《服务和系统安全》由会员分享,可在线阅读,更多相关《服务和系统安全(4页珍藏版)》请在金锄头文库上搜索。
1、服务和系统安全服务和系统安全一,查看和卸载云主机上不必要的程序软件一,查看和卸载云主机上不必要的程序软件互联云平台上搭载服务的云主机(VM,有 windows server2008,centos5.8 系统)在 其创建后按项目规划仅部署相关服务,安装提供服务应用的必须软件,均无手动安装非必 须的第三方应用 1,对于 windows 系统(以 window server 2008 为例,其他 windows 系统操作类似, 下同) ,开始菜单控制面板程序程序和功能,在软件系统中已安装软件列表中 选择待软件后卸载点击“卸载”按钮就进入卸载按钮,如图:2,对于 Linux 系统(以 centos5.
2、8 为例,其他 liunx 系统类似,下同) ,在 CLI 中使 用主流的 rpm 可以查看管理大部分程序,常用查看、卸载程序的命令如下 #rpm -qa 列出所以安装程序 # rpm -q package name 查看名称为“package name”的程序 #rpm -e package name 卸载名称为“package name”的程序 注:(1)rpm 对通过 tar.gz 等源码包用 make;make install 安装的软件无效,此时最好 是看 README 和 INSTALL;一般的情况下都有说,如果没有提供源码包的卸载方法,可以 找到并进入软件的安装目录,运行命令#m
3、ake uninstall 进行卸载。 (2)对于使用 yum 在线安装的软件可运行#yum remove service name来卸载,二,查看和停用甚至卸载不必要的服务二,查看和停用甚至卸载不必要的服务系统运行通常伴随着大量的服务在后台运行,不显示任何用户界面,是协作完成某些系统功能或程序功能必须的进程。关闭程序有时不会连带关闭相关的服务,这时候需要我 们手动去管理服务。 1,对于 windows 系统,选中我的电脑管理服务,列出所有服务,选择其中 的某个服务后可以操作启动或停止,可以配置是否开机自启动,如图:2,对于linux系统,使用chkconfig管理系统服务默认开机启动与否,常
4、用到以下命令 #chkconfig -list service 列出所以服务的运行状态信息(on 或 off),如果指定了 service name,那么只显示指定的服务在不同运行级的状态#chkconfig service off 使得其中的 service 服务开机不启动 另外,查看当前服务运行状况,运行#/etc/init.d/service status 立即关闭服务,运行#/etc/init.d/service stop 相关知识课参见鸟哥的 Linux 私房菜 基础学习篇(第三版)第十八章 Linux 系统用做服务器一般无可视化界面,服务和软件程序常混为一谈,对于 windows
5、系统,如果要卸载服务,用 sc.exe 这个 Windows 命令,开始运行输入 cmd 回车, 在 CLI 界面中运行命令 sc delete “service name” (如果服务名中间有空格,就需要 前后加引号) 即可卸载服务 注:(1)附上 windows 和 liunx 系统各自常见系统服务的简介,方便判断是否可停用 服务关闭Linux系统下不 必要的服务.doc(2)一些其他原因不能停用服务还可以关闭其相关不必要且有风险的功能服务,常见的如 共享文件夹,远程桌面等。三,服务用最小用户权限运行三,服务用最小用户权限运行在 windows 和 linux 系统的云主机上各创建非系统管
6、理员的标准用户账号,并开机用 该账号登进系统,使用该账户部署并运行服务,用系统管理员账号给相关文件夹或程序可 运行文件按要求对用户账号的赋予一定读、写、运行的操作权限, 1,对于 windows 系统可以在选中文件(夹)后右键属性安全编辑,2,对于 linux 系统,运行#ls -l file name 可以查看名为 file name 的文件(夹) 的详细信息包括对各用户(组)的权限,然后使用 chmod 命令可修改文件(夹)权限 用户主要是文件(夹)所属用户(u),同组用户(g) ,其他用户(o) ,对每种用户权限有 读(r) ,写(w) ,运行(x) ,语法为 chmod who +/-
7、/= 权限组合 file name 另有数字权限表示法,详情参见鸟哥的 Linux 私房菜 基础学习篇(第三版)第六章。四,对于四,对于 linux 系统启用并配置系统启用并配置 selinuxselinux(Security Enhanced Linux),是一个Linux系统访问控制(Access control) 的细节设定,主要控制程序对于文件系统的访问权限限制,与第三章中liunx的rwx权限是 控制用户对文件(夹)权限有却别,对防止root用户的一般服务程序去恶意读写系统文件 能很好控制, selinux提供的控制规则有targeted和strict这2种,targeted:针对网
8、络服务限制较多,针对本机限制较少,是预设的规则;strict:完整的SELinux 限制,限制方面较为严格。 建议使用预设的targeted规则即可,关于selinux常用操作命令如下: # getenforce 查看当前selinux服务的状态,返回结果disabled表示selinux停用,enforcing:强制模式,代表 SELinux 运行中; permissive:宽容模式:代表 SELinux运行中,不过仅会有警告信息并不会实际限制,这种模式可以运来作为 SELinux的debug模式; disabled:关闭,SELinux 并没有实际运行。 当selinux是运行中时,运行#
9、sestatus 将列出selinux使用的规则, 从当前selinux已停用到要启动selinux,修改文件/etc/selinux/config中 SELINUX=enforcing ,SELINUXTYPE=targeted然后重启系统使生效 注:关于selinux详情可参见鸟哥的Linux私房菜 基础学习篇(第三版)第十七章五,补丁服务器五,补丁服务器因为网络安全起见内网主机默认不能够访问 internet,导致不能访问 internet 的内网主 机(如 sqlserver)不能检测更新和升级,不能及时打上补丁,后续到运营阶段将计划搭建 补丁服务器使得内部的云主机去及时更新和打补丁。
