3-1-4 CentOS 6.5的安全配置 (2)

CentOS的安全配置
CentOS 6.5系统安装完毕后，涉及到安全的 一些参数的默认值都是比较保守的，因此可 以通过禁用不必要的服务、重置防火墙规则 等方式，来提高系统的安全性，更好的发挥 系统的可用性。
涉及系统登录、账号修改、用户组修改、远程 登录、网络连接等安全情况的记录均会保存在 文件“/var/log/secure”中，因此定期查阅文 件内容，可以针对潜在的安全问题采取相应的 对策。
INVALID：无效的封包，例如数据破损的封包状态。
ESTABLISHED：已经联机成功的联机状态。
NEW：想要新建立联机的封包状态。
RELATED：表示这个封包是与主机发送出去的封包 有关，可能是响应封包或者是联机成功之后的传送 封包。此态经常被设定，因设定后，只要未来由本 机发送出去的封包，即使没有设定封包的INPUT规 则，该有关的封包还是可以进入主机，可以简化相 当多的设定规则。
目标动作即处理数据包的方式有四种：
ACCEPT：允许数据包通过。 DROP：直接丢弃数据包，不给任何回应信息。 REJECT：拒绝数据包通过，必要时会给数据发送端
一个响应的信息。 LOG：在“/var/logபைடு நூலகம்messages”文件中记录日志信
息，然后将数据包传递给下一条规则。
“-m state --state”参数后可接四种状态：
在文件“/etc/init/control-alt-delete.conf” 中编辑。
SELinux是以牺牲系统服务和驱动程序的兼容性 来提高系统安全性。在SELinux没有设置为 “permissive”或“disabled”的情况下，有些 应用程序运行时可能会被拒绝，导致无法正常 运行的情况，例如：如果对一个文件没有正确 安全上下文配置，甚至root用户也不能启动某 服务。因此，绝大多数情况下，安装完CentOS 6.5后，可以将SELinux关闭，保证系统服务和 驱动程序的兼容性。
用户登录密码是Linux安全的基础。CentOS 6.5 的默认登录密码长度要求为5位，很容易被人破 解，因此可以在系统中强制要求用户设置足够 长度的登录密码，确保不被轻易破解。
安装完操作系统后，会发现除了超级用户之外， 还有很多伪用户及其用户组。应该禁止所有默 认的被操作系统本身启动但不必要的账号，如： games、operator、news、sync等，因为账号 越多系统就越容易受到攻击。
内容删除。 -I：在指定链中插入（insert）一条新的规则，默认在第一行添加。 -R：修改、替换（replace）指定链中的某一条规则，可以按规则
序号和内容替换。 -L：列出（list）指定链中所有的规则进行查看 -F：清空（flush）。 -N：新建（new-chain）一条用户自己定义的规则链。 -X：删除指定表中用户自定义的规则链（delete-chain）。 -P：设置指定链的默认策略（policy）。
chattr命令的基本格式如下： chattr 选项参数
常用选项如下：
-R：递归处理，将指令目录下的所有文件及子目录 一并处理。
-v<版本编号>：设置文件或目录版本。 -V：显示指令执行过程。 +<属性>：开启文件或目录的该项属性。 -<属性>：关闭文件或目录的该项属性。 =<属性>：指定文件或目录的该项属性。
iptables命令可以查看、添加、修改、删除防火墙规则，其基 本格式如下： iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标
动作或跳转] 常用命令选项如下：
-A：在指定链的末尾添加（append）一条新的规则。 -D：删除（delete）指定链中的某一条规则，可以按规则序号和