freeradius 配置信息详解
Radiusd.conf文件是freeradius的核心配置文件,其中设置了服务器的基本信息,配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息,与认证和计费所使用模块的配置. 配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变. 变量的格式参照variables.txt.
1.1 环境变量
此处定义其他配置文件以及目录的位置,也就是环境变量
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = ${prefix}/var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log/radius
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
配置文件和日志文件的位置
confdir = ${raddbdir}
run_dir = ${localstatedir}/run/radiusd
日志文件的信息,添加到如下配置文件的底部
log_file = ${logdir}/radius.log
1.2 全局配置
模块的位置由libdir来配置。
如果不能工作,那么你可以从新配置,从新Build源码,并且使用共享库。
pidfile: Where to place the PID of the RADIUS server.
pidfile = ${run_dir}/radiusd.pid
user/group
如果有评论,服务器会运行用户/组启动它. 修改用户/组,必须具有root权限启动服务器
这里的含义是指定启动radius服务可以限定操作系统上的用户和组,但是不建议启动它.
#user = nobody
#group = nobody
最长请求时间(秒),这样的问题经常需要存在在应用SQL数据库时候,建议设置为5秒到120秒之间.
max_request_time = 30
当请求超过最长请求时间的时候,可以设置服务器删除请求.
当你的服务在threaded(线程下)运行,或者线程池(thread pool) 模式,建议这里设置为no.
但用threaded 服务设置为yes时,有可能使服务器崩溃.
delete_blocked_requests = no
在reply 发送给NAS后的等待清空时间. 建议2秒到10秒
cleanup_delay = 5
服务器的请求最大数,建议值256 到无穷
max_requests = 1024
让服务器监听某个IP,并且从次IP发送相应信息. 主要是为了服务器同时具有多服务器时候使用.
bind_address = *
可以指定raidus的使用端口号,使用0表示使用默认的radius端口,在配置文件/etc/services配置.
port = 0
如果需要服务器同时监听其他的IP,可以用listen 块. 下面是例子#listen {
# IP address on which to listen.
# Allowed values are:
# dotted quad (1.2.3.4)
# hostname (https://www.360docs.net/doc/7111250047.html,)
# wildcard (*)
# ipaddr = *
# Port on which to listen.
# Allowed values are:
# integer port number (1812)
# 0 means "use /etc/services for the proper port"
# port = 0
# Type of packets to listen for.
# Allowed values are:
# auth listen for authentication packets
# acct listen for accounting packets
#
# type = auth
#}
hostname_lookups大概是表示为NAS查找它的域名信息?可以通过域名配置NAS?
hostname_lookups = no
是否允许core dumps.
allow_core_dumps = no
expressions支持,规则和扩展.
regular_expressions = yes
extended_expressions = yes
记录User-Name属性的全称.
log_stripped_names = no
是否记录认证请求信息到日志文件
log_auth = no
当请求被拒绝时记录密码,当请求正确时记录密码
log_auth_badpass = no
log_auth_goodpass = no
是否允许用户名冲突,即重复同用户同时登陆.强烈不建议启用重复用户.
usercollide = no
将用户名小写化,将密码小写化.
lower_user = no
lower_pass = no
是否去除用户名和密码中的空格
nospace_user = no
nospace_pass = no
程序执行并发检查(不理解含义)
checkrad = ${sbindir}/checkrad
安全配置域
security {
指在Radius包中的最大属性数目.设置为0表示无穷大.
max_attributes = 200
发送Access-Reject 包时候,可以设置一定的延迟,以缓慢DOS攻击,也可以缓慢穷举破解用户名和密码的攻击
reject_delay = 1
服务器是否对状态服务器的请求信息进行相应.
status_server = no
}
PROXY CONFIGURATION
代理域.
是否开启代理服务,具体配置参照${confdir}/proxy.conf proxy_requests = yes
$INCLUDE ${confdir}/proxy.conf
Clients配置
$INCLUDE ${confdir}/clients.conf
是否启用snmp配置,具体配置文件在snmp.conf snmp = no
$INCLUDE ${confdir}/snmp.conf
线程池配置域
thread pool {
启动时服务的个数.(在启动Mysql模块后可以明显看到.)当同时进行的请求数超过5个时,会增加线程服务.
start_servers = 5
最大的服务数
max_servers = 32
当少于最少空闲服务时,它会建立服务,大于最大空闲服务时会停止多余的服务.
最少空闲服务,与最大空闲服务.
min_spare_servers = 3
max_spare_servers = 10
每个server最大的请求数.当有内存漏洞时,可能需要配置.
max_requests_per_server = 0
}
1.3 模块配置
1.3.1 PAP 模块
# Supports multiple encryption schemes 支持多种加密方式# clear: Clear text 明文
# crypt: Unix crypt Unix 加密
# md5: MD5 ecnryption MD5加密
# sha1: SHA1 encryption. SHA1加密
# DEFAULT: crypt 默认是Unix加密
pap {
encryption_scheme = crypt
}
1.3.2 CHAP模块
chap {
authtype = CHAP
}
1.3.3 PAM模块
PAM模块(PAM) 是行业标准验证框架,
鉴于很多系统的PAM库都有内存漏洞,所以不建议使用。pam {
pam_auth = radiusd
}
1.3.4 UNIX 系统用户的认证模块
unix {
cache = no
cache_reload = 600
# passwd = /etc/passwd
# shadow = /etc/shadow
# group = /etc/group radwtmp = ${logdir}/radwtmp }
1.3.5 EAP模块
详细见${confdir}/eap.conf $INCLUDE ${confdir}/eap.conf 1.3.6 MSCHAP 模块
mschap {
#use_mppe = no
#require_encryption = yes
#require_strong = yes
# 为了纠正window发送chap时有时包括域,有时又不包括域的信息.
#with_ntdomain_hack = no#ntlm_auth = "/path/to/ntlm_auth –request-nt-key
–username=%{Stripped-User-Name:-%{User-Name:-None}}
–challenge=%{mschap:Challenge:-00}
–nt-response=%{mschap:NT-Response:-00}"
}
1.3.7 LDAP 配置模块
LDAP模块只能在Access-Request packet 中包含明文密码属性才可以被使用。LDAP认证不能在其他任何认证方法中使用。
具体配置详见下属章节。(参看doc/rlm_ldap)。
1.3.8 passwd 模块
Passwd模块允许通过任何passwd样式的文件进行授权,并可以从这些模块中提取属性信息。
smbpasswd例子
#passwd etc_smbpasswd {
# filename = /etc/smbpasswd
# format = "*User-Name::LM-Password:NT-Password:SMB-Account-CTRL-TEXT::"
# authtype = MS-CHAP
# hashsize = 100
# ignorenislike = no
# allowmultiplekeys = no
#}
#passwd etc_group {
# filename = /etc/group
# format = "=Group-Name:::*,User-Name"
# hashsize = 50
# ignorenislike = yes
# allowmultiplekeys = yes
# delimiter = ":"
#}
1.3.9 Realm 模块
应用在代理上. You can have multiple instances of the realm module to
support multiple realm syntaxs at the same time. The search order is defined by the order in the authorize and preacct sections.
realm IPASS {
format = prefix
delimiter = "/"
ignore_default = no
ignore_null = no
}
# ‘username@realm’
#
realm suffix {
format = suffix
delimiter = "@" ignore_default = no ignore_null = no
}
# ‘username%realm’#
realm realmpercent { format = suffix delimiter = "%" ignore_default = no ignore_null = no
}
# ‘domain\user’
#
realm ntdomain {
format = prefix
delimiter = "\\"
ignore_default = no
ignore_null = no
}
1.3.10 简单值检查模块(checkval)
It can be used to check if an attribute value in the request matches a (possibly multi valued) attribute in the check items This can be used for
Apache系统安全配置基线
Apache系统安全配置基线
Apache安全配置基线 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章账号管理、认证授权 (1) 2.1账号 ....................................................................................................... 错误!未定义书签。 2.1.1用户帐号设置............................................................................... 错误!未定义书签。 2.1.2删除或锁定无效账号 ................................................................... 错误!未定义书签。 2.2认证 (1) 2.2.1密码复杂度................................................................................... 错误!未定义书签。 2.2.2权限最小化 (1) 第3章日志审计 (2) 3.1日志审核 (2) 第4章其他配置操作 (3) 4.1.1登陆超时退出............................................................................... 错误!未定义书签。 4.1.2自定义错误信息 (3) 4.1.3限制访问IP .................................................................................. 错误!未定义书签。 4.1.4禁止目录遍历............................................................................... 错误!未定义书签。 第5章持续改进 (5) ii
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
Radius Manager 3.9.0 Free v0.2 全自动安装ISO 安装说明修正版
Radius Manager 3.9.0 Free v0.2 全自动安装ISO RouterClub论坛免费提供。 补丁更新至radiusmanager-3.9.0-rel-patch4 基于CentOS 5.6构建,AMP均是目前最新稳定版本,从源码编译经过适当优化。 各程序安装目录均统一到/wlancn ,方便备份和移植。 mysql/ 5.5.11 Apache/ 2.2.17 PHP/ 5.3.6 FreeRADIUS/ 2.1.8 安装后默认IP:192.168.9.222 netmask:255.255.255.0 gateway:192.168.9.1 http://192.168.9.222/admin.php 后台账户: admin 密码:2911911 http://192.168.9.222:8080 为phpmyadmin管理工具 默认ROOT密码随机生成,控制台登陆位置第二排ID: 后内容含字母tcp字段为密码mysql root密码与此相同,虽然密码随机生成,也请及时修改。 修改myql数据库密码需要修改3处内容 1:/etc/radiusmanager.cfg 2:/wlancn/web/radiusmanager/config/system_cfg.php 3:/wlancn/freeradius/etc/raddb/sql.conf ISO文件MD5:1669a52e69e2d7c01da92ef7cc52ff30 ram390freev2.iso 425M 整套文件免费提供,禁止任何形式的销售。自由传播,转载请注明出处,违者就自家死大半吧。 CS授权来至官方,仅供学习交流,请支持正版。有任何问题请发帖到论坛交流,私人消息就免了。 --------------------- 20110510 修正无法得到root 密码问题,修正修改IP后mac地址修改无效导致的授权错误问题。
Istorage服务器安装和使用指南
Istorage服务器安装和使用指南 准备一台服务器。 注意:安装程序会将系统盘上的所有分区删除,原来的数据会都丢失,有用的数据要先备份。 先下载安装光盘iso,然后刻录成一张光盘, 将启动光盘放入光驱中,让光盘引导系统启动。 系统启动完毕,提示输入用户名和密码。 默认情况下用户名是root,密码是123,用户可以用passwd root命令修改密码 1.执行par命令,看系统上的磁盘名称,如下图: 关键看Name一项,不带数字的是表示磁盘,带数字的表示磁盘的分区,例如sda表示第一个磁盘,sda1表示第一个磁盘的第一个分区,sdb表示第二个磁盘,他没有分区。 2.如果要安装的系统盘上有分区,执行clear_disk 磁盘名,如要安装的是刚才看到的sda盘,就执行clear_disk sda,会看到类类似下图的结果:
可以看到磁盘sda的分区都被删除了,这个时候要重启服务器。然后在安装系统。 3.安装系统: 安装命令介绍: install 磁盘名磁盘缓存大小(GB) 根据你的实际情况,选择不同的安装参数,。例如, Linux下的磁盘名规范: IDE硬盘,IDE盘的主通道的主盘是hda,从盘是hdb,从通道的主盘是hdc,从盘是hdd,你看看你的盘怎么接的就知道了。 如果是SATA或SCSI硬盘,磁盘名一般是sda 如果还不清楚,安装前执行par,看看是否有:hda,hdb,hdc,hdd或sda,sdb ,sdc的名称。 例子:IDE硬盘,一般执行install hda SATA或SCSI硬盘,一般执行install sda 4. 重启服务器: 取出光盘,执行reboot命令重启服务器。 5. 注册服务器: 执行管理客户端istorage。exe,输入ip,默认没有密码,进去了可以修改密码,登陆服务器,如下图:
TongWeb服务器安全配置基线
TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
freeRadius + daloRadius安装手册
freeRadius + daloRadius安装手册 一、概念 (2) 二、环境准备: (2) 三、安装步骤: (2) 1. 安装LAMP平台yum install httpd mysql* php* (2) 2. 安装freeradius yum install -y freeradius* (2) 3. 设置服务启动 (2) 4. 修改mysql 密码 (2) 5. 重起服务器。 (2) 6. 用radtest steve testing localhost 0 testing123进行测试, (2) 7. 登录Mysql创建radius库,并分配权限 (3) 8. 创建备份目录mkdir /root/freeradius-conf-backup (3) 9. 配置FreeRadius支持sql (3) 10. 安装daloradius (4) 11. 导入mysql元数据 (4) 12. 配置daloRadius: (4) 13. 通过网页访问http://10.xx.0.7/radius (5) 14. 登入http://10.xx.0.7/radius 用户名为administrator 密码为:radius, (5) 四、FreeRadius管理 (6) 1. NAS管理 (6) 2. 防火墙添加Radius认证信息 (7) 3. 限制用户并发,只允许一个用户登入 (8)
一、概念 freeRadius为AAA Radius Llinux下开源解决方案,daloRadius为图形化web管理工具。二、环境准备: OS:Centos 6.5,需要LAMP,Freeradius,以及daloRadius 三、安装步骤: 1. 安装LAMP平台yum install httpd mysql* php* 2. 安装freeradius yum install -y freeradius* 3. 设置服务启动 chkconfig radiusd on chkconfig httpd on chkconfig mysqld on 4. 修改mysql 密码 mysqladmin -u root password 'xxx-xx123' 5. 重起服务器。 启动后radiusd -X进入调试模式 6. 用radtest steve testing localhost 0 testing123进行测 试, 返回
centos搭建freeradius
1.安装openssl,mysql,freeradius,freeradius-utils(支持radtest) yum install openssl yum install mysql yum install freeradius yum install freeradius-utils 启动radius服务: radiusd -X 备注:这个方法很实用,尤其是在debug测试阶段,可以详细的看到用户认证的流程,认证方式,用户名/密码,错误消息,方便快速定位。 1.讲解freeradius两个最重要最基本的文件:users和clients.conf 1.1 详细讲解/etc/raddb/clients.conf文件 client 127.0.0.1/24 { secret = localtest #共享密钥,用于pap/chap/mschap认证 shortname = any #FQDN或IP地址别名,我用any/localhost/127.0.0.1都测试过,看不出什么区别。这个值在2.X也不是必须。 } client localhost { ipaddr = 127.0.0.1 secret = localtest require_message_authenticator = no # 在1.x版本,client发送Access-Request时不会携带Message-Authenticator,但是从2.x以后,RFC5080建议所有的clients发送Message-Authenticator,如果设为yes,client没有携带Message-Authenticator,报文会悄悄的discarded掉,而不会通知client # shortname = localhost #optional in 2.x nastype = other #nastype告诉‘checkrad.pl’使用哪个NAS-specific 方法查询可同时使用的NAS。localhost不需要使用NAS。 #下面两个配置是为将来保留。当前使用‘naspassed’文件存储NAS的用户名和密码,这在checkrad.pl查询可以同时使用的NAS。 # login = !root # password = someadminpas #从2.0开始,clients可以指定一个virtual server如: # virtual_server = home1 #一个指向‘home_server_pool’或‘home_server’的指示器包括这个client的Coa配置。例如,一个coa的home server或home pool,参考raddb/sites-available/originate-coa。 # coa_server = coa #降低从client到server的response_window的报文,注意不可以增大response_window. # response_window = 10.0 } # IPv6 Client
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
Windows服务器配置与管理
连云港职业技术学院 信息工程学院《Windows服务器配置与管理》 大作业文档 题目:终端服务的管理与配置 姓名: 学号: 29号 专业:计算机网络技术 导师: 连云港职业技术学院信息工程学院 2010 年12 月
摘要 客户端通过终端服务客户端软件连接到终端服务器,在客户端的显示器上将显示出终端服务器使用的操作系统的界面。客户端软件讲客户鼠标和键盘的操作传送给服务器,然后将服务器显示的界面传送给客户端。对客户端而言,就像操作本地计算机一样。 Windows server 2003终端服务器可用来管理每个客户远程登录的资源,它提供了一个基于远程桌面协议的服务,使windows server 2003成为真正的多会话环境操作系统,并让用户能使用服务器上的各种合法资源。也可以让使用配置较低计算机的用户,通过终端服务使用服务器上最新的操作系统或者软件。 【关键字】终端服务器远程桌面远程协助配置
目录 摘要 (2) 第1章引言 (4) 第2章系统实现 (5) 2.1 安装终端服务器 (5) 2.2 windows XP的设置 (11) 2.3 终端服务器的连接配置 (15) 2.4 配置和使用“远程桌面” (20) 2.5 配置远程协助 (25) 2.6使用基于HTTP协议的终端服务器 (32) 2.6.1远程管理(html) (32) 2.6.2远程桌面web连接 (34) 第3章总结 (38) 参考文献 (39)
第1章引言 Windows server 2003操作系统提供了可用于从远程位置管理服务器的工具。这些工具包括“远程桌面”管理单元、终端服务器、远程协助、Telnet服务等远程管理工具。了解每种工具的优点和安全性需要后,就可以为远程管理和管理任务选择最合适的工具了。 终端服务器是通过网路服务器来提供一种有效和可靠的方法,分发基于windows的程序。它通过网络处理从客户端远程桌面传递的命令,运行后将结果传回远程桌面。通过终端服务器,可允许多个用户同时访问运行windows server 2003家族操作系统之一的服务器上的桌面。可以运行程序、保存文件和使用网络资源,就像坐在那台计算机前一样。 远程桌面是安装在网络中的客户端上的一种瘦客户端软件,它授权远程访问运行windows server 2003家族操作之一的任何计算机桌面,而并不对管理员下达的指令进行任何处理。允许用户实际通过网络中的任何计算机管理服务器——甚至是Microsoft Windows Server 2003服务器。 使用终端服务的优点是:将windows server 2003家族操作系统更快的引入桌面;充分利用已有的硬件;可以使用终端服务器集中部署程序;使用终端服务器远程桌面。 Windows server 2003终端服务新增功能:程序的集中部署;对应用程序的远程访问;单应用程序访问;终端服务管理器;远程控制;音频重定向;组策略集成;分辨率和颜色增强功能。
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
Radius Manager3.8安装说明汇总及工具记录
Radius Manager安装全攻略 以下内容根据个人安装过程及官方英文文档而成, CentOS 5.5下Yum安装本地光盘软件首先要先挂载光盘,把光盘挂载到media/cdrom/, 用WinSCP工具登陆到CentOS5.5,在media目录中建立cdrom目录。 命令: mount /dev/cdrom /media/cdrom (其他方法这里就不介绍了) 现在就是要安装软件咯,命令如下: yum --disablerepo=\* --enablerepo=c5-media install mysql-server yum --disablerepo=\* --enablerepo=c5-media install mysql-devel yum --disablerepo=\* --enablerepo=c5-media install curl yum --disablerepo=\* --enablerepo=c5-media install php-mysql yum --disablerepo=\* --enablerepo=c5-media install compat-libstdc++-33 yum --disablerepo=\* --enablerepo=c5-media install libtool yum --disablerepo=\* --enablerepo=c5-media install freetype-devel yum --disablerepo=\* --enablerepo=c5-media install libpng-devel yum --disablerepo=\* --enablerepo=c5-media install libjpeg-devel 一句话可以搞定。 yum --disablerepo=\* --enablerepo=c5-media install mysql-server mysql-devel curl php-mysql compat-libstdc++-33 libtool yum --disablerepo=\* --enablerepo=c5-media install gcc php mysql mysql-server mysql-devel php-mysql php-mcrypt curl php-curl compat-libstdc++-33 libtool-ltdl-devel httpd 解密: 拷贝incode_loader_lin_4.3.so到/usr/local/ioncube/下,如果没有文件夹,则新建 打开/etc,找到php.ini,在最后加入以下一句话 zend_extension=/usr/local/ioncube/ioncube_loader_lin_4.3.so radius manager系列安装教程 3.freeradius 安装 配置文件见附件 freeradius下载 https://www.360docs.net/doc/7111250047.html,/read-htm-tid-376.html 上传安装文件到/home 解压文件
服务器配置及软件使用
1、Samba服务器配置 (1)安装samba服务器 Rpm -ivh /mnt/Packages/samba-3.5.10-125.el6.i686.rpm (2)添加用户并修改密码 Useradd forkp Passwd forkp (3)设置该用户登录samba服务的密码 Smbpasswd -a forkp (4)配置samba服务 vim /etc/samba/smb.conf 全局配置【Global】 workgroup = mygroup //设置局域网中的工作组名 server string = Samba server//设置Linux主机描述性文字security = user //samba等级,user代表需要输入用户名和密码,改成share则不需要用户名和密码 Path=/home/share //共享文件夹,需设置好权限 Valid users=forkp //这个share目录只允许forkp用户进入 Public=no //表示除了forkp外,其他用户看不见;为yes时,能看见,但不能进入。 Writable=yes //允许forkp在share目录下进行读写操作
(5) 重启samba服务 /etc/init.d/smb restart 前提-1 从windows能够Ping通Linux 前提-2 关闭Linux防火墙运行命令:/etc/init.d/iptables stop 常见问题 1.通过samba访问linux速度很慢,且很多目录访问失败 故障原因 2.未关闭Selinux,通过执行命令setenforce permissive将其关闭2、安装arm交叉工具链 (1)tar -zxvf arm-linux-gcc-4.3.2 -C / 解压到根目录下 (2)用vi /etc/profile 改变环境变量,改变如下: 在fi后添加export PATH=$PATH:/usr/local/arm/4.3.2/bin(看你安装的工具链) (3)Source /etc/profile 使之生效 3、tftp服务器配置 (1)安装tftp服务器 rpm –ivh /mnt/Packages/tftp-server-0.49-7.el6.i686.rpm (2)配置tftp服务器 vim /etc/xinetd.d/tftp 主要将”disable=yes”改为”no”
服务器安装配置流程
服务器安装配置流程 一、检查产品外包装是否完好。 二、对照客户要求,拿出相应的硬件。 三、安装步骤: 1.安装硬件前应核对好硬件的编号和性能是否是客户所需求的,不制式的标签要清理掉,换上制式的标签,并且要将硬件表面用清洁剂清理干净。 2.首先,安装cpu,安装cpu的时候,先检查一下针脚是否有弯曲的迹象,如果有,报至采购,确定好针脚完好之后,将cpu安装在主板上,注意不要用手碰到底面,不然会有手印残留,安装时候,“三角对三角”,将cpu固定完好后,记得要涂上硅胶(新的cpu一般都自带硅胶),涂硅胶的时候记得涂抹均匀,还有硅胶不要滴落进机器里面,然后安装风扇,安装风扇的时候记得用双手控制螺旋杆,避免滑落,刮伤机器。 3.下一步安装内存,一般两个cpu是分AB两个区的,面对机器,B区是从最右边开始,B1,B2,B3.......以此类推,A区也是如此,安装内存也是从1开始装,安装时候记得要卡好位置。 4.安装阵列卡,阵列卡分许多种,我们按照客户的要求选择带电源或者不带电源的,一般是选择带电源的(能够自己储存数据)。安装的时候小心,别弄坏阵列卡。 5.安装硬盘和电源。 四、安装Windows server 2008 R2系统 一、配置服务器RAID 1.开机自检界面按照屏幕提示,按Ctrl+R进入RAID配置界面,如图1-1所示:
图1-1 开机自检界面 2.等待一小会儿,系统自动进入虚拟磁盘管理器(Virtual Disk Management),准备开始配置RAID,如图1-2所示: 注:此界面中按Ctrl+N和Ctrl+P可进行界面切换。 图1-2 虚拟磁盘管理器界面 3.此时虚拟磁盘为空,按上下键使光标停留在阵列卡型号所在行(图中的PERC H310 Mini),按F2弹出菜单,选择Create New VD创建新的虚拟磁盘,如图1-3所示:
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
freeradius部署总结
Freeradius + mysql + 华为AP无线认证 1freeradius安装与测试 1.1安装freereradius 与 mysql。 环境:centos 6.6 软件版本freeradius-server-2.2.9。 #mkdir /usr/local/radius //创建一个安装包目录。 #mv freeradius-server-2.2.9.tar.gz /usr/local/radius //将安装包移动至此目录下。 #cd /usr/local/radius //进入该目录 #tar –zxvf freeradius-server-2.2.9.tar.gz //解压文件到当 前目录 #cd freeradius-server-2.2.9 //进入该文件夹 安装之前,先将需要的库环境安装,因为系统安装的版本不一致, 可能没有安装相应的库。 #yum install –y gcc vim //编译工具和编辑工具 #yum install –y openssl.devel //安装OpenSSL库 #./configure //安装检查 #make//编译 #make install //安装
1.2测试redius服务是否安装成功。 相关配置文件路径为: /usr/local/etc/raddb/。 #vim /usr/local/etc/raddb/users 去掉以下内容前面的#注释: steve Cleartext-Password := "testing" 这样就有了测试账号steve和密码:testing。 或者自行新建一行记录。 1.3对radius服务进行启动测试。 #radiusd –X,在debug 模式下运行,可以看到报错和认证信息。 如果程序正常运行,最后三行如下 Listening on authentication *:1812 Listening on accounting *:1813 Ready to process requests. 1.4进行简单的连接测试 # radtest steve testing localhost 1812 testing123出现Access-Accept字样说明成功。 这里的testing123是在/etc/raddb/clients.conf中定义的localhost的密码。测试完成后将steve用户再恢复原样,即加上#注释。 测试成功后把/usr/local/etc/raddb/users改回去。
服务器环境的安装与配置
服务器环境的安装与配置 首先,我们将服务器的主机、显示器、键盘、鼠标等设备连接好,然后接上电源。 接下来开始安装服务器的操作系统。需要准备的是一个windows server 2008 r2的系统安装光盘。 由于系统的安装过程中无法用屏幕录制软件全程录制下来,所以我们这里使用虚拟机来重现服务器系统的安装过程:首先在bios设置界面将电脑的启动项修改为dvd光盘启动。 将光盘放入电脑后保存设置并重启电脑,进入下图所示界面,点击下一步即可。
进入下图所示界面,点击现在安装。 进入下图所示选择操作系统的界面,这里我们选择第五个,完全安装的64位数据中心版本的windows server 2008 r2系统。由于技术问题,所以我们需要使用用户界面来辅助我们使用服务器,所以我们不是选择服务器核心(没有用户界面)的版本。点击下一步继续。
进入选择分区的界面,这里如果没有分区我们可以根据需要新建。这里我们选择60G的分区来安装系统,另外一个分区作为数据存储的分区供服务器共享。点击下一步继续。 接下来系统会自动进行安装,无需人为来进行操作。
系统安装好后会自动重启并自动进行系统运行所必要的相关环境布置,也无需人为干预。 系统布置好环境后需要我们为系统设置管理员的密码,这里需要输入两次以确认密码准确。由于windows server 2008 r2的要求,密码不能设置的太简单,需要三种符号结合使用,也确保了服务器在使用时的安全性。
密码设置好后点击确定即可进入系统桌面。 初始的桌面比较简洁。至此,服务器的系统已经安装完毕。 在系统安装好后,我们需要给服务器接入网线配置网络,这里我们给此服务器分配了的ip,后面配置FTP的时候我们也会用到这个ip。
FreeRadius配置与验证测试_v3.0
Freeradius配置与验证测试 [摘要]本文主要介绍FreeRadius安装和基本测试。增加介绍配置FreeRadius支持IPv6地址方式认证的内容。 在CentOS5.5系统安装和配置FreeRadius服务器,进行简单的认证测试。在安装FreeRadius服务器前,预先需要在服务器上安装Gcc编译器和openssl。 1环境检查 1、查看openssl版本 # openssl version -a OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 2、查看gcc版本 #gcc –v gcc 版本4.1.2 20080704 (Red Hat 4.1.2-52) 3、系统进行一次升级 #yum –y update 2FreeRadius安装 到官网下载FreeRadius安装包 https://www.360docs.net/doc/7111250047.html,/ 在此下载的是Version 2.2.0. tar.gz(PGP Signature)版本 freeradius-server-2.2.0.tar.gz 1、上传到CentOS服务器,注意要使用二进制方式,建议放到根目录下。 2、修改文件属性 #chmod 777 freeradius-server-2.2.0.tar.gz 3、解压文件
#tar xvf freeradius-server-2.2.0.tar.gz 4、进入解压目录 # cd freeradius-server-2.2.0 5、编译服务器 #./configure checking for gcc... gcc checking for C compiler default output file name... a.out checking whether the C compiler works... yes checking whether we are cross compiling... no checking for suffix of executables... checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking for g++... g++ checking whether we are using the GNU C++ compiler... yes checking whether g++ accepts -g... yes checking how to run the C preprocessor... gcc -E checking for grep that handles long lines and -e... /usr/bin/grep checking for egrep... /usr/bin/grep -E checking for AIX... no checking whether gcc needs -traditional... no checking whether we are using SUNPro C... no checking for ranlib... ranlib checking for special C compiler options needed for large files... no checking for _FILE_OFFSET_BITS value needed for large files... no checking for ANSI C header files... yes checking for sys/types.h... yes checking for sys/stat.h... yes checking for stdlib.h... yes