免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 监控及自动化运维技术 Linux/unix安全优化的讨论与案例分享(获奖名单已公布)
12345678910... 12下一页
最近访问板块 发新帖
楼主: king_819
打印 上一主题 下一主题

Linux/unix安全优化的讨论与案例分享(获奖名单已公布) [复制链接]

chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
11 [报告]
发表于 2012-03-08 15:13 |只看该作者
本帖最后由 chenyx 于 2012-03-08 15:17 编辑

另外,ssh服务应该加固,ssh协议只用协议2,采用key的方式登录,禁止密码登陆以及root登陆,除了key方式以外的认证方式一律禁止.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
king_819

论坛徽章:
0
12 [报告]
发表于 2012-03-08 15:17 |只看该作者
本帖最后由 king_819 于 2012-03-08 15:24 编辑

    先来贴一个关于freebsd系统的内核优化,freebsd系统相对于linux类的系统,内核已经算是很简洁了,但为了发挥它高效的性能,所以决定再对它的内核进行精简

一、内核编译


   优化内核,去掉不用的组件及设备驱动,以提高系统效率,首先使用uname -a查看本机的内核详细版本,使用dmesg查看

本机所有的硬件信息,并进行相应的记录,后续编辑内核文件时要用到
1.安装CVSUP:


最好在安装时装好cvsup;
freebsd# cd /usr/ports/net/cvsup-without-gui/
freebsd# make install clean


2.升级源码:


freebsd# ee /usr/share/examples/cvsup/stable-supfile
把:
default host=CHANGE_THIS.FreeBSD.org
改为:
default host=cvsup.FreeBSDchina.org
src-all
freebsd# ee /usr/share/examples/cvsup/ports-supfile
把:
default host=CHANGE_THIS.FreeBSD.org
改为:
default host=cvsup.FreeBSDchina.org
freebsd# cvsup -g -L 2 /usr/share/examples/cvsup/stable-supfile
或者  csup -g -L 2 /usr/share/examples/cvsup/stable-supfile
freebsd# cvsup -g -L 2 /usr/share/examples/cvsup/ports-supfile
freebsd# cd /usr/obj
freebsd# chflags -R noschg *
freebsd# rm -rf *


3.重新编译源码和内核


freebsd# cd /usr/src/sys/amd64(或i386---32位与64位,分别选择相应的)/conf/
freebsd# mkdir /root/kernels
freebsd# cp GENERIC /root/kernels/MYKERNEL
freebsd# cd /usr/src
freebsd# ln -s /root/kernels/MYKERNEL
freebsd# make buildworld    //编译所有的系统程序
freebsd# make buildkernel KERNCONF=MYKERNEL   //编译新的系统核心
freebsd# reboot
freebsd# make installkernel KERNCONF=MYKERNEL  //安裝新的系统核心
freebsd# make installworld   //安装新的系统程序
freebsd# reboot
重启系统用uname -a查看编辑后的内核是否是自己定制的内核;


编辑内核文件要注意的地方
device  em    # Broadcom BCM570xx Gigabit Ethernet  //加载网卡,一定要慎重,特别是远程
如果不确定网卡型号,可用dmesg |less 查看

如新内核有问题,可以还的原内核文件
mv /boot/kernel /boot/kernel.bak
mv /boot/kernel.old /boot/kernel



4、附上生产环境中优化后的内核文件:
  1. cpu  I686_CPU
  2. ident  MYKERNE

  4. device          pf
  5. device          pflog
  6. device          pfsync
  7. options         ALTQ
  8. options         ALTQ_CBQ
  9. options         ALTQ_RED
  10. options         ALTQ_RIO
  11. options         ALTQ_HFSC
  12. options         ALTQ_PRIQ
  13. options         ALTQ_NOPCC
  14. options         SC_DISABLE_REBOOT

  16. options         IPFIREWALL                           
  17. options         IPFIREWALL_DEFAULT_TO_ACCEPT         
  18. options         DUMMYNET                              
  19. options         HZ=1000

  21. options   IPSEC        #IP security
  22. device    crypto

  24. options  SCHED_ULE  # ULE scheduler
  25. options  PREEMPTION  # Enable kernel thread preemption
  26. options  INET   # InterNETworking
  27. options  SCTP   # Stream Control Transmission Protocol
  28. options  FFS   # Berkeley Fast Filesystem
  29. options  SOFTUPDATES  # Enable FFS soft updates support
  30. options  UFS_ACL   # Support for access control lists
  31. options  UFS_DIRHASH  # Improve performance on big directories
  32. options  UFS_GJOURNAL  # Enable gjournal-based UFS journaling
  33. options  MD_ROOT   # MD is a potential root device
  34. options  PROCFS   # Process filesystem (requires PSEUDOFS)
  35. options  PSEUDOFS  # Pseudo-filesystem framework
  36. options  COMPAT_43TTY  # BSD 4.3 TTY compat [KEEP THIS!]
  37. options  SCSI_DELAY=5000  # Delay (in ms) before probing SCSI
  38. options  KTRACE   # ktrace(1) support
  39. options  STACK   # stack(9) support
  40. options  SYSVSHM   # SYSV-style shared memory
  41. options  SYSVMSG   # SYSV-style message queues
  42. options  SYSVSEM   # SYSV-style semaphores
  43. options  P1003_1B_SEMAPHORES # POSIX-style semaphores
  44. options  _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions
  45. options  KBD_INSTALL_CDEV # install a CDEV entry in /dev
  46. options  ADAPTIVE_GIANT  # Giant mutex is adaptive.
  47. options  STOP_NMI  # Stop CPUS using NMI instead of IPI
  48. options  AUDIT   # Security event auditing

  50. # To make an SMP kernel, the next two lines are needed
  51. options  SMP   # Symmetric MultiProcessor Kernel
  52. device  apic   # I/O APIC

  54. # CPU frequency control
  55. device  cpufreq

  57. # Bus support.
  58. device  eisa
  59. device  pci

  61. # SCSI Controllers
  62. device  mpt  # LSI-Logic MPT-Fusion
  63. device  scbus  # SCSI bus (required for SCSI)
  64. device  ch  # SCSI media changers
  65. device  da  # Direct Access (disks)
  66. device  pass  # Passthrough device (direct SCSI access)
  67. device  ses  # SCSI Environmental Services (and SAF-TE)

  69. # atkbdc0 controls both the keyboard and the PS/2 mouse
  70. device  atkbdc  # AT keyboard controller
  71. device  atkbd  # AT keyboard
  72. device  psm  # PS/2 mouse

  74. device  vga  # VGA video card driver

  76. device  splash  # Splash screen and screen saver support

  78. # syscons is the default console driver, resembling an SCO console
  79. device  sc

  81. device  agp  # support several AGP chipsets

  83. # Power management support (see NOTES for more options)
  84. #device  apm
  85. # Add suspend/resume support for the i8254.
  86. device  pmtimer

  88. # PCI Ethernet NICs that use the common MII bus controller code.
  89. # NOTE: Be sure to keep the 'device miibus' line in order to use these NICs!
  90. device  miibus  # MII bus support
  91. device  em
  92. device  le  # Broadcom BCM570xx Gigabit Ethernet


  95. # Pseudo devices.
  96. device  loop  # Network loopback
  97. device  random  # Entropy device
  98. device  ether  # Ethernet support
  99. device  tun  # Packet tunnel.
  100. device  pty  # Pseudo-ttys (telnet etc)
  101. device  md  # Memory "disks"
  102. device  gif  # IPv6 and IPv4 tunneling
  103. device  bpf  # Berkeley packet filter

  105. # USB support
  106. device  uhci  # UHCI PCI->USB interface
  107. device  ohci  # OHCI PCI->USB interface
  108. device  ehci  # EHCI PCI->USB interface (USB 2.0)
  109. device  usb  # USB Bus (required)
  110. device  ukbd  # Keyboard
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
king_819

论坛徽章:
0
13 [报告]
发表于 2012-03-08 15:21 |只看该作者
本帖最后由 king_819 于 2012-03-08 15:29 编辑
chenyx 发表于 2012-03-08 15:13
另外,ssh服务应该加固,ssh协议只用协议2,采用key的方式登录,禁止密码登陆以及root登陆,除了key方式以外的认 ...



ssh用key认证,再配合上sudo
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
king_819

论坛徽章:
0
14 [报告]
发表于 2012-03-08 15:22 |只看该作者
本帖最后由 king_819 于 2012-03-08 15:29 编辑
chenyx 发表于 2012-03-08 15:13
另外,ssh服务应该加固,ssh协议只用协议2,采用key的方式登录,禁止密码登陆以及root登陆,除了key方式以外的认 ...



ssh用key认证,再配合上sudo
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenyx

论坛徽章:
381
CU十二周年纪念徽章 日期:2014-01-04 22:46:58CU大牛徽章 日期:2013-03-13 15:32:35CU大牛徽章 日期:2013-03-13 15:38:15CU大牛徽章 日期:2013-03-13 15:38:52CU大牛徽章 日期:2013-03-14 14:08:55CU大牛徽章 日期:2013-04-17 11:17:19CU大牛徽章 日期:2013-04-17 11:17:32CU大牛徽章 日期:2013-04-17 11:17:37CU大牛徽章 日期:2013-04-17 11:17:42CU大牛徽章 日期:2013-04-17 11:17:47CU大牛徽章 日期:2013-04-17 11:17:52CU大牛徽章 日期:2013-04-17 11:17:56
15 [报告]
发表于 2012-03-08 15:22 |只看该作者
回复 14# king_819


    sudo,不是sodu
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
king_819

论坛徽章:
0
16 [报告]
发表于 2012-03-08 15:25 |只看该作者
回复 15# chenyx

呵呵。。打反了


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dooros

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:29:07CU大牛徽章 日期:2013-03-13 15:29:49CU大牛徽章 日期:2013-03-13 15:30:192015年迎新春徽章 日期:2015-03-04 09:57:09
17 [报告]
发表于 2012-03-08 15:34 |只看该作者
目前遇到的安全问题,大都集中在弱口令上。
高端的黑客攻击基本没遇到过,内核提权之类的也没遇到过。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
dooros

论坛徽章:
4
CU大牛徽章 日期:2013-03-13 15:29:07CU大牛徽章 日期:2013-03-13 15:29:49CU大牛徽章 日期:2013-03-13 15:30:192015年迎新春徽章 日期:2015-03-04 09:57:09
18 [报告]
发表于 2012-03-08 15:35 |只看该作者
自己编译的内核需要及时关注内核的安全更新,毕竟防患于未然。性能有提升,但增加了维护的工作量。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
gilet

论坛徽章:
18
巳蛇 日期:2014-12-03 08:27:5115-16赛季CBA联赛之吉林 日期:2016-04-18 15:24:24qiaoba 日期:2016-06-17 17:41:1615-16赛季CBA联赛之八一 日期:2016-06-20 15:13:1415-16赛季CBA联赛之广夏 日期:2016-06-29 10:38:28极客徽章 日期:2016-12-07 14:03:4015-16赛季CBA联赛之吉林 日期:2017-03-06 13:47:55
19 [报告]
发表于 2012-03-08 15:45 |只看该作者
ssh更改端口,用key登录
sudo感觉就是个怪东西
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
king_819

论坛徽章:
0
20 [报告]
发表于 2012-03-08 16:04 |只看该作者
chenyx 发表于 2012-03-08 15:07
系统安全,有个原则,就是只开放必要的端口,其他的端口一律不开放.比如一个web服务,我们只开放22和80端口


这个防护还不够严格
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12345678910... 12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP