝系統(tǒng)前已經通過 HBA 卡連接到存儲陣列 現(xiàn)象：可能導致系統(tǒng)安裝到存儲陣列或者引導程序 安裝到存儲陣列，存儲陣列連接異常會引起無法啟 動 解決：系統(tǒng)安裝前，拔掉連接存儲陣列的線 虛擬化平臺安裝 VMware ESXi 6.0 開始可以從 Guest OS 菜單中選擇 老版本 ESXi 選擇 Red Hat Enterprise Linux 6 64位 Citrix Guset OS 選擇 Other 進行安裝 通過 Red Hat Enterprise Linux 安裝會報錯 華為華為 高版本可以在 Guest OS 選擇菜單中看到 低版本選擇 Red Ha

7、t Enterprise Linux 6 作為 Guest OS 由于顯卡驅動問題，系統(tǒng)安裝完成后，需要手 動升級 xorg-x11-drv-cirrus 軟件包，否則圖形界 面會花屏 系統(tǒng)分區(qū)規(guī)劃 分區(qū)前先跟客戶或應用開發(fā)商進行確認， 他們是否有特殊的系統(tǒng)分區(qū)要求 如果用戶無明確分區(qū)要求，使用下面分區(qū) 方案能夠有效降低未來遇到磁盤空間不足 問題的概率： /boot 默認 500MB LVM 剩余空間創(chuàng)建邏輯卷 SWAP 根據(jù)內存大小設置 / 所有剩余空間 系統(tǒng)分區(qū)規(guī)劃 使用自動分區(qū)的情況： 系統(tǒng)中提供自動分區(qū)的設置，但是當硬盤空間 大于 50GB 的情況下，系統(tǒng)會只分配 50GB 大小 的根

8、分區(qū)，其余空間被分配到了 /home 分區(qū) SWAP 分區(qū)大小設置： 內存 2 - 8 GB 設置為內存大小 2 倍 內存 8 GB 以上設置為 16 GB 注意使用 1024 的倍數(shù)而不是 1000 的倍數(shù) 磁盤分區(qū)表 分區(qū)表類型 MBR 分區(qū)表：最大支持 2TB 硬盤 GPT 分區(qū)表：支持 2TB 以上硬盤 GPT 分區(qū)表必須用 EFI 才能引導 如何找回 root 用戶密碼 如果真忘了 root 用戶密碼，只能更改，無 法直接找回 修改 root 用戶密碼必須要重啟操作系統(tǒng)， 并且無法遠程進行修改 實質是利用 Linux 系統(tǒng)的單用戶模式不驗證 的特點進入 root 特權模式 如何找回 root 用戶密碼 首先開機按任意鍵進入 GRUB 界面： 如何找回 root 用戶密碼 根據(jù)提示按 e 建進入編輯模式： 如何找回 root 用戶密碼 選中第二行 kernel 開頭的再按 e 建編輯： 如何找回 root 用戶密碼 在 quite 參數(shù)后面添加 single 參數(shù)代表啟動 單用戶模式： 如何找回 root 用戶密碼 添加完參數(shù)并確認后會回到之前的界面， 我們按照提示通過按 b 鍵開始啟動系統(tǒng)： 如何找回 root 用戶密碼 系統(tǒng)成功在不輸入密碼的情況下進入了 root 用戶的虛擬控制臺： 如何找回 root 用戶密