linux网络设置
如何在Linux终端中进行网络连接和断开
如何在Linux终端中进行网络连接和断开Linux操作系统的终端是一个强大的工具,它提供了各种命令和功能来管理网络连接。
本文将介绍如何在Linux终端中进行网络连接和断开的步骤。
一、网络连接要在Linux终端中建立网络连接,可以使用以下命令:1. ifconfig:此命令用于显示和配置网络接口。
使用ifconfig命令可以查看系统中所有网络接口的状态。
例如,输入ifconfig可以显示当前网络接口的IP地址、MAC地址、子网掩码等信息。
2. ip命令:这是一个更高级的命令,用于在Linux系统中配置网络接口。
要查看网络接口的状态,请输入ip addr show命令。
要启用或禁用网络接口,请使用ip link set dev <interface> up或ip link set dev<interface> down命令。
其中,<interface>是网络接口的名称,如eth0或wlan0。
3. dhclient命令:此命令用于在Linux中获取动态主机配置协议(DHCP)的IP地址。
例如,输入sudo dhclient可以在现有网络接口上获取DHCP IP地址。
4. nmcli命令:这是NetworkManager的命令行接口,用于管理网络连接。
要查看可用的网络连接,请输入nmcli c show命令。
要启用或禁用网络连接,请使用nmcli c up或nmcli c down命令。
要连接到特定的网络连接,请输入nmcli c up <connection name>命令。
其中,<connection name>是网络连接的名称。
二、网络断开在Linux终端中断开网络连接的方法如下:1. ifconfig命令:要禁用(断开)网络接口,请输入ifconfig<interface> down命令。
其中,<interface>是网络接口的名称,如eth0或wlan0。
Linux网络配置三种方法
Linux⽹络配置三种⽅法第⼀种通过编辑⽹络配置⽂件/etc/sysconfig/network-scripts/ifcfg-ens32 ->TYPE=Ethernet -> ⽹卡类型是以太⽹BOOTPROTO=none -> ip地址获取⽅式有三种:1)dhcp动态获取ip2)none⼿动设置固定ip地址3)static⼿动设置固定ip地址DEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noIPV6_ADDR_GEN_MODE=stable-privacyNAME=ens32 -> ⽹卡连接名UUID=2c22b930-96b9-4ef4-abfb-ff9fbc85ff23 -> ⽹卡的系统设备ID号,做到在系统中独⼀⽆⼆,注意,它不是MAC地址DEVICE=ens32 -> 设备ONBOOT=yes -> 是否(yes/no)开机⾃启IPADDR=192.168.100.20 -> IPv4地址PREFIX=24 -> ⼦⽹掩码 <=> NETMASK=255.255.255.0GATEWAY=192.168.100.1 -> ⽹关DNS1=192.168.100.254 -> DNS地址,⼀个⽹卡可以绑定多个DNSIPV6_PEERDNS=yesIPV6_PEERROUTES=yes第⼆种通过nmcli命令来配置 ->1)nmcli connection show -> 查看所有⽹卡连接信息2)nmcli connection delete ens32 -> 删除已有的⽹卡连接名ens32,注:配置⽂件也被删,但原来的⽹络适配器(即⽹卡设备)还在3)nmcli connection add con-name eth0 ifname ens32 type ethernet autoconnect yes -> 给⽹卡ens32添加⼀个新的⽹卡连接,并将该⽹卡连接设置为:以太⽹类型、开机⾃启4)nmcli connection modify eth0 ipv4.method man ipv4.addresses 192.168.100.20/24 ipv4.gateway 192.168.100.2 ipv4.dns 119.29.29.29 -> 将⽹卡连接eth0修改为:⼿动添加⼀个IPv4地址,地址是192.168.100.20,24位⼦⽹掩码,⽹关地址192.168.100.2,对应的dns服务器地址是119.29.29.29 5)nmcli connection up eth0 -> 开启⽹卡连接eth0 -> 注:如果⽹卡连接起不来,可以先关闭该连接,命令为nmcli connection down eth0,然后再开启该连接6)nmcli connection reload -> 重新加载所有的⽹卡连接配置7)systemctl restart network -> 因为修改了⽹卡配置,所以需要再重启⼀下系统的⽹络服务8)ifconfig -> 检查⼀下⽹络是否配置好了,也可以通过查看/etc/sysconfig/network-scripts/ifcfg-eth0⽂件来确认⽹卡信息是否配置正确9)ping 192.168.100.20 -> 测试新配置好的本地⽹络是否ping得通第三种通过nmtui可视化界⾯来配置⽹络 ->1)nmtui -> 选中Edit a connection,然后回车2)键盘上下键选中要设置的⽹卡名“eth0”,然后按回车键3)键盘上下键选中IPv4 CONFIGURATION后⾯的,然后按回车键4)键盘上下键选中Addresses后⾯的<Add...>回车,然后添加⼀个IPv4地址192.168.100.20/24,添加⼀个Gateway⽹关地址192.168.100.1,以及⼀个DNS地址192.168.100.254,接下来Automatically connect⼀⾏选中,然后选中。
如何在Linux终端中配置和管理网络接口
iface eth0 inet static
address 192.168.0.100
netmask 255.255.255.0
gateway 192.168.0.1
dns-nameservers 8.8.8.8
(3)保存文件并退出。
(4)输入命令sudo ifdown eth0 && sudo ifup eth0,以重新加载网络接口并应用配置。这将使新的静态IP地址生效。
auto eth0
i件并退出。
(4)输入命令sudo ifdown eth0 && sudo ifup eth0,以重新加载网络接口并应用配置。系统将自动从DHCP服务器获取IP地址。
三、管理网络接口
1.启用/禁用接口
要启用或禁用网络接口,可以使用ifup和ifdown命令。例如,要启用一个接口,请在终端中输入命令sudo ifup eth0。同样,要禁用一个接口,请在终端中输入命令sudo ifdown eth0。
2.检查接口连接状态
使用ethtool命令可以检查网络接口的连接状态和速率。例如,输入ethtool eth0命令可以获取eth0接口的连接状态、速度和双工模式。
3.修改接口配置
若要修改接口的IP地址、子网掩码、网关等配置,可以使用命令sudo nano /etc/network/interfaces打开网络接口配置文件,然后根据需要进行修改。完成修改后,保存文件并使用命令sudo ifdown eth0 && sudo ifup eth0重新加载网络接口。
如何在Linux终端中配置和管理网络接口
Linux作为一种开源操作系统,被广泛应用于计算机网络领域。配置和管理网络接口是在Linux终端中进行网络设置的重要任务之一。本文将介绍如何在Linux终端中配置和管理网络接口,以帮助读者更好地理解和应用Linux网络设置技术。
如何在Linux终端中查看和设置网络配置
如何在Linux终端中查看和设置网络配置在Linux终端中,我们可以使用一些命令来查看和设置网络配置。
本文将介绍一些常用的命令和操作,以帮助您有效地管理和配置网络。
一、查看网络配置信息在Linux终端中,我们可以使用以下命令来查看当前系统的网络配置信息:1. ifconfig命令:用于显示或配置网络接口的信息,包括IP地址、子网掩码、网关等。
例如,在终端中输入以下命令可以查看当前网络接口的信息:```ifconfig```2. ip命令:与ifconfig类似,用于显示和修改网络配置信息。
ip命令是较新的命令,具有更多的功能和选项。
使用以下命令可以查看网络接口的信息:```ip addr show```3. route命令:用于显示和操作路由表,即网络数据包的传输路径。
通过以下命令可以查看当前系统的路由信息:```route -n```4. netstat命令:用于显示网络连接、路由表和网络接口等相关信息。
下面的命令可以显示当前的网络连接信息:```netstat -nat```二、设置网络配置信息如果您需要配置网络参数,可以使用以下命令来设置:1. ifconfig命令:通过ifconfig命令可以设置网络接口的IP地址、子网掩码、网关等信息。
例如,以下命令可以将eth0接口的IP地址设置为192.168.0.100,子网掩码为255.255.255.0:```sudo ifconfig eth0 192.168.0.100 netmask 255.255.255.0```2. ip命令:ip命令也可以用来配置网络接口的参数,包括IP地址、子网掩码、网关等。
下面的命令可以将eth0接口的IP地址设置为192.168.0.100,子网掩码为255.255.255.0:```sudo ip addr add 192.168.0.100/24 dev eth0```3. route命令:如果需要添加或删除路由表项,可以使用route命令。
Linux网络配置
IP地址信息配置好并重启网络服务后,要检测网络的通畅性,可使用
ping命令去ping本机地址和网关地址来进行检测。 若本机地址ping不通,则说明网卡工作不正常;网关地址若不通,则应 检查自己主机所在的网段地址和网关地址是否正确。 [root@RHEL5 network-scripts]#ping 192.168.4.253 PING 192.168.4.253(192.168.4.253) 56(84) bytes of data. 64 bytes from 192.168.4.253: icmp_seq=1 ttl=64 time=8.45ms ……
IP地址配置界面:
常用网络配置命令
配置主机名 hostname命令 主机名用于标识一台主机的名称,在网络中主机名具有唯一性。 要查看当前主机的名称,可使用hostname命令。若要临时设置更改主机名, 可使用“hostname 新主机名”命令来实现。 但这种对主机名的更改,在系统重启后将恢复原主机名。 若要使主机名更改长期生效,则应直接修改/etc/sysconfig/network配置文件 中的HOSTNAME配置项。系统启动时,会从该配置文件中获得主机名信息,并进
行主机名的设置。
[root@RHEL5 ~]#more /etc/sysconfig/network NETWORKING=yes //系统是否使用网络服务功 能 NETWORKING_IPV6=yes HOSTNAME=RHEL5 GATEWAY=192.168.4.129 FORWARD_IPV4=false //是否支持IPv6网络 //设置主机名 //设置默认网关 //是否开启IP包的转发
⑵ 一块网卡如何绑定多个IP地址
Linux也支持IP别名,即可以在一个网络接口上配置多个IP地址。Linux通过创建
如何在Linux系统中修改网络设置
如何在Linux系统中修改网络设置在Linux系统中,修改网络设置是一个常见且重要的操作。
无论是配置IP地址、修改DNS服务器、设置网关,还是调整网络接口等,都需要进行相应的网络设置。
本文将介绍如何在Linux系统中进行网络设置的步骤和方法。
一、查看网络接口信息在开始修改网络设置之前,首先需要了解当前系统中的网络接口信息。
可以通过使用命令行工具ifconfig或ip来查看。
1.打开终端,并输入以下命令:```ifconfig```或```ip addr```2.系统将会列出当前系统中的网络接口信息,包括接口名称、IP地址、子网掩码等。
记录下需要修改的网络接口名称和当前的IP地址信息,以备后续修改使用。
二、修改网络设置根据实际需要,可以进行以下几项网络设置的修改。
1.修改IP地址和子网掩码在Linux系统中,可以通过修改网络接口的配置文件来修改IP地址和子网掩码。
1.打开终端,并输入以下命令,编辑网络接口配置文件:```sudo vi /etc/network/interfaces```2.在文件中找到需要修改的网络接口,并按以下格式进行修改:```iface eth0 inet staticaddress 192.168.1.100netmask 255.255.255.0```其中,eth0为网络接口名称,192.168.1.100为新的IP地址,255.255.255.0为新的子网掩码。
3.保存文件并退出编辑器。
4.重启网络接口,使修改生效。
输入以下命令:```sudo /etc/init.d/networking restart```2.修改DNS服务器修改DNS服务器可以用于解决域名解析问题或更改默认DNS服务器。
1.打开终端,并输入以下命令,编辑网络接口配置文件:```sudo vi /etc/resolv.conf```2.在文件中找到"nameserver"行,将其改为新的DNS服务器地址。
Linux中的网络配置技巧使用ifconfig和ip命令进行高级操作
Linux中的网络配置技巧使用ifconfig和ip命令进行高级操作Linux中的网络配置技巧:使用ifconfig和ip命令进行高级操作1. 概述网络配置是Linux系统中的一个重要部分,它允许我们连接到网络并与其他计算机通信。
ifconfig和ip是两个常用的命令行工具,它们提供了丰富的功能,用于配置网络接口和调整网络参数。
本文将介绍一些在Linux中使用ifconfig和ip命令进行高级网络配置的技巧。
2. ifconfig命令ifconfig命令用于配置和管理网络接口。
以下是一些常用的ifconfig 命令选项:2.1 查看网络接口信息要查看Linux系统中所有网络接口的信息,可以使用以下命令:```ifconfig -a```该命令将显示系统中所有网络接口的详细信息,包括接口名称、MAC地址、IP地址和状态等。
2.2 配置IP地址要为网络接口配置IP地址,可以使用以下命令:```ifconfig <interface> <ip_address>```其中,<interface>是网络接口的名称,如eth0或wlan0;<ip_address>是要设置的IP地址。
例如,要为eth0接口配置IP地址为192.168.0.100,可以使用以下命令:```ifconfig eth0 192.168.0.100```2.3 启用或禁用网络接口要启用或禁用网络接口,可以使用以下命令:```ifconfig <interface> upifconfig <interface> down```其中,<interface>是要启用或禁用的网络接口的名称。
例如,要启用eth0接口,可以使用以下命令:```ifconfig eth0 up```3. ip命令ip命令是Linux系统中较新的网络配置工具,提供了更多的功能和选项。
Linux网络配置教程理解IP地址子网掩码和网关
Linux网络配置教程理解IP地址子网掩码和网关Linux网络配置教程——理解IP地址、子网掩码和网关在Linux操作系统中,网络配置是非常重要的一环。
正确配置IP地址、子网掩码和网关是保证网络通信的基础。
本教程将帮助您理解这些概念,并提供相应的网络配置方式。
一、IP地址IP地址是互联网中每个设备(如计算机、服务器、路由器等)在网络中的唯一标识。
它由一系列数字组成,以点分十进制表示(例如192.168.1.1)。
为了正确配置IP地址,您首先需要了解自己所在的网络环境。
一种常见的方式是使用DHCP(动态主机配置协议),它允许网络设备自动获取IP地址。
如果您的网络使用DHCP,请跳过以下内容,系统会自动为您分配IP地址。
如果您的网络不使用DHCP,您需要手动配置静态IP地址。
以下是静态IP地址的配置步骤:1. 打开终端,输入命令`sudo vi /etc/network/interfaces`,这会打开网络配置文件。
2. 您需要找到类似下面这样的行:```iface eth0 inet dhcp```3. 将上面的行改为:```iface eth0 inet staticaddress 192.168.1.100netmask 255.255.255.0gateway 192.168.1.1```其中,address为您配置的静态IP地址,netmask为子网掩码,gateway为网关地址。
4. 按下`Esc`键,输入`:wq`保存并退出。
5. 输入命令`sudo service networking restart`重启网络服务。
完成以上步骤后,您的静态IP地址就已经配置成功了。
您可以使用命令`ifconfig`来验证IP地址的配置情况。
二、子网掩码子网掩码用于划分IP地址中的网络部分和主机部分。
它由一系列数字组成,以点分十进制表示(例如255.255.255.0)。
子网掩码和IP 地址一起使用,决定了网络的范围。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux 系统安全常规配置基本安全措施1. 删除或禁用系统中不使用的用户和组# passwd -l wang //禁用账户wang# passwd -u wang //解锁账户wang或# vi /etc/shadow //保存时为:wq! 因为文件为只读在密码字符前加两个叹号!2. 确认程序或服务的登录shell不可用# vi /etc/passwd //将用户的登录shell改为/sbin/nologin或# usermod -s /sbin/nologin wang3. 限制用户的密码有效期(最大天数)# vi /etc/login.defs //只对新建立的用户有效PASS_MAX_DAYS 30或# chage -M 30 wang //只对已经存在的wang用户有效4. 指定用户下次登录时必须更改密码# chage -d 0 wang或# vi /etc/shadow//将shadow文件中wang用户LAST DAY 域(冒号:分割的第三列)的值设为05. 限制用户密码的最小长度# vi /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12 retry 重试时间minlen 安全级别6. 限制记录命令历史的条数# vi /etc/profileHISTSIZE=50 (默认为1000)# echo ―history -c ― 》~/.bash_logout //注销时清除命令历史记录7. 设置闲置超时自动注销终端# vi /etc /profileexport TMOUT=600 //添加此行使用SU切换用户身份su [-] 用户名[-] 区别:使用:相当于– -login,表示使用目标用户的登录shell环境,工作目录,PA TH变量等不使用:保持原有的用过环境不便案例说明su的使用方法允许wang用户可以通过su命令切换为root身份,以便执行管理任务禁止其他用户使用su命令切换用过身份(1)将允许用户加入wheel组# gpasswd -a wang wheel# id wang //查看wang用户的附加组(2)修改PAM设置,添加pam_wheel认证# vi /etc/pam.d/su auth required pam_wheel.so use_uid //去掉该行的#号(3)验证su权限? 使用sudo提升执行权限1./etc/sudoers配置文件———visudosudo命令提供一种机制,只需要预先在/etc/sudoers配置文件中进行授权,即可以允许特定用户以超级用户(或其他普通用户)的身份执行命令,而该用户不需知道root用户的密码(或其他用户)的密码。
常见语法格式如下:user MACHINE=COMMANDSuser:授权指定用户MACHINE主机:授权用户可以在哪些主机上使用COMMANDS命令:授权用户通过sudo调用的命令,多个命令用,分隔/etc/sudoers文件配置中的用户、主机、命令三个部分均为可以自定义别名进行代替,格式如下User_Alias OPERA TORS=jerry, tom, tsengyiaHost_Alias MAILSERVERS=smtp , popCmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum2.使用sudo执行命令sudo -l :查看当前用过被授权使用的sudo命令sudo -k :清除timestamp时间戳标记,再次使用sudo命令时需要重新验证密码sudo -v :重新更新时间戳(必要时系统会再次询问用户密码)案例说明:因系统管理工作繁重,需要将用户账号管理工作交给专门管理组成员负责设立组账号managers ,授权组内的各个成员用户可以添加、删除、更改用户账号(1)建立管理组账户managers# groupadd managers(2)将管理员账号,如wang加入managers组# gpasswd -M wang.nan managers(3)配置sudo文件,针对managers组开放useradd 、userdel 等用户管理命令的权限# visudoCmns_Alias USERADM = /usr/sbin/useradd , /usr/sbin/userdel , /usr/sbin/usermod%managers localhost = USERADM(4)使用wang账号登录,验证是否可以删除他、添加用户# su – wang# whoami# sudo -l# sudo /usr/sbin/useradd user1# sudo /usr/sbin/usermod -p ― ― user1# sudo /usr/sbin/userdel -r user1文件和文件系统安全优化文件系统层次的安全优化1. 合理规划系统分区建议划分为独立分区的目录/boot :大小建议在200M以上。
/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。
占用空间可能会较多/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用2. 通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序# vi /etc/fstab/dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要从文件系统层面禁止文件的suid 或sgid位权限,将上边的noexec改为nosuid即可3. 锁定不希望更改的系统文件使用+i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的+i 锁定属性# lsattr /etc/passwd //查看文件的属性状态# chattr -i /etc/passwd? 应用程序和服务1. 关闭不必要的系统服务2. 禁止普通用户执行init.d目录中的脚本# chmod -R o-rwx /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用户执行控制台程序/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot –– remove4. 去除程序文件中非必需的set-uid 或set-gid 附加权限查找系统中设置了set-uid或set-gid权限的文件,并结合–exec 选项显示这些文件的详细权限属性# find / -type f perm +6000 -exec ls -lh { } \ ;去掉程序文件的suid/sgid位权限# chmod a-s /tmp/back.vim编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件(1)在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据# find / -type f -prem +6000 > /etc/sfilelist# chmod 600 /etc/sfilelist(2)建立chksfile脚本文件,与sfilelist比较,输出新增的带suid/sgid属性的文件# vi /usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfilelistfor i in ` find / -type -prem +6000 `dogrep -F ―$i‖ $OLD_LIST > /dev/null[ $? -ne 0 ] && ls -lh $idone# chmod 700 /usr/bin/chkfile(3)执行chkfile脚本,检查是否有新增suid/sgid文件# cp /bin/touch /bin/mytouch //建立测试用程序文件# chmod 4755 /bin/mytouch# chksfile //执行程序脚本,输出检查结果系统引导和登录安全优化文件系统层次的安全优化1. 合理规划系统分区建议划分为独立分区的目录/boot :大小建议在200M以上。
/home :该目录是用户默认宿主目录所在的上一级文件夹,若服务器用户数量较多,通常无法预知每个用户所使用的磁盘空间大小/var : 该目录用于保存系统日志、运行状态、用户邮箱目录等,文件读写频繁。
占用空间可能会较多/opt : 用于安装服务器的附加应用程序及其他可选工具,方便扩展使用2. 通过挂载选项禁止执行set位程序、二进制程序使/var分区中程序文件的执行(x)权限失效,禁止直接执行该分区中二进制程序# vi /etc/fstab/dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要从文件系统层面禁止文件的suid 或sgid位权限,将上边的noexec改为nosuid即可3. 锁定不希望更改的系统文件使用+i 属性锁定service 、passwd、grub.conf 文件(将不能正常添加系统用户)# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的+i 锁定属性# lsattr /etc/passwd //查看文件的属性状态# chattr -i /etc/passwd? 应用程序和服务1. 关闭不必要的系统服务2. 禁止普通用户执行init.d目录中的脚本# chmod -R o-rwx /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用户执行控制台程序/etc/security/console.apps/目录下每一文件对应一个系统程序,如果不希望普通用户调用这些控制台程序,可以将对应的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot –– remove4. 去除程序文件中非必需的set-uid 或set-gid 附加权限查找系统中设置了set-uid或set-gid权限的文件,并结合–exec 选项显示这些文件的详细权限属性# find / -type f perm +6000 -exec ls -lh { } \ ;去掉程序文件的suid/sgid位权限# chmod a-s /tmp/back.vim编写shell脚本,检查系统中新增加的带有suid或者sgid位权限的程序文件(1)在系统处于干净状态时,建立合法suid/sgid文件的列表,作为是否有新增可疑suid文件的比较依据# find / -type f -prem +6000 > /etc/sfilelist# chmod 600 /etc/sfilelist(2)建立chksfile脚本文件,与sfilelist比较,输出新增的带suid/sgid属性的文件# vi /usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfilelistfor i in ` find / -type -prem +6000 `dogrep -F ―$i‖ $OLD_LIST > /dev/null[ $? -ne 0 ] && ls -lh $idone# chmod 700 /usr/bin/chkfile(3)执行chkfile脚本,检查是否有新增suid/sgid文件# cp /bin/touch /bin/mytouch //建立测试用程序文件# chmod 4755 /bin/mytouch# chksfile //执行程序脚本,输出检查结果系统引导和登录安全优化开关机安全控制1. 调整BIOS引导设置将第一优先引导设备设为当前系统所在硬盘,其他引导设置为Disabled.为BIOS设置管理员密码,安全级别调整为setup2. 防止用户通过Ctrl+Alt_Del热键重启系统# vi /etc/inittab# ca : :ctrlaltdel :/sbin/shutdown -t3 -r now //注掉该行# init -q //使配置文件立即生效? GRUB引导菜单加密在grub.conf文件中设置明文密码# vi /boot/grub/grub.confpassword 123456 //仅在需要变更grub引导参数时才需要提供密码tiltle Red Enterprise Linux Server (2.6.18-8.el5)root (hd0,0 )password 1234 //进入系统时输入的密码在grub.conf文件中设置md5加密的密码字符串# vi mimawangwang# grub-md5-crypt < mima 》/boot/grub/grub.conf? 终端登录控制1. 即时禁止普通用户登录# touch /etc/nologin //通过/etc/nologin文件即时禁止普通用户登录系统2. 控制服务器开放的tty终端# vi /etc/inittab1. 控制允许root用户登录的tty终端# vi /etc/securetty1. 更改系统登录提示,隐藏内核版本信息通过修改/etc/issue、/etc/文件(分别对应本地登录、网络登录)# vi /etc/issueWelcome to server# cp -f /etc/issue /etc/2. 使用pam_access认证控制用户登录地点Pam_access认证读取/etc/security/access.conf配置文件,该文件由权限、用户、来源,组成,用冒号进行分隔权限:加号+ 或减号–,分别表示允许、拒绝用户:用户名部分,多个用户名用空格分开,组使用@组名的形式表示。