Linux 安全配置规范

1. 概述

1.1. 目的

本规范明确了Linux 操作系统的安全配置方面的基本要求。为了提高Linux 操作系统的安全性而提出的。

1.2. 范围

本规范适用于*******系统使用的Linux 操作系统版本。

1.3. 概述

本文档以典型安装的RedHat Linux 为对象撰写而成，其他版本如SUSE Linux 均基本类似，根据具体情况进行适当修改即可。

文档中的操作需要以root 用户登录至控制台进行，不推荐使用网络远程的方式进行补丁及配置修改等加固操作。

部分操作需要重新启动服务器才会生效，注意某些数据库等应用需要先停止应用，然后才可以重新启动。

加固之前首先应对系统中的重要文件及可能修改的文件进行备份，可参照使用以下脚本

for file in /etc/inetd.conf /etc/hosts.equiv \

/etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow \

/etc/hosts.deny /etc/proftpd.conf \

/etc/rc.d/init.d/functions /etc/inittab \

/etc/sysconfig/sendmail /etc/security/limits.conf \

/etc/exports /etc/sysctl.conf /etc/syslog.conf \

/etc/fstab /etc/security.console.perms /root/.rhosts \

/root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers \

/etc/X11/xinit/xserverrc /etc/X11/gdm/gdm.conf \

/etc/cron.allow /etc/cron.deny /etc/at.allow \

Linux 安全配置规范

Page 2 of 27

/etc/at.deny /etc/crontab /etc/motd /etc/issue \

/usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf \

/etc/securetty /etc/security/access.conf /etc/lilo.conf \

/etc/grub.conf /etc/login.defs /etc/group /etc/profile \

/etc/csh.login /etc/csh.cshrc /etc/bashrc \

/etc/ssh/sshd_config /etc/ssh/ssh_config \

/etc/cups/cupsd.conf /etc/{,vsftpd/}vsftpd.conf \

/etc/logrotate.conf /root/.bashrc /root/.bash_profile \

/root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do

[ -f $file ] && /bin/cp $file $file-preCIS

done

for dir in /etc/xinetd.d /etc/rc[0123456].d \

/var/spool/cron /etc/cron.* /etc/logrotate.d /var/log \

/etc/pam.d /etc/skel ; do

[ -d $dir ] && /bin/cp -r $dir $dir-preCIS

done

Linux 安全配置规范

Page 3 of 27

2. 安全配置规范

2.1. 补丁

2.1.1. 系统补丁

【影响】可能会导致某些服务功能异常或配置文件不兼容，做好原有操作系统映像和配置文件的备份。

【具体配置】

系统内核版本使用uname -a 查看。

软件版本和补丁使用rpm -qa 查看。

使用up2date 命令自动升级或去ftp://https://www.360docs.net/doc/fb8998843.html,下载对应版本补丁手

工单独安装。

2.1.2. 应用补丁

【说明】除RedHat 官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL 等应用进行补丁。【具体配置】

具体升级方法：

首先确认机器上安装了gcc 及必要的库文件。

然后去应用的官方网站下载对应的源代码包，如*.tar.gz

再解压

tar zxfv *.tar.gz

再根据使用情况对编译配置进行修改，或直接采用默认配置

cd *

./configure

再进行编译和安装

make

make install

Linux 安全配置规范

Page 4 of 27

2.2. 最小化xinetd 网络服务

2.2.1. 停止默认服务

【说明】Xinetd 是旧的inetd 服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd 应禁止以下默认服务的开放：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-

telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services

【具体配置】

停止一个服务

chkconfig 服务名off

打开一个服务

chkconfig 服务名on

也可以使用ntsysv 命令进行服务开关调整

2.2.2. 其他

【说明】对于xinet 必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH 和SSL 对原明文的服务进行替换。如果条件允许，可以使用系统

自带的iptables 或tcp-wrapper 功能对访问IP 地址进行限制。

【具体配置】

Xinetd、SSH 和SSL、防火墙配置参见对应系统的用户手册，此不详述。

2.3. 最小化启动服务

2.3.1. 设置daemon 权限unmask

【说明】默认系统umask 至少为022，以防止daemon 被其他低权限用户修

改。

【具体配置】

vi 修改/etc/rc.d/init.d 文件，umask 值为022。

同时检查/etc/rc.d/init.d 中其他启动脚本权限是否为755。

Linux 安全配置规范

Page 5 of 27

2.3.2. 关闭xinetd 服务

【说明】如果前面第二章关闭xinetd 服务中所列的服务，都不需要开放，则可以直接关闭xinetd 服务。

【具体配置】

chkconfig --level 12345 xinetd off

2.3.3. 关闭邮件服务

【说明】如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail 不运行在daemon 模式。

【具体配置】

chkconfig --level 12345 sendmail off

编辑/etc/sysconfig/senmail 文件

增添以下行

DAEMON=no

QUEUE=1h

设置

cd /etc/sysconfig

/bin/chown root:root sendmail

/bin/chmod 644 sendmail

2.3.4. 关闭图形登录服务

【说明】一般来说，大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操作，可以关闭X Windows 的运行。

【具体配置】

cp /etc/inittab /etc/inittab.bak

编辑/etc/inittab 文件

修改id:5:initdefault:行为id:3:initdefault:

chown root:root /etc/inittab

chmod 0600 /etc/inittab

如需要X Windows 的时候，可运行startx 命令启动图形界面。

2.3.5. 关闭X 字体服务器

【说明】如果关闭了X Windows 服务，则X font 服务器服务也应该进行关闭。Linux 安全配置规范

Page 6 of 27

【具体配置】

chkconfig xfs off

2.3.6. 关闭其他默认启动服务

【说明】系统启动时会启动很多不必要的服务，这些不必要的服务均存在一定的安全隐患。一般可能存在以下不必要的服务：

apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv

yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups

加固时，应根据机器具体配置使用和应用情况对开放的服务进行调整，关闭不需要的服务。

服务运行脚本一般都放在/etc/rc.d/rc*.d 进行启动，可以使用chkconfig 工具直接进行管理。

对于必须通过/etc/rc.d/rc*.d 开放的服务，应确保都已打上过最新的补丁。

【具体配置】

chkconfig --level 12345 服务名off

如果关闭了特定的服务，也应该同时对这些服务在系统中的用户加以锁定

或删除

可能包括以下用户rpc rpcuser lp apache http httpd named dns mysql postgres squid

usermod -L 要锁定的用户

2.3.7. 调整SMB 服务

【说明】Samba 服务器一般用来提供与Windows 类似的文件和打印共享服务。除非十分必要，否则应关闭SMB（Windows 文件共享）服务。可采用以下方式开

放SMB 服务。

【具体配置】

chkconfig smb on

2.3.8. 调整NFS 服务器服务

【说明】NFS 漏洞较多，经常被利用来取得未授权的文件或系统权限。除非十分必要，否则应关闭NFS 服务。可采用以下方式开放SMB 服务，并应该限制Linux 安全配置规范

Page 7 of 27

export 文件系统的中的IP 地址范围，以及增添只读权限。

【具体配置】

chkconfig --level 345 nfs on

2.3.9. 调整NFS 客户端服务

【说明】NFS 客户端服务一般用来访问其他NFS 服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。

【具体配置】

chkconfig --level 345 nfslock on

chkconfig --level 345 autofs on

2.3.10. 调整NIS 服务器服务

【说明】NIS 用来提供基于UNIX 的域管理和认证手段。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。

【具体配置】

chkconfig ypserv on

chkconfig yppasswdd on

2.3.11. 调整NIS 客户端服务

【说明】NIS 客户端用来访问其他NIS 服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。

【具体配置】

chkconfig ypbind on

2.3.12. 调整RPC 端口映射服务

【说明】

RPC 协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且RPC 系列服务都存在一些缓冲区溢出问题。

在以下情况下可以考虑关闭RPC 端口映射服务：

服务器不是NFS 服务器或客户端；

服务器不是NIS 服务器或客户端；

Linux 安全配置规范

Page 8 of 27

服务器没有运行其它依赖于RPC 服务的第三方软件；

服务器不运行图形界面（x-windows）。

【具体配置】

chkconfig --level 345 portmap on

2.3.13. 调整netfs 服务

【说明】

此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如NFS，NovellNetware 或Windows 文件共享使用，则可以关闭此服务。

【具体配置】

chkconfig --level 345 netfs on

2.3.14. 调整打印机服务

【说明】

UNIX 打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器，则可以关闭此服务。如果必须使用此服务，首先应保证软件都经过最新的补丁，然和设置cupsd 进程运行在非root 用户和组。

【具体配置】

if [ -e /etc/init.d/cups ] ; then

chkconfig cups on

sed 's/^\#User lp/User lp/' /etc/cups/cupsd.conf \

>/etc/cups/cupsd.conf.new

sed 's/^\#Group sys/Group sys/' \

/etc/cups/cupsd.conf.new >/etc/cups/cupsd.conf

rm -f /etc/cups/cupsd.conf.new

/bin/chown lp:sys /etc/cups/cupsd.conf

/bin/chmod 600 /etc/cups/cupsd.conf

chkconfig hpoj on

chkconfig lpd on

2.3.15. 调整Web 服务器服务

【说明】

如果服务器必须开放Web，则需要作如下设置。应注意web 目录权限设置，不要允许目录list。

Linux 安全配置规范

Page 9 of 27

【具体配置】

chkconfig apahce on

或

chkconfig httpd on

2.3.16. 调整SNMP 服务

【说明】

简单网络管理协议SNMP 一般用来监控网络上主机或设备的运行情况。如果必须打开，则必须更改默认通讯字。

【具体配置】

chkconfig snmpd on

编辑/etc/snmp/snmpd.conf

com2sec notConfigUser default public

修改public 为其他一个足够复杂的密码。

2.3.17. 调整DNS 服务器服务

【说明】

DNS 服务器服务用来为其他机器提供DNS 解析，一般来说都可以关掉。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot 环境，还需要注意限制

DNS 配置文件中的区域传输等设置（加密码或加IP 地址限制）。

【具体配置】

chkconfig named on

2.3.18. 调整SSHD 服务器服务

【说明】

SSHD 服务器服务用来提供SSH Server 的服务。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot 环境，还需要注意限制SSH 配置文件中的区

域传

输等设置，需要在SSHD 配置文件中禁用ssh1 方式连接，因ssh1 方式连接是非完

全加密。

【具体配置】

如使用Openssh，则检查/etc/ssh/sshd_config

grep Protocol /etc/ssh/sshd_config

如使用https://www.360docs.net/doc/fb8998843.html, 的SSHD,需要检查/etc/ssh2/sshd2_config

Linux 安全配置规范

Page 10 of 27

grep Protocol /etc/ssh2/sshd2_config

2.3.19. 调整SQL 服务器服务

【说明】

如果不需要数据库服务，则可以关闭此服务。如果必须进行开放，则注意修改数据库用户的密码，并增加数据库用户IP 访问限制。

【具体配置】

chkconfig postgresql on

chkconfig mysqld on

2.3.20. 调整Webmin 服务

【说明】

Webmin 是一个通过HTTP 协议控制linux 的工具，一般推荐使用SSH 进行系

统管理而不要使用此工具。

【具体配置】

chkconfig webmin on

2.3.21. 调整Squid 服务

【说明】

Squid 服务是客户端与服务器之间的代理服务。Squid 服务已出现过很多安全漏洞，并且如果设置不当的话，可能导致被利用来作为内外网之间的跳板。如果不需

要，则可以关闭此服务。如果必须打开，则需要设置允许访问的地址列表及认证。【具体配置】

chkconfig squid on

2.3.22. 调整kudzu 硬件探测服务

【说明】

Kudzu 服务是linux 的硬件探测程序，一般设置为启动系统的时候运行。他会

检测系统中的硬件的改变，并且会提示进行配置等。未经授权的新设备存在的一定

的安全风险，系统启动时控制台就可以配置任何新增添的设备。

如果不需要经常的改动硬件，则需要进行关闭。可以在增添新设备时手工运行Linux 安全配置规范

Page 11 of 27

/etc/rc.d/init.d/kudzu 启动此服务。

【具体配置】

chkconfig --level 345 kudzu on

2.4. 内核参数

2.4.1. 网络参数调整

【说明】

Linux 支持的对网络参数进行调整。

具体参数详细说明，可参见

http://lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。

【具体配置】

编辑/etc/sysctl.conf

增加

net.ipv4.tcp_max_syn_backlog = 4096

net.ipv4.conf.all.rp_filter = 1

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route =

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

/bin/chown root:root /etc/sysctl.conf

/bin/chmod 0600 /etc/sysctl.conf

2.4.2. 更多的网络参数调整

【说明】

如果系统不作为在不同网络之间的防火墙或网关时，可进行如下设置。

具体参数详细说明，可参见

http://lxr.linux.no/source/Documentation/networking/ip-sysctl.txt

【具体配置】

编辑/etc/sysctl.conf

增加

net.ipv4.ip_forward = 0

Linux 安全配置规范

Page 12 of 27

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

/bin/chown root:root /etc/sysctl.conf

/bin/chmod 0600 /etc/sysctl.conf

2.5. 日志

2.5.1. 系统认证日志配置

【说明】

不是所有版本的linux 都会在日之中记录登陆信息。一般需要对这些重要的安全相关的信息进行保存，（如成功或失败su，失败的登陆，root 登陆等）。这些将

会被记录在/var/log/secure 文件里。

【具体配置】

编辑/etc/syslog.conf

确认有如下行

authpriv.* /var/log/secure

touch /var/log/secure

/bin/chown root:root /var/log/secure

/bin/chmod 600 /var/log/secure

2.5.2. FTP 进程日志配置

【说明】

系统默认会记录wu-ftpd 和vsftpd 所有的连接和文件传输。以下将会确认所有法发送到服务期的命令将会被记录。wu-ftpd 将会把安全相关的或是策略边界的行

为记忆文件传输记录到syslog 里，默认位于/var/log/xferlog。

【具体配置】

编辑/etc/xinetd.d/wu-ftpd 文件

确认有如下行

server_args = -l -a -d

/bin/chown root:root wu-ftpd

/bin/chmod 644 wu-ftpd

编辑/etc/vsftpd.conf 或/etc/vsftpd/vsftpd.conf 文件

确认有如下行

Linux 安全配置规范

Page 13 of 27

xferlog_std_format=NO

log_ftp_protocol=YES

/bin/chmod 0600 vsftpd.conf

/bin/chown root:root vsftpd.conf

2.5.

3. 确认系统日志权限

【说明】

保护系统日志文件不会被非授权的用户所修改。

【具体配置】

cd /var/log

/bin/chmod o-w boot.log* cron* dmesg ksyms* httpd/* \

maillog* messages* news/* pgsql rpmpkgs* samba/* \

scrollkeeper.log secure* spooler* squid/* vbox/* wtmp

/bin/chmod o-rx boot.log* cron* maillog* messages* pgsql \

secure* spooler* squid/*

/bin/chmod g-w boot.log* cron* dmesg httpd/* ksyms* \

maillog* messages* pgsql rpmpkgs* samba/* \

scrollkeeper.log secure* spooler*

/bin/chmod g-rx boot.log* cron* maillog* messages* pgsql \

secure* spooler*

/bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox/

/bin/chmod o-rx httpd/ samba/ squid/

/bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox/

/bin/chmod g-rx httpd/ samba/

/bin/chown -R root:root .

/bin/chgrp utmp wtmp

/bin/chown -R news:news news

/bin/chown postgres:postgres pgsql

/bin/chown -R squid:squid squid

2.6. 文件/目录权限

2.6.1. /etc/fstab 中适当分区增加“nodev”选项

【说明】

在我们已知不包含设备的分区增添nodev 参数，防止用户挂接分区中未授权设备。此项加固要比较慎重。

【具体配置】

编辑/etc/fstab 文件

Linux 安全配置规范

Page 14 of 27

在非/的ext2 和ext3 分区后增添nodev 参数

/bin/chown root:root /etc/fstab

/bin/chmod 0644 /etc/fstab

2.6.2. /etc/fstab 中移动设备增加“nosuid”“nodev”选项

【说明】

可移动的媒体可能导致恶意的程序进入系统。可以将这些文件系统设置nosuid 选项，此选项可以防止用户使用CD-ROM 或软盘将设置了SUID 的程序带到系统

里。参照上节，这些文件系统也应当设置nodev 选项。

【具体配置】

编辑/etc/fstab 文件

在floppy 和cdrom 分区后增添nosuid,nodev 参数

/bin/chown root:root /etc/fstab

/bin/chmod 0644 /etc/fstab

2.6.

3. 禁止用户挂接可移动文件系统

【说明】

PAM 模块中的pam console 参数给控制台的用户临时的额外特权。其配置位于/etc/security/console.perms 文件。默认设置允许控制台用户控制可以与其他主机共享

的软盘和CD-ROM 设备。这些可移动媒体存在着一定的安全风险。以下禁止这些

设备的额外特权。

【具体配置】

编辑/etc/security/console.perms 文件

修改其中的console 行，删除以下设备之外的行

/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner

/bin/chown root:root console.perms

/bin/chmod 0600 console.perms

2.6.4. 检查passwd，shadow 和group 文件权限

【说明】

检查以下文件的默认权限。

【具体配置】

Linux 安全配置规范

Page 15 of 27

cd /etc

/bin/chown root:root passwd shadow group

/bin/chmod 644 passwd group

/bin/chmod 400 shadow

2.6.5. 全局可写目录应设置粘滞位

【说明】

当一个目录设置了粘滞位之后，只有文件的属主可以删除此目录中的文件。设置粘滞位可以防止用户覆盖其他用户的文件。如/tmp 目录。

【具体配置】

find / -xdev -type d -perm -0002 -a ! -perm -1000 -print

2.6.6. 找出未授权的全局可写目录

【说明】

全局可写文件可以被任意用户修改。全局可写文件可能造成一些脚本或程序被恶意修改后造成更大的危害，一般应拒绝其他组的用户的写权限。

【具体配置】

find / -perm -0002 -type f -xdev -print

chmod o-w

2.6.7. 找出未授权的SUID/SGID 文件

【说明】

管理员应当检查没有其他非授权的SUID/SGID 在系统内。

【具体配置】

find / -perm -04000 -o -perm -02000 -type f -xdev -print

2.6.8. 找出异常和隐藏的文件

【说明】

入侵者容易将恶意文件放在这目录中或命名这样的文件名。对于检查出来的数据需要核对与否系统自身的文件。

【具体配置】

find / -name ".. " -exec ls -ldb {} \;

find / -name ".*" -exec ls -ldb {} \;

Linux 安全配置规范

Page 16 of 27

2.7. 系统访问，授权和认证

2.7.1. 删除.rhosts 文件

【说明】

R 系列服务（rlogin，rsh，rcp）使用.rhosts 文件，它使用基于网络地址或主机

名的远端机算计弱认证（很容易被伪造）。如果必须使用R 系列服务，则必须保

证.rhosts 文件中没有“+”，并且同时指定对方系统和用户名。如果有防火墙，则

应该在过滤外部网段至内部的全部R 系列服务访问。同时需要保证.rhosts 文件仅可

以被所有者读取（600）。

【具体配置】

for file in /etc/pam.d/* ; do

grep -v rhosts_auth $file > ${file}.new

/bin/mv ${file}.new $file

/bin/chown root:root $file

/bin/chmod 644 $file

done

2.7.2. 创建危险文件的链接

【说明】

防止创建危险的/root/.rhosts，/root/.shosts，/etc/hosts.equiv 和/etc/shosts.equiv 文件。

【具体配置】

/bin/rm /root/.rhosts

ln -s /dev/null /root/.rhosts

/bin/rm /root/.shosts

ln -s /dev/null /root/.shosts

/bin/rm /etc/hosts.equiv

ln -s /dev/null /etc/hosts.equiv

/bin/rm /etc/shosts.equiv

ln -s /dev/null /etc/shosts.equiv

Linux 安全配置规范

Page 17 of 27

2.7.

3. 创建ftpuser 文件

【说明】

/etc/ftpusers 和/etc/vsftp.ftpusers 文件里的用户列表里的用户将拒绝通过WUFTPD

和vsftpd 访问系统。通常情况下，应当不允许一些系统用户访问FTP，并且

任何时候都不应当使用root 用户访问FTP。

/etc/https://www.360docs.net/doc/fb8998843.html,er 类似上述功能。

【具体配置】

for name in `cut -d: -f1 /etc/passwd`

if [ `id -u $name` -lt 500 ]

then

echo $name >> /etc/ftpusers

done

/bin/chown root:root /etc/ftpusers

/bin/chmod 600 /etc/ftpusers

if [ -e /etc/vsftpd.conf ] || \

[ -e /etc/vsftpd/vsftpd.conf ]; then

/bin/rm -f /etc/vsftpd.ftpusers

/bin/cp /etc/ftpusers /etc/vsftpd.ftpusers

2.7.4. 关闭X-Windows 的开放端口

【说明】

X 服务器在6000/tcp 监听远端客户端的连接。X-Windows 使用相对不安全的认证方式，取得X 认证的用户很容易就可以控制整台服务器。

删除选项中的“-nolisten tcp”可以使X 服务器不再监听6000/tcp 端口。

【具体配置】

if [ -e /etc/X11/xdm/Xservers ] ; then

cd /etc/X11/xdm

awk '($1 !~ /^#/ && $3 == "/usr/X11R6/bin/X") \

{ $3 = $3 " -nolisten tcp" };

{ print }' Xservers > Xservers.new

/bin/mv Xservers.new Xservers

/bin/chown root:root Xservers

/bin/chmod 444 Xservers

if [ -e /etc/X11/gdm/gdm.conf ] ; then

cd /etc/X11/gdm

Linux 安全配置规范

Page 18 of 27

awk -F= '($2 ~ /\/X$/) \

{ printf("%s -nolisten tcp\n", $0); next };

{ print }' gdm.conf > gdm.conf.new

/bin/mv gdm.conf.new gdm.conf

/bin/chown root:root gdm.conf

/bin/chmod 644 gdm.conf

if [ -d /etc/X11/xinit ] ; then

cd /etc/X11/xinit

if [ -e xserverrc ] ; then

awk '/X/ && !/^#/ \

{ print $0 " :0 -nolisten tcp \$@"; next }; \

{ print }' xserverrc > xserverrc.new

/bin/mv xserverrc.new xserverrc

else

cat <xserverrc

#!/bin/bash

exec X :0 -nolisten tcp \$@

END

/bin/chown root:root xserverrc

/bin/chmod 755 xserverrc

2.7.5. 限制只有授权用户可以访问at/cron

【说明】

cron.allow 和at.allow 可以指定允许运行crontab 和at 命令的用户列表。一般直应该允许管理员有权利运行计划任务。

【具体配置】

cd /etc/

/bin/rm -f cron.deny at.deny

echo root >cron.allow

echo root >at.allow

/bin/chown root:root cron.allow at.allow

/bin/chmod 400 cron.allow at.allow

2.7.6. 限制crontab 文件的权限

【说明】

系统的crontab 文件应该只能被cron daemon（以超级用户权限运行）和crontab 命令（SUID）。

【具体配置】

Linux 安全配置规范

Page 19 of 27

/bin/chown root:root /etc/crontab

/bin/chmod 400 /etc/crontab

/bin/chown -R root:root /var/spool/cron

/bin/chmod -R go-rwx /var/spool/cron

/bin/chown -R root:root /etc/cron.*

/bin/chmod -R go-rwx /etc/cron.*

2.7.7. 创建警示BANNER

【说明】

创建警示BANNER 可以对恶意攻击者或尝试者起到警示作用。

【具体配置】

1、创建控制台和X 模式BANNER

if [ "`egrep -l Authorized /etc/motd`" == "" ]; then

echo "Authorized uses only. All activity may be \

monitored and reported." >>/etc/motd

if [ "`egrep -l Authorized /etc/issue`" == "" ]; then

echo "Authorized uses only. All activity may be \

monitored and reported." >>/etc/issue

if [ "`egrep -l Authorized /etc/https://www.360docs.net/doc/fb8998843.html,`" == "" ]; then

echo "Authorized uses only. All activity may be \

monitored and reported." >>/etc/https://www.360docs.net/doc/fb8998843.html,

/bin/chown root:root /etc/motd /etc/issue /etc/https://www.360docs.net/doc/fb8998843.html,

/bin/chmod 644 /etc/motd /etc/issue /etc/https://www.360docs.net/doc/fb8998843.html,

if [ -e /etc/X11/xdm/kdmrc ] ; then

cd /etc/X11/xdm

awk '/GreetString=/ \

{ print "GreetString=Authorized uses only!"; next };

{ print }' kdmrc >kdmrc.new

/bin/mv kdmrc.new kdmrc

/bin/chown root:root kdmrc

/bin/chmod 644 kdmrc

if [ -e /etc/X11/gdm/gdm.conf ] ; then

cd /etc/X11/gdm

awk '/^Greeter=/ && /gdmgreeter/ \

{ printf("#%s\n", $0); next };

/^#Greeter=/ && /gdmlogin/ \

{ $1 = "Greeter=/usr/bin/gdmlogin" };

/Welcome=/ \

{ print "Welcome=Authorized uses only!"; next };

{ print }' gdm.conf >gdm.conf.new

/bin/mv gdm.conf.new gdm.conf

/bin/chown root:root gdm.conf

Linux 安全配置规范

Page 20 of 27

/bin/chmod 644 gdm.conf

2、适应TCP Wrappers 创建“authorized only”的网络服务BANNER。mkdir /etc/banners ; cd /etc/banners

if [ -e /usr/doc/tcp_wrappers-7.6/Banners.Makefile ]; then

file=/usr/doc/tcp_wrappers-7.6/Banners.Makefile

else

file=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefile

cp $file Makefile

echo "Authorized uses only. All activity may be \

monitored and reported." > prototype

make

cd /etc/xinetd.d

for file in telnet krb5-telnet ; do

if [ -f $file ]; then

awk '( $1 == "}" ) \

{ print "banner = /etc/banners/in.telnetd" };

{ print }' $file >$file.new

/bin/mv $file.new $file

done

for file in wu-ftpd gssftp ; do

if [ -f $file ]; then

awk '( $1 == "}" ) \

{ print "banner = /etc/banners/in.ftpd" };

{ print }' $file >$file.new

/bin/mv $file.new $file

done

for file in rsh kshell ; do

if [ -f $file ]; then

awk '( $1 == "}" ) \

{ print "banner = /etc/banners/in.rshd" };

{ print }' $file >$file.new

/bin/mv $file.new $file

done

for file in rlogin klogin eklogin ; do

if [ -f $file ]; then

awk '( $1 == "}" ) \

{ print "banner = /etc/banners/in.rlogind" };

{ print }' $file >$file.new

/bin/mv $file.new $file

fi ; done

/bin/chown root:root {krb5-,}telnet gssftp wu-ftpd rsh \ kshell rlogin klogin eklogin

/bin/chmod 644 {krb5-,}telnet gssftp wu-ftpd rsh kshell \ rlogin klogin eklogin

Linux 安全配置规范

Page 21 of 27

3、创建vsftpd 的“authorized only”BANNER

cd /etc

if [ -d vsftpd ]; then

cd vsftpd

if [ -e vsftpd.conf ] ; then

echo "ftpd_banner=Authorized uses only. All activity \ may be monitored and reported." >> vsftpd.conf

2.7.8. 配置xinetd 访问控制

【说明】

配制xinetd 使用简单的访问控制和日志。

【具体配置】

在/etc/xinetd.conf 插入“defaults”段

only_from=/ /

/使用允许使用的网络和掩码。

示例：

only_from=192.168.1.0/24 将会限制只有192.168.1.0/24 的网络可以访问。

2.7.9. 限制root 只能在控制台登录

【说明】

root 应该限制在只允许控制台登陆，一般情况下应该使用一般权限用户进行操作，仅在必要时su 成为root 进行操作。

【具体配置】

/bin/cp /dev/null /etc/securetty

for i in 1 2 3 4 5 6; do

echo tty$i >>/etc/securetty

echo vc/$i >>/etc/securetty

done

echo console >>/etc/securetty

/bin/chown root:root /etc/securetty

/bin/chmod 400 /etc/securetty

2.7.10. 设置LILO/GRUB 密码

【说明】

默认情况下，任何本地用户都可以在控制台重新启动机器，并很容易就可以控Linux 安全配置规范

Page 22 of 27

制正常的启动进程。LILO 和GRUB 密码可以在系统启动时要求密码。

注意以下操作只应设置与十分注重本地安全的情况下。

【具体配置】

LILO

增加下列行到/etc/lilo.conf

restricted

password=

更改为自己指定的密码。

以root 身份执行以下命令

/bin/chown root:root /etc/lilo.conf

/bin/chmod 600 /etc/lilo.conf

lilo

GRUB

增加下列行到/etc/grub.conf

password

以root 身份执行以下命令

/bin/chown root:root /etc/grub.conf

/bin/chmod 600 /etc/grub.conf

2.7.11. 设置单用户默认认证

【说明】

Linux 默认可以在启动时键入“linux single”进入到单用户模式。

单用户模式可以不使用密码就可以进行一些管理员操作，一般用来恢复忘记root 密码等。不加密码的单用户模式可能导致可以本地接触到服务器的用户直接控

制系统。

【具体配置】

cd /etc

if [ "`grep -l sulogin inittab`" = "" ]; then

awk '{ print };

/^id:[0123456sS]:initdefault:/ \

{ print "~~:S:wait:/sbin/sulogin" }' \

inittab >inittab.new

/bin/mv inittab.new inittab

/bin/chown root:root inittab

/bin/chmod 644 inittab

2.7.12. 限制NFS 客户端特权端口

【说明】

Linux 安全配置规范

Page 23 of 27

设置secure 参数可以使本地系统的NFS 服务器进程拒绝没有使用特权端口（小于1024）的NFS 客户端访问。这个设置不会影响NFS 操作员的操作，但是会拒绝

非授权用户的自动的NFS 攻击。

【具体配置】

增加/etc/exports 文件中的secure 选项，可以使用以下perl 脚本

perl -i.orig -pe \

'next if (/^\s*#/ || /^\s*$/);

($res, @hst) = split(" ");

foreach $ent (@hst) {

undef(%set);

($optlist) = $ent =~ /$(.*?)$/;

foreach $opt (split(/,/, $optlist)) {

$set{$opt} = 1;

}

delete($set{"insecure"});

$set{"secure"} = 1;

$ent =~ s/$.*?$//;

$ent .= "(" . join(",", keys(%set)) . ")";

}

$hst[0] = "(secure)" unless (@hst);

$_ = "$res\t" . join(" ", @hst) . "\n";' \

/etc/exports

2.8. 用户帐户和环境

2.8.1. 系统无用帐户

【说明】

系统中的非使用人员帐号应当被锁定，并且设置他们的shell 为非/etc/shells 里面的（即没有默认可以登陆的shell，如/dev/null）。

【具体配置】

以下脚本锁定全部非root 用户

for name in `cut -d: -f1 /etc/passwd`; do

uid=`id -u $name`

if [ $uid -lt 500 -a $name != 'root' ]; then

/usr/sbin/usermod -L -s /dev/null $name

done

Linux 安全配置规范

Page 24 of 27

2.8.2. 确认没有空密码帐户

【说明】

如果一个账户设置了空密码，将允许任何人不使用密码登陆到系统。所有帐户都应该设置一个足够强壮的密码或设置为“NP”或“LOCKED”。

【具体配置】

awk -F: '($2 == "") { print $1 }' /etc/shadow

2.8.

3. 设置活动帐户的过期时间

【说明】

定期的更改帐户密码有助于提高系统的安全性。一般应当将系统中非root 用户强制在90 天内更该密码，并且在之后的7 天之内禁止更改密码。用户将在密码过

期的28 天前接受到系统的提示。并应当设置密码的复杂程度，包括各种大小写及

数字，并最小长度为6 位。

【具体配置】

cd /etc

awk '($1 ~ /^PASS_MAX_DAYS/) { $2="90" }

($1 ~ /^PASS_MIN_DAYS/) { $2="7" }

($1 ~ /^PASS_WARN_AGE/) { $2="28" }

($1 ~ /^PASS_MIN_LEN/) { $2="6" }

{ print } ' login.defs > login.defs.new

/bin/mv login.defs.new login.defs

/bin/chown root:root login.defs

/bin/chmod 640 login.defs

for name in `cut -d: -f1 /etc/passwd`; do

uid=`id -u $name`

if [ $uid -ge 500 -a $uid != 65534 ]; then

/usr/bin/chage -m 7 -M 90 -W 28 $name

done

2.8.4. 确认没有“+”存在于passwd，shadow 和group 文件

【说明】

系统配置文件中的“+”表示系统将此部分值指向NIS 地图中的值。

这可能导致攻击者取得系统权限。

【具体配置】

Linux 安全配置规范

Page 25 of 27

grep ^+: /etc/passwd /etc/shadow /etc/group

2.8.5. 确认没有root 之外的UID 0 帐户

【说明】

UID 为0 的帐户将拥有系统中的管理员权限。一般系统中之应该有root 用户UID 为0，其他用户应使用su 取得管理员权限。

如果不想将root 密码告诉其他用户，并同时想让这些用户访问管理员权限才能访问的资源，可以使用sudo 工具。

【具体配置】

awk -F: '($3 == 0) { print $1 }' /etc/passwd

2.8.6. 删除root 路径中的“.”或其他全局可写目录

【说明】

如果root 用户的执行路径包含当前工作路径“.”或其他全局可写目录，可能

引起root 运行非指定的命令或程序，最后导致木马或其他恶意程序控制系统。【具体配置】

成为root 用户

运行以下命令均可

set

env

echo $PATH

2.8.7. 用户主目录应为755 或更少权限

【说明】

【具体配置】

for dir in \

`awk -F: '($3 >= 500) { print $6 }' /etc/passwd`

/bin/chmod g-w $dir

/bin/chmod o-rwx $dir

done

Linux 安全配置规范

Page 26 of 27

2.8.8. 没有用户.开头的文件全局可写

【说明】

“.”开头的文件一般都是隐藏文件，绝大多是用户的配置文件。如果用户的配置文件全局可写，可能导致恶意用户偷取或修改其他用户数据，甚至取得用户特权。

服务器操作系统安装指南(Linux)v3.3

修订记录、审核记录和审批记录修订记录审核记录审批记录

目录 1介绍 (1) 1.1目的1 1.2适用范围 (1) 1.3参考资料 (1) 2准备 (1) 2.1安装前准备 (1) 2.2物理网卡说明 (1) 2.3RAID (2) 2.4超线程 (2) 3系统安装 (2) 3.1K ICKSTART安装 (2) 3.2S TEP-BY-STEP安装 (3) 3.3磁盘管理 (4) 3.3.1创建逻辑卷 (4) 3.3.2创建文件系统 (4) 3.3.3挂载文件系统 (4) 4系统设置 (5) 4.1安全设置 (5) 4.1.1口令复杂度要求 (5) 4.1.2服务 (5) 4.1.3内置帐号 (5) 4.1.4修改系统时间为当前时间 (6) 4.1.5修改root口令 (6) 4.1.6关闭sshv1.0 (6) 4.2主机名称 (6) 5网络配置 (7) 5.1升级网卡驱动 (7) 5.2服务器网卡配置列表： (7) 5.3不使用的网卡配置： (7) 5.4不做TEAM BONDING的网卡配置 (8) 5.51组2块做TEAM BONDING的网卡配置 (8) 5.62组每组各2块做TEAM BONDING的网卡配置 (9) 5.7GATEWAY和主机ROUTE (10) 5.8时间同步 (10) 附录一：KS.CFG V2.5.0.0 (12)

1介绍 1.1目的建立用于应用托管系统服务器的操作系统安装模版，说明安装和配置的操作步骤。 1.2适用范围本文档用于运维中心技术人员安装应用托管系统服务器操作系统，并供安装研发服务器参考。 1.3参考资料 2准备 2.1安装前准备服务器型号：HP DL300G7系列、DELL R710 内存：2-64G 本机硬盘：72-300G * (2-8) 网卡：2-12端口外设：DVDROM、USB Removable Floppy 安装盘： Red Hat Enterprise Linux 5.5 x86_64 DVD Red Hat Enterprise Linux 5.8 x86_64 DVD 2.2t物理网卡说明 NIC-x.y 表示服务器第x块网卡的第y端口，其中底板集成网卡为第0块，其他网卡的编号如无标示按照从左到右、从上到下的顺序

linux系统安全配置要求

linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件配置项名称设置影子口令模式检查方法执行： #more /etc/shadow 查看是否存在该文件操作步骤1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式： #pwconv 回退操作执行： #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2.建立多帐户组，将用户账号分配到相应的帐户组配置项名称建立多帐户组，将用户账号分配到相应的帐户组

检查方法1、执行： #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户操作步骤1、执行备份： #cp –p /etc/group /etc/group_bak 2、修改用户所属组： # usermod –g group username 回退操作执行： #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户配置项名称删除或锁定可能无用的帐户检查方法1、执行： #more /etc/passwd 查看是否存在以下可能无用的帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak

4Mlinux安装配置方法

4Mlinux安装配置一、安装4Mlinux 1.新建otherlinux虚拟机 2.硬件资源分配，硬盘不要超过1G，600M足够否则安装会很慢，必须为IDE接口硬盘。内存256M即可。设置硬盘大小：

硬件资源分配图 3.配置好硬件资源后可能会无法选择硬盘接口类型，可以删除原来的，再添加一个

删除SCSI接口的硬盘，添加一个IDE接口的硬盘设置硬盘接口为IDE的类型，绝对不能用SCSI的，否则不能识别

设置大小为600M 删除原来的SCSI接口硬盘，其他的按回车就可以了。

4.选择iso安装镜像从CD/DVD启动 5.启动后会进入一个类似安装系统界面，但是这不是安装界面 6.这里可以不输入密码，按回车就可以了 7.Root账号登陆，没有设置密码，回车就可以了

8.登陆之后，用“fdisk/dev/sda”新建一个主分区，等下系统就是安装在这个分区里的。分区新建之后，由于这里无法探测分区，所以用reboot重启系统。格式化为ext3 9.进入/usr/sbin/目录下，找到一个名为install2hd的文件拷贝到/tmp目录下拷贝到/tmp目录下，注意这里一定要拷贝到/tmp/目录下，因为等下要修改这个脚本文件，而且执行后文件会改变到/tmp目录下修改这个脚本文件，用“/df-h”查找到相关内容，将原来为G的单位改为M 将G改为M 保存退出 10.执行“./install2hd/dev/sda”安装系统到“/dev/sda1”分区下执行这条命令后选分区时选择1，其余回车或y就可以了。安装完后重启系统就可以了二、网络配置到/etc/net/net.conf里面配置网络。根据需求配置网络即可。

操作系统安全配置管理办法

编号：SM-ZD-96562 操作系统安全配置管理办法 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

操作系统安全配置管理办法简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIX系统、Windows系统、Linux系统及HP UNIX系统等。 2规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法

中国电信Linux操作系统安全配置规范

中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司发布保密等级：公开发放

目录目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误！未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A：端口及服务 (13)

前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下：（1）AIX操作系统安全配置规范（2）HP-UX操作系统安全配置规范（3）Solaris操作系统安全配置规范（4）Linux操作系统安全配置规范（本标准）（5）Windows 操作系统安全配置规范（6）MS SQL server数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据库安全配置规范（9）Apache安全配置规范（10）IIS安全配置规范（11）Tomcat安全配置规范（12）WebLogic安全配置规范本标准由中国电信集团公司提出并归口。

linux操作系统安装步骤

事先检查：基本上你必须先检查一下你的武装配备喔： ·下载并烧录Red Hat 7.2 的可开机光碟：不要问我如何烧录～～ enigma-i386-disc1.iso enigma-i386-disc2.iso 强烈的建议您不要使用HTTP 来捉这两个档案，就是不要使用IE 或者是Netscape 之类的浏览器来捉这两个档案，因为档案太大了，在传输的过程中会有捉错的情况，所以就会很麻烦....建议使用续传软体，或者是直接以FTP 软体到中山大学的FTP 站捉，不但具有续传功能不怕断线，捉到的档案也会比较正常（已经有很多朋友在BBS 上面留言，发现捉的档案无法烧录啰！）。此外，也建议直接下载新的核心，以方便后来的核心编译工作！目前新的核心已经出到了linux-2.4.17 （截至2002/02/16 为止），通常VBird 都是在中山大学下载的，你可以到底下来看看呦！中山大学关于核心再提醒一次喔！由于Red Hat 7.1 到Red Hat 7.2 这两版都是使用kernel 2.4.xx 的系统核心，所以你必须要下载的是2.4.xx 版本的核心喔！以VBird 为例，目前个人都是使用linux-2.4.17.tar.gz 这一个档案的啦！你也可以在我们这里下载喔！ linux-2.4.17.tar.gz ·进入BIOS 设定开机顺序：基本上如果是不太旧的版子都会支援光碟开机的，使用CD-ROM 开机的好处是比较快，而且也不用再去做Linux 安装开机片，确认的方法如下： o 按电源键开机； o 在进入系统之前会出现Del 字样（每个厂牌不太相同），此时按下键盘上的Delete 键；

linux系统安全加固规范

Linux主机操作系统加固规范

目录第1章概述 (3) 1.1 目的............................................................................................................ 错误！未定义书签。 1.2 适用范围..................................................................................................... 错误！未定义书签。 1.3 适用版本..................................................................................................... 错误！未定义书签。 1.4 实施............................................................................................................ 错误！未定义书签。 1.5 例外条款..................................................................................................... 错误！未定义书签。第2章账号管理、认证授权.. (4) 2.1 账号 (4) 2.1.1 用户口令设置 (4) 2.1.2 root用户远程登录限制 (4) 2.1.3 检查是否存在除root之外UID为0的用户 (5) 2.1.4 root用户环境变量的安全性 (5) 2.2 认证............................................................................................................ 错误！未定义书签。 2.2.1 远程连接的安全性配置 (6) 2.2.2 用户的umask安全配置 (6) 2.2.3 重要目录和文件的权限设置 (6) 2.2.4 查找未授权的SUID/SGID文件 (7) 2.2.5 检查任何人都有写权限的目录 (8) 2.2.6 查找任何人都有写权限的文件 (8) 2.2.7 检查没有属主的文件 (9) 2.2.8 检查异常隐含文件 (9) 第3章日志审计 (11) 3.1 日志 (11) 3.1.1 syslog登录事件记录 (11) 3.2 审计 (11) 3.2.1 Syslog.conf的配置审核 (11) 第4章系统文件 (13) 4.1 系统状态 (13) 4.1.1 系统core dump状态 (13)

Linux操作系统的安装配置(吐血之作)

Linux操作系统的安装配置文档记录： RedHat操作系统的安装 1.放入REDHAT ENTERPRISE LINUX 5.0安装光盘，并设置为光盘启动。启动成功后，如图1。输入linux text（采用文本模式）确认回车。

建议：REDHAT ENTERPRISE LINUX 5.0支持新服务器驱动，如：HP380G6 2.选择在准备安装之前是否检测光驱一般选择SKIP跳过，开始安装，如图2：

3.选择安装过程的语言选择English (在linux中使用Tab,切换光标的位置,使用空格键选中选项)回车，如图3： 4.选择键盘选择US（美国键盘）回车，如图4：

5.选择安装LINUX服务代码序列号为：2515dd4e215225dd 安装与不安装的区别：红帽企业版的服务代码，不仅仅是升级，还包含很多售后服务和技术支持，如图5： 6.选择分区方法选择Create custom layout,如图6：

7.分区使用F2新建一个分区,出现图7： Mount Point ：Bstarsrv1 挂接点，像/root、/bin、/etc、/usr、/home等等。 Filesystem Type：文件格式，例如windows中的fat32格式,windows 2000中的ntfs格式。Bstarsrv1中现在最常用的是

ext3、swap等。Swap是交换分区格式。 Fixed Size：自定义空间大小。 Fill all available space：使用所有可用空间 Force to be a primary partition：强制使用主分区 Check for a bad block ：检测坏块一般只需要将系统分为3个分区，同样的方法建立以下分区。/boot 启动目录100M swap 数据交换分区内存的2倍 / 根目录Fill all available space 建立数据交换分区时，不用输入挂接点，直接在File system 中，使用上下键选择swap格式，大小为内存的2倍。如图8：（根据实际调整仅供参考）下图是在8G的硬盘分区示意图9：

linux操作系统安装手册

操作系统安装服务器推荐配置： CPU: Intel Xeon 3.2G 或以上内存: 1G 或以上网卡：100M 或1000M（视系统规模）硬盘：73.4G 以上（视存储规模）说明：此文档是REDHAT企业版AS4.0为基准的，REDHAT 9.0的安装也可以参考，只是选择安装包是不相同的。）使用REDHAT AS4 光盘(4 碟装)。光盘版本号为：2.6.9-5和2.6.9-34，上述版本可按照下面方式安装。设制BIOS 中的启动顺序，使计算机优先从cd-rom 启动。打开计算机，把CD1 放入光驱，安装启动画面有多种选择，直接回车,到下图用TAB键切换到Skip回车点击Next, 选择语言，如下图。

点击Next，配置键盘（默认），如下图。点击Next，开始配置鼠标（默认），如下。点击Next，分区格式选Manually partition with disk druid,如下图。点击Next，开始分区。如下图。

如果此机器有两块或两块以上硬盘的话，会在图8 中显示出来例如hda 和hdc,那么注意要给在某个硬盘上（举例说明，比如硬盘hda）创建分区时，点击new，在下一图形界面中，会提示有两块硬盘，此时必须打勾只选中需要在上面创建分区的那块硬盘（例子中应该是hda），也就是说把另一块硬盘（例子中应该是hdc）前面的钩去掉。对于只有一块硬盘的安装过程来说，只需按正常步骤就可以。我们假设这台计算机中只有一块硬盘。一般使用IDE 硬盘时设备名为/dev/had（如果我们使用的是一个SCSI 硬盘，它的设备文件名为/dev/sda）请注意。安装Linux 系统只要一个交换分区(swap)和一个根分区(/)，一般情况下，根分区为10G 左右，如果还有剩余空间，那么再创建新分区,映射为（/xfmdata）做为存储分区吧。点击new 按钮创建一个swap 分区，swap 分区大小选本机内存大小的2 倍，但不要超过1024M. FileSystem Type 选swap,一般分为512M 左右，如下图。点击OK，配置好SWAP 分区，如下图。

Linux安全配置基线

杭州安恒信息技术有限公司Linux 系统安全配置基线杭州安恒信息技术有限公司 2016年 12月

目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 第2章本地策略 (2) 2.1帐户与口令检查策略 (2) 2.1.1检查系统中是否存在口令为空的帐户 (2) 2.1.2检查系统中是否存在UID与ROOT帐户相同的帐户 (2) 2.1.3检查是否按用户分配帐号 (2) 2.1.4检查密码最小长度 (3) 2.1.5检查密码过期时间 (3) 2.1.6检查密码最大重试次数 (3) 2.1.7检查是否配置口令复杂度策略 (4) 2.1.8检查是否设置系统引导管理器密码 (4) 2.1.9检查口令过期前警告天数 (5) 2.1.10检查口令更改最小间隔天数 (5) 2.1.11检查是否使用PAM认证模块禁止WHEEL组之外的用户SU为ROOT (5) 2.1.12检查密码重复使用次数限制 (6) 2.2日志配置 (6) 2.2.1检查系统是否开启了日志功能 (6) 2.2.2检查系统是否开启了日志审计功能 (7) 2.2.3检查是否对登录进行日志记录 (7) 2.2.4检查是否记录用户对设备的操作 (7) 2.2.5检查SYSLOG-NG是否配置安全事件日志 (8) 2.2.6检查RSYSLOG是否配置安全事件日志 (8) 2.2.7检查SYSLOG是否配置安全事件日志 (9) 2.2.8检查是否配置SU命令使用情况记录 (9) 2.2.9检查是否配置远程日志功能 (9) 2.2.10检查是否启用CRON行为日志功能 (10) 2.2.11检查审计日志默认保存时间是否符合规范 (11) 2.3系统内核配置 (11) 2.3.1检查系统内核参数配置-是否禁止ICMP源路由 (11) 2.3.2检查系统内核参数配置-是否禁止ICMP重定向报文 (11) 2.3.3检查系统内核参数配置-SEND_REDIRECTS配置 (12) 2.3.4检查系统内核参数配置-IP_FORWARD配置 (12) 2.3.5检查系统内核参数配置ICMP_ECHO_IGNORE_BROADCASTS配置 (13) 2.4信息隐藏 (13) 2.4.1检查是否设置SSH登录前警告B ANNER (13) 2.4.2检查是否设置SSH登录后警告B ANNER (14) 2.4.3检查是否修改默认FTP B ANNER设置 (14) 2.4.4检查TELNET B ANNER 设置 (14) 2.5服务端口启动项 (15)

Linux安全配置标准

. .. . Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。二.围安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用围。三.容 3.1 软件版本及升级策略操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录管理符合以下条件之一的，属"可远程登录"： (1) 设置了密码，且处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录"的管理要求为： . 资料.

(1) 命名格式与命名格式保持一致 (2) 不允许多人共用一个，不允许一人有多个。 (3) 每个均需有明确的属主，离职人员应当天清除。 (4) 特殊需向安全组报批 3.2.2 守护进程管理守护进程启动管理要求 (1) 应建立独立，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录"启动守护进程 (3) 禁止使用root启动WEB SERVER/DB等守护进程。 3.2.3 系统默认管理（仅适用于财务管理重点关注系统）删除默认的，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

(完整版)Linux安全配置基线

Linux系统安全配置基线中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。 1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

4Mlinux安装配置方法

4Mlinux 安装配置一、安装4Mlinux 1.新建otherlinux虚拟机 2.硬件资源分配，硬盘不要超过1G，600M足够否则安装会很慢，必须为IDE接口硬盘。内存256M即可。设置硬盘大小：

硬件资源分配图 3.配置好硬件资源后可能会无法选择硬盘接口类型，可以删除原来的，再添加一个

删除SCSI接口的硬盘，添加一个IDE接口的硬盘设置硬盘接口为IDE的类型，绝对不能用SCSI的，否则不能识别

设置大小为600M 删除原来的SCSI接口硬盘，其他的按回车就可以了。

8.登陆之后，用“fdisk /dev/sda”新建一个主分区，等下系统就是安装在这个分区里的。分区新建之后，由于这里无法探测分区，所以用reboot重启系统。格式化为ext3 9.进入/usr/sbin/目录下，找到一个名为install2hd 的文件拷贝到/tmp目录下拷贝到/tmp目录下，注意这里一定要拷贝到/tmp/目录下，因为等下要修改这个脚本文件，而且执行后文件会改变到/tmp目录下修改这个脚本文件，用“/df -h”查找到相关内容，将原来为G的单位改为M 将G改为M 保存退出 10.执行“./install2hd /dev/sda”安装系统到“/dev/sda1”分区下执行这条命令后选分区时选择1，其余回车或y就可以了。安装完后重启系统就可以了二、网络配置到/etc/net/net.conf里面配置网络。根据需求配置网络即可。

Linux安全配置标准

Linux安全配置标准一.目的《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux 系统设计、实施及维护的技术和安全参考依据。二.范围安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。三.内容 3.1 软件版本及升级策略操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为：

(1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统）删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

操作系统安全配置管理办法

行业资料：________ 操作系统安全配置管理办法单位：______________________ 部门：______________________ 日期：______年_____月_____日第1 页共8 页

操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理，提高重要信息系统的安全运行维护水平，规范化操作，确保信息系统安全稳定可靠运行，特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括：AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南第 2 页共 8 页

3支持文件《IT主流设备安全基线技术规范》（Q/CSG11804-xx） 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员，负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置，应由终端管理员负责进行配置，或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理，变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善，由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型，不同的应用环境及不同的安全等级，结合信息系统和终端安全特性，制定合适的操作系统安全配置，以采取合适的安全控制措施。 5.2根据应用系统实际情况，在总体安全要求的前提下，操作系统的安全配置应满足《IT主流设备安全基线技术规范》（Q/CSG11804-xx）文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。第 3 页共 8 页

LINUX安装配置手册

封面

作者：PanHongliang 仅供个人学习 LINUX服务器安装配置手册杭州世导科技有限公司

文档修改/审批记录

目录1介质准备5 2REDHAT LINUX 的安装6 2.1安装步骤6 2.2R EDHA T 9.0的配置：9 2.2.1其他应用环境配置10

1介质准备安装介质：Redhat linux9.0，安装光盘三张；

2Redhat linux 的安装 2.1安装步骤 1、首先接通服务器的电源，插入Redhat 系统安装盘1，直到下面界面出现： 2、安装的界面有图形化用户界面GUI（graphical user interface）--默认方式、直观、用鼠标在屏幕间翻阅、“点击”按钮，或输入文字字段、简单直观，和文本模式界面，要用这种模式，需在引导时输入 boot:text ***：推荐使用GUI模式与光盘安装模式；，下面就开始介绍这种模式的安装步骤；点击“Next”按钮，出现下面的界面. 在这里选择安装界面的语言，选“中文简体”，这样安装界面就是简体中文的了.点击“Next”. 然后点“下一步”. 接着选择一下你的鼠标类型.选择完后，点击“下一步”.在安装类型选择时，选择“定制”.点击“下一步”.安装类型：个人桌面：适合于新手，有图形化桌面环境（X窗口系统），需要1.8G（兼选GNOME/KDE的个人桌面）；如果你需要选择所有的软件包组的话，可能至少需要4G的空间；工作站：队了有图形化桌面环境外，还具备软件开发工具服务器：要注意一点，如果你在安装软件时，在选择软件包时没有安装适当的软件包，当系统引导时，X窗口系统不会被配置，因而不会载入GUI 定制：根据你自己的需要来定制你所要安装的软件包，灵活性、随意性较强升级：如果你使用的一个版本是低于8.0，此时你可以选择这种安装方式（在6.2以上版本是不会破坏现有旧系统里面的数据，只会更新新的内核和软件包）；如果你选择了自动分区的话，系统会创建以下几个分区： 1）交换分区，一般建议为你的内存的2倍 2）/boot分区，大小为100MB，其中驻留着Linux内核和相关的文件 3）/根分区，其中贮存着所有其它文件，大小根据你实际硬盘的大小来分区在以上三个分区的基础上，服务器安装还会挂载一个/usr的分区，一个/home的分区，一个大小为/var的分区，大小256M；然后选择“用 Disk Druid 手工分区”，点击“下一步”.由于COMPAQ机器本身会使用8M的硬盘空间来引导系统COMPAQ SETUP ，所以这个分区就不用去动它；/dev/sda3这8M不用去动它1）/boot分区，大小为200MB，其中驻留着Linux内核和相关的文件 2）交换分区，为你的内存的2倍,考虑到以后有扩展内存的可能，建议将SWAP分区加大1G 3）/根分区，其中贮存着所有其它文件，大小根据你实际硬盘的大小来分区，把余下的空间分给它 4）在此基础上增加一个/tmp空间，大小为1G，用于ORACLE时存放备用文件

Linux服务器安全防护部署精品文档12页

Linux服务器安全防护部署 Abstract Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1）屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。命令：userdel 用户名 groupdel 用户组名 2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。命令：vi /etc/login.defs

Linux项目安装部署

1安装Jdk （1）安装第一步：下载Linux环境下的jdk1.8，请去（官网）中下载jdk的安装文件；由于我的Linux是32位的，因此我下载jdk-8u92-linux-i586.tar.gz文件。解压: tar xzvf jdk-8u45-linux-i586.tar.gz 移动到opt目录: sudo mv jdk1.8.0_45 /opt （2）配置环境变量 ①、使用vim /etc/profile编辑profile文件 ②、在/etc/profile底部加入如下内容： JAVA_HOME=/opt/jdk1.8.0_92 PATH=$JAVA_HOME/bin:$PATH CLASSPATH=$JAVA_HOME/jre/lib/ext:$JAVA_HOME/lib/tools.jar export JAVA_HOME export PATH export CLASSPATH

输入:wq保存并退出，最后使用source /etc/profile让profile文件立即生效。（3）测试命令输入：java -version，如果看到如下截图说明你的jdk已经安装成功了。 2安装mysql （1）到mysql官网下载mysql编译好的二进制安装包，在下载页面Select Platform:选项选择linux-generic，然后把页面拉到底部，64位系统下载Linux - Generic (glibc 2.5) (x86, 64-bit)，32位系统下载Linux - Generic (glibc 2.5) (x86, 32-bit) （2）解压32位安装包: 进入安装包所在目录，执行命令：tar mysql-5.6.17-linux-glibc2.5-i686.tar.gz （3）复制解压后的mysql目录到系统的本地软件目录: 执行命令：cp mysql-5.6.17-linux-glibc2.5-i686 /usr/local/mysql -r

LINUX操作系统配置规范

本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 LINUX操作系统配置规范目录 1 概述 2 上架规范 2.1 配置iLo管理口 2.2 硬盘RAID配置 2.3 服务器安装导轨 2.4 服务器插线要求 3 系统安装 3.1 系统版本要求 3.2 分区要求 3.3 安装包要求 3.4 用户要求 3.5 时间同步要求 3.6 字符集 3.7 网卡绑定 3.8 配置snmp 3.9 连存储的服务器 3.10 多路径软件 3.11 udev配置（块设备管理、ASM组） 3.12 CVE漏洞软件包版本 4 补丁 4.1 系统补丁（仅供参考） 4.2 其他应用补丁（仅供参考） 5 主机名、账号和口令安全配置基线 5.1 主机命名规范 5.2 账号安全控制要求 5.3 口令策略配置要求 5.4 口令复杂度和密码锁定策略配置要求 5.5 口令重复次数限制配置要求 5.6 设置登录Banner 5.7 设置openssh登陆Banner 5.8 Pam的设置 5.9 root登录策略的配置要求 5.10 root的环境变量基线 6 网络与服务安全配置标准 6.1 最小化启动服务 6.2 最小化xinetd网络服务

7 文件与目录安全配置 7.1 临时目录权限配置标准 7.2 重要文件和目录权限配置标准 7.3 umask配置标准 7.4 core dump状态 7.5 ssh的安全设置 7.6 bash历史记录 7.7 其他注意事项 8 系统Banner的配置 9 防病毒软件安装 10 ITSM监控agent安装 11 内核参数优化 12 syslog日志的配置 13 重启服务器附件：安全工具 1 概述本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。由于版本不同，配置操作有所不同，本规范以Redhat 6.6为例，给出参考配置操作。 2 上架规范 2.1 配置iLo管理口 2.2硬盘RAID配置

Linux安装部署规范标准

Linux安装部署规文档编制人员：石鹏编制部门：运维事业部模版文件版本：V1.1 适用项目围：所有

文件修改记录表

目录 1 安装前的准备工作 (6) 1.1 操作系统版本 (6) 1.2 操作系统的安装信息搜集 (6) 2 默认情况的Linux操作系统安装 (7) 2.1 安装语言的选择 (7) 2.2 分区的划分 (8) 2.2.1 boot分区 (8) 2.2.2 LVM分区 (8) 2.2.3 根分区 (10) 2.2.4 Swap空间 (10) 2.3 IP地址的配置 (11) 2.4 主机名的设定 (12) 2.5 时区的设定 (12) 2.6 密码的设定 (13) 2.7 软件包的定制 (13) 2.7.1 桌面环境 (13) 2.7.2 应用程序 (14) 2.7.3 开发环境 (14) 2.7.4 服务器 (15) 2.7.5 基础系统 (15) 2.7.6 虚拟化 (15) 2.7.7 语言 (16) 2.8 安装后的设置 (17) 2.8.1 防火墙设置 (17) 2.8.2 SELinux (17) 2.9 操作系统配置 (18) 2.9.1 文字界面启动 (18) 2.9.2 Root用户直接登陆系统 (18) 2.9.3 取消不用的服务 (18) 2.10 备份操作系统关键文件 (19) 3 针对Oracle数据库服务器的操作系统安装 (19) 3.1 安装语言的选择 (19) 3.2 分区的划分 (19) 3.2.1 boot分区 (19) 3.2.2 LVM分区 (20) 3.2.3 根分区 (20) 3.2.4 Swap空间 (20) 3.2.5 tmp分区 (20) 3.2.6 var分区 (21) 3.2.7 usr分区 (21) 3.2.8 u01分区 (22) 3.3 IP地址的配置 (22) 3.4 主机名的设定 (22) 3.5 时区的设定 (23) 3.6 密码的设定 (23) 3.7 软件包的定制 (23) 3.7.1 桌面环境 (23)