Chinaunix首页 | 论坛 | 博客
  • 博客访问: 4842248
  • 博文数量: 930
  • 博客积分: 12070
  • 博客等级: 上将
  • 技术积分: 11448
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-15 16:57
文章分类

全部博文(930)

文章存档

2011年(60)

2010年(220)

2009年(371)

2008年(279)

分类: LINUX

2008-12-02 23:19:18

[普通用户的建立与删除]

# useradd lovemoon
↑ 建立用户名为 lovemoon 的普通用户
# passwd lovemoon
↑ 为用户 lovemoon 设置密码
Changing password for user lovemoon.
New UNIX password:
↑ 输入密码(密码不会被显示)
Retype new UNIX password:
↑ 再次输入密码确认两次密码一致
passwd: all authentication tokens updated successfully.
↑ 密码设置成功

#userdel -r lovemoon
↑ 删除用户名为 lovemoon 的普通用户

[将普通用户设置到不同的用户组中]

# usermod -G wheel lovemoon
↑ 将普通用户 lovemoon 加在管理员组wheel组中
# usermod -G wheel,www lovemoon
↑ 将普通用户 lovemoon 同时加在wheel和www组中

[设置只有管理员wheel组才可以使用su命令进入root权限]

# vi /etc/pam.d/su  ← 打开这个配置文件
auth required /lib/security/$ISA/pam_wheel.so use_uid
↑ 修改文件为此状态(大约在第6行的位置)
# echo "SU_WHEEL_ONLY yes" >> /etc/login.defs
↑ 添加语句到login.defs文件行末

[设置系统时间及自动同步系统时间]

# yum install –y ntp
↑ 安装NTP官方的时间同步程序 (NTP:中国国家授时中心)
# /usr/sbin/ntpdate -s pool.ntp.org
↑ 以NTP官方服务器为准调整本地时间
# crontab -e
↑ 编辑计划任务列表
0 3 * * * /usr/sbin/ntpdate -s pool.ntp.org
↑ 编辑文件到此状态,表示每天凌晨3点自动同步时间
# /sbin/service crond reload
↑ 重载计划任务配置

[关闭不需要的服务]

# setup
↑ 开启图形设置界面
选择System service 进入服务列表
使用"空格"键选择"[*]"或取消"[ ]"服务

只保留以下服务,未列出的服务一律关闭:
crond
irqbalance
↑ 仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
iptables
microcode_ctl
network
sshd
syslog
vsftpd
yum-updatesd

[系统更新]

# vi /etc/yum.repos.d/CentOS-Base.repo
↑ 修改系统更新地址文件
将所有"baseurl="
修改为"baseurl="
# yum -y upgrade
↑ 更新系统文件

[用OpenSSH构建SSH服务器]

# vi /etc/ssh/sshd_config
↑ 用vi打开SSH的配置文件
将"#Protocol 2,1"
修改为       "Protocol 2"
↑ 只允许SSH2方式的连接(Centos 5.2中已包含此设置)

将"#ServerKeyBits 768"
修改为       "ServerKeyBits 1024"
↑ 将ServerKey强度改为1024比特

将"#PermitRootLogin yes"
修改为       "PermitRootLogin no"
↑ 不允许用root进行登录(wheel组用户SSH登陆后可用su命令使用root权限)

将"#PasswordAuthentication yes"
修改为       "PasswordAuthentication no"
↑ 不允许密码方式的登录(SSH远程管理用密钥登陆会安全很多)

将"#PermitEmptyPasswords no"
修改为       "PermitEmptyPasswords no"
↑ 不允许空密码登录

# vi /etc/hosts.deny
↑ 修改屏蔽规则,在此限定仅有哪些IP地址可以SSH远程登陆本服务器
sshd: ALL
↑ 在文件末尾添加这一行,屏蔽所有的SSH连接请求

# vi /etc/hosts.allow
↑ 修改允许规则,在此限定仅有哪些IP地址可以SSH远程登陆本服务器
sshd:222.17.177.
sshd:10.3.92.25
sshd:10.3.97.137
↑ 在文件末尾添加这三行,只允许来自222.17.177网段、IP地址为10.3.92.25和IP地址为10.3.97.137的SSH连接请求

# /etc/rc.d/init.d/sshd restart
↑ 重新启动SSH服务器
Stopping sshd:             [ OK ]
Starting sshd:             [ OK ]
↑ SSH服务器重新启动成功

# su -lovemoon
↑ 用普通用户 lovemoon 登陆服务器
$ ssh-keygen -t rsa
↑ 建立公钥与私钥
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kaz/.ssh/id_rsa):
↑ 钥匙的文件名,这里保持默认直接回车
Created directory '/home/kaz/.ssh'
Enter passphrase (empty for no passphrase):
↑ 输入密钥口令(使用SSH远程软件时会用到)
Enter same passphrase again:
↑ 再次输入密钥口令(使用SSH远程软件时会用到)
Your identification has been saved in /home/kaz/.ssh/id_rsa.
↑ 建立了id_rsa私钥文件
Your public key has been saved in /home/kaz/.ssh/id_rsa.pub.
↑ 建立了id_rsa.pub公钥文件

$ cd ~/.ssh
↑ 进入 lovemoon 用户SSH配置文件的目录(~/目录相当于/home/lovemoon/)
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
↑ 公钥内容输出到authorized_keys文件中
$ rm -f ~/.ssh/id_rsa.pub
↑ 删除原来的公钥文件
$ chmod 400 ~/.ssh/authorized_keys
↑ 将新建立的公钥文件属性设置为400

$ exit
↑ 退出普通用户的登录
登陆为root用户,插入U盘
# fdisk -l
↑ 显示目前所有硬盘,找到U盘设备名为sdb1 (具体情况具体对待,这里各服务器有所不同)
# mount /dev/sdb1 /mnt
↑ 挂载U盘设备到/mnt目录
# mv /home/lovemoon/.ssh/id_rsa /mnt/
↑ 移动id_rsa私钥文件到U盘中
# umount /mnt/
↑ 卸载U盘

阅读(2218) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2009-02-03 15:28:03

你的文章太好了,我是个liunx新手,非常感谢你的文章