Red Hat Linux服务器安全策略详解之MRTG安装配置
17.1 安装配置MRTG监控Linux网络
17.1.1 SNMP简介和MRTG监控过程
1.SNMP简介
SNMP是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。SNMP可以提高网络管理员管理网络的效率,发现并解决网络问题,以及规划网络增长。通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题。简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP,然而事实并不是这样的。SNMP被设计成与协议无关,所以它可以在IP, IPX, AppleTalk, OSI,以及其他用到的传输协议上被使用。
SNMP运行在UDP之上,它利用的是UDP的161/162端口。其中161端口被设备代理监听,等待接受管理者进程发送的管理信息--查询请求消息;162端口由管理者进程监听等待设备代理进程发送的异常事件报告--陷阱消息,如Trap等。SNMP提供三类操作,分别为Get、Set和Trap。
2.MRTG监控过程
服务器的操作系统多种多样,使用较多的一般是UNIX类或Windows类操作系统,它们都支持SNMP。例如,对于Windows系统而言,只要增加"管理和监控工具"中的Windows组件,就有了对SNMP的支持。
服务器启动SNMP后,就会开放161/162端口。管理员如果要监控这台机器,就要在自己的机器上安装MRTG,然后通过MRTG向服务器的161/162端口发出查询等请求,取得数据后会生成图形及HTML文档的流量报告。这就是MRTG简单的监控过程。
17.1.2 Linux下MRTG的安装与配置
MRTG通过SNMP从设备中得到使用设备(如交换机)的网络流量信息,并把PNG格式图形以HTML方式显示出来,便于网络管理员对所监控设备(交换机)进行管理。目前市场上可网管型(智能)的交换机都支持SNMP,可以通过MRTG进行网络流量监控。
下面以Red Hat Linux 9.0为例介绍MRTG的安装与配置。
1.安装基础软件包
要安装MRTG软件包必须首先安装gcc、perl、gd、libpng、zlib、freetype等软件包。
2.安装配置net-snmp
光盘里有net-snmp的安装RPM包,安装完以后,配置/etc/snmp/snmpd.conf文件,使其能配合MRTG工作。
把下面的#号去掉
#view mib2 included https://www.360docs.net/doc/563748787.html,.dod.internet.mgmt.mib-2 fc
把下面的语句:
access notConfigGroup "" any noauth exact systemview none none 改成:
access notConfigGroup "" any noauth exact mib2 none none
修改以后可以启动snmpd服务:
#/etc/rc.d/init.d/snmpd start
3.安装配置MRTG
① 安装tar软件包
# tar zvxf mrtg-2.9.28.tar.gz
# cd mrtg-2.9.28
#./configure --prefix=/usr/local/mrtg \
--with-gd=/usr/include \
--with-gd-lib=/usr/lib \
--with-gd-inc=/usr/include \
--with-png=/usr/include \
--with-zlib=/usr/include &&
# make &&make install
② 生成配置文件
# mkdir /usr/local/mrtg/cfg
#cd /usr/local/mrtg/bin
#./cfgmaker --global 'WorkDir: /usr/local/httpd/htdocs/' \
--global 'Options[_]: bits,growright'\
--global 'Language: GB2312' \
--output /usr/local/mrtg/cfg/xxx.cfg \
public@XXX.XXX.XXX.XXX#
"XXX.XXX.XXX.XXX"是SNMP服务器的IP,以上命令将生成服务器的配置文件。MRTG生成的HTML页面可以完全由用户定制,所有定制都是通过对生成的配置文件的修改来实现的。MRTG配置文件的内容很丰富,相关内容请参考MRTG的帮助文档。
③ 设置MRTG定期执行方式
执行"crontab-e",加入如下行:
*/5 * * * * /bin/env LANG=en_US /usr/local//mrtg/bin/mrtg
/usr/local/mrtg/cfg/xxx.cfg
以上命令设定每隔5分钟监控一次配置文件xxx.cfg中所定义的服务器。5分钟是一个比较合理的值,也可以按自己的需求重新定义。
④ 建立索引页面
执行以下命令还可以生成一个索引页面:
#cd /usr/local/mrtg/bin
#./indexmaker --output="/usr/local/ /httpd/htdocs/index.html"
--title="Taffic Monitor Center" /usr/local/ /mrtg/cfg/xxx.cfg
到此为止,配置完毕,重新启动snmp和httpd服务,访问http://ip/mrtg/,就能看到网络流量图了。如图17-1所示。
图17-1 MRTG监控的网络流量图
17.1.3 建立MRTG监控中心
在实际应用中,企业可能有多台服务器,通常需要管理员24小时不间断地对服务器的流量进行监控。如果这时还是简单地在管理员的机器上使用MRTG就不适用了。最好的方法是建立一个MRTG监控中心。
MRTG监控中心可以是一台专用的服务器,也可以由其他服务器兼作MRTG监控中心。用于监控中心的机器和其他服务器都位于防火墙背后,由于SNMP也很容易成为攻击的目标,所以在防火墙的规则中,要禁止外界对服务器161/162端口的访问。这样便保证了MRTG监控中心担负起监控其他所有服务器的责任。MRTG监控中心将不断产生流量报告,以Web页面的形式发送给管理员。当然,该Web页面是带有身份认证功能的,以确保只有拥有账号的管理员才能查看相应的流量报告。
使用这样的MRTG监控中心,可以带来以下好处:
① 24小时不间断地工作,能保证产生详细、全面的流量报告;
② 提供带身份认证的Web浏览界面,管理员凭账号可以随时随地通过互联网查看流量报告;
③ 免去管理员安装MRTG的烦恼,只需通过浏览器就能查看流量报告;
④ 只允许MRTG监控中心机器访问服务器161/162端口,安全性更高。
通过三步,已经完成了对一台服务器的监控设定,如果还有其他服务器需要流量监控,重复第三步(安装配置MRTG)即可。如果这些服务器都是位于防火墙后面,还要修改一个
防火墙的规则,即开放MRTG监控中心对外的80端口,同时过滤掉所有外界对SNMP服务端口的访问。以上安装配置完成,用户可以通过浏览器访问MRTG监控中心。MRTG监控中心会要求输入用户名、密码才能进入,而Apache的日志会记录相关的事件,以备日后对登录情况进行审查。到此为止,已经可以应用一个简单的MRTG监控中心实现集中管理,并且拥有身份认证。管理员还可以通过编写CGI程序来实现更多的功能。比如详细记录访问情况、提供更直观的监控报告等。此外,还可以使用SSL加密页面来传输数据。
17.1.4 MRTG软件的不足和RRDTool的对比
1.MRTG软件的不足
MRTG监测网络流量很方便,但是如果需要监测其他的系统性能,比如CPU负载、系统负载、网络连接数等,就不是那么简单了。即使实现了这些功能,但管理起来非常麻烦。比如公司有一两千个被监测点,分布在不同的机房,为了管理方便需要将这些服务器和网络设备分类,这样的话就需要将这些被监测点放在不同的MRTG配置文件中,运行多个crontab,甚至还要自己写HTML页面对其进行管理。
MRTG毕竟是一套很老的软件,而且存在许多不足的地方,其作者Tobias Oetiker在1999年就已经开始开发另一套开源软件RRDTool来代替MRTG。现在RRDTool已经发展得很成熟,在功能上MRTG难以与其相提并论。
2.RRDTool与MRTG对比
与MRTG一样,RRDTool也是由Tobias Oetiker撰写的开源软件,但RRDTool并非MRTG 的升级版本,两者有非常大的区别,也可以说RRDTool是将用来取代MRTG的产品。下面是两个软件的一些优缺点的对比。
(1)MRTG
优点:
简单、易上手,基本安装完了之后只要修改一下配置文件即可使用。
缺点:
- 使用文本式的数据库,数据不能重复使用。
- 只能按日、周、月、年来查看数据。
- 由于MRTG本来只是用来监测网络的流量,所以只能存储两个DS(Data Source),即存储流量的输入和输出。
- 每取一次数据即需要绘图一次,浪费系统资源。
- 图像比较模糊。
- 无用户、图像管理功能。
- 没有详细日志系统。
- 无法详细了解各流量的构成。
- 只能用于TCP/IP网络,对于SAN网络流量无能为力。
- 不能在命令行下工作。
(2)RRDTool
优点:
- 使用RRD(Round Robin Database)存储格式,数据等于放在数据库中,可以方便地调用。比如,将一个RRD文件中的数据与另一个RRD文件中的数据相加。
- 可以定义任意时间段画图,可以用半年数据画一张图,也可以用半小时内的数据画一张图。
- 能画任意个DS,多种图形显示方式。
- 数据存储与绘图分开,减轻系统负载。
- 能任意处理RRD文件中的数据,比如,在浏览监测中我们需要将数据由Bytes转化为bits,可以将原始数据乘8。
缺点:
- RRDTool的作用只是存储数据和画图,它没有MRTG中集成的数据采集功能。
- 在命令行下的使用非常复杂,参数极多。
- 无用户、图像管理功能。
安装和部署指南
TeamWorks安装部署指南 第一部分软硬件环境要求 (2) 1.服务器端硬件环境 (2) 2.服务器端软件环境 (2) 3.客户端硬件环境 (2) 4.客户端软件环境 (2) 第二部分服务器端安装 (3) 1.服务器端软件安装 (3) 2.服务器端配置 (3) 第三部分客户端安装 (5) 1.客户端软件安装 (5) 2.客户端配置 (6)
第一部分软硬件环境要求1.服务器端硬件环境 CPU:双核1.8 GHz或更高内存: 2 GB 或更高 硬盘空间:1TB 或更高 网络协 议: TCP/IP ,固定IP 2.服务器端软件环境 操作系统:Windows Server 2003 、Windows Server 2008 数据库:Microsoft SQL Server 2008 R2 (默认实例安装,支持SQL论证) 安装包:Server\Setup.exe 、Server\Setup+sqlexpress.exe(含Microsoft SQL Server 2008 R2精简版) 3.客户端硬件环境 CPU:双核1.8 GHz或更高内存: 2 GB 或更高 硬盘空间:1GB 或更高 网络协 议: TCP/IP ,固定IP 4.客户端软件环境 操作系统:Windows XP(32bit),Win7(64bit 或32bit) CAD 软件:A utoCAD,SolidWorks ; 办公软件:Office, Adobe Reader 11.0 ; 浏览器:EDrawing, DWG TrueViewer ;
第二部分服务器端安装 1.服务器端软件安装 单机版安装时服务器主机可用localhost 代替安装目录不要选择默认目录(程序文件夹),在该文件夹中安装将不能创建数据库文件。安装目录不要用中文, 安装目录建议用:d:\TeamWorks 如果有防火墙,要将TeamWorks.Servers.exe 、TeamWorks.DatabaseService.exe 、TeamWorks.SpaceService.exe、TeamWorks.StormService.exe 加到信任列表 2.服务器端配置 a)控制台服务配置。 配置文件:Config\config.teamworks.service 配置: 控制台服务:TeamWorks.Service.Endpoints=tcp -h {serverIP} -p 10000 b) 数据库服务配置 配置文件:Config\config.teamworks.database.service 配置: 控制台服务:TeamWorks.Service.Endpoints=tcp -h {serverIP} -p 10000 数据库服务:TeamWorks.DatabaseService.Endpoints=tcp -h {serverIP} -p 10200
linux安全策略
[摘要] Linux系统使用越来越广泛,关系Linux的安全越来越受到人们的重视,本文结合笔者在Linux系统安全管理方面的一些经验体会,从账户、密码策略、文件权限,日志管理、远程访问等5个方面,对linux系统安全谈谈自己的体会,供大家参考。 一、引言随着Internet/Intranet网络的日益普及,Linux作为一个现代的操作系统,正在各个方面得到广泛的应用。Linux在服务器、嵌入式等方面已经取得不俗的成绩,在桌面系统方面,也逐渐受到欢迎。于是Linux的安全问题也逐渐受到人们的重视。Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。因此,详细分析Linux 系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。针对Linux的基本安全防护,笔者这里稍做介绍。二、Linux系统的安全策略1.Linux系统的用户账号策略管理员的工作中,相当重要的一环就是管理账号。在管理Linux 主机的账号时,一个最重要的方面就是确保每一个UID仅仅使用一次。另外就是设置有限的登陆次数来预防无休止的登陆攻击,通过编辑/etc/pam.d/system-auth,添加下面两句可以设置账户最多连续登陆5次,超过5次账户将被锁定,只有管理员才能帮助解锁。auth required pam_tally.so deny=5 account required pam_tally.so 2.密码策略要求(1)口令时效和口令长度的设置。口令时效和口令长度是一种系统机制,用于强制口令在特定的时间长度后失效。对用户来说,
企明星软件安装配置指南
第一节、安装说明 一、操作系统与硬件设备需求表 1.网络版需求: 1-1.企明星服务器端: 操作系统: Microsoft Windows XP professional版本以上或Windows 2003 Server 以上。 数据库环境要求:MicroSoft SQL Server 2000 + SP4。 硬件最低配置需求: 1-2.企明星客户端: 操作系统: 主流Windows系统均可 二、
三、安装步骤123 由于企明星系统的安装方式非常简单,因此将以安装「企明星服务器端」作说明。 1.网络版-主机端 请将安装光盘存入主机可读取的网络光驱中,系统将出现以下画面,请按画面所示及说明进行安装。或将下载的安装包解压后,点击VNSSetup。然后点选服务端安装。 提醒:【如果您还没有安装SQL Server 2000,请参考相关说明文档,先行安装好。】
接下来,全部按系统的默认提示点确认或下一步即可完成安装。(没有技术含量不再赘述) 2.网络版-客户端安装和联机 请将安装光盘存入主机可读取的网络光驱中,系统将出现以下画面,请按画面所示及说明进行安装。或将下载的安装包解压后,点击VNSSetup。然后点选客户端安装。 接下来,全部按系统的默认提示点下一步即可完成安装。 安装之后需要配置客户端与服务端的联机。企明星系统有一个很好的工具就是工作站联机向导程序:
{请注意:这里的口令是指服务器端的SQLSERVER 数据库的sa 口令} 联机成功并设置完成页面: {以后客户端每次登陆,就不必再做联机了,除非系统重装或相关设置被更改过。} 只在这里录入固定好的IP 地址就OK!
金蝶KIS专业版安装配置指南
-------------------------------------------------------------------------- 金蝶KIS专业版安装配置指南 -------------------------------------------------------------------------- 一.系统配置要求 1、服务器端 CPU 最低要求 1 GHz Pentium 4 处理器 推荐 1.7 GHz Pentium 4 处理器及以上 内存 最低 RAM 要求512MB 推荐 1G 内存 硬盘 需要1GB以上的可用空间 驱动器 需要 CD-ROM 或 DVD-ROM 驱动器 显示 Super VGA (1024x768) 或更高分辨率的显示器(颜色设置为32位真彩色) 鼠标 Microsoft 鼠标或兼容的指点设备 2、客户端 CPU 最低要求 600 兆赫 (MHz) Pentium III 处理器 推荐 1 GHz Pentium 4 处理器及以上 内存 最低 RAM 要求256MB 硬盘 需要 500 MB 以上的可用空间 驱动器 需要 CD-ROM 或 DVD-ROM 驱动器 显示 Super VGA (1024x768) 或更高分辨率的显示器(颜色设置为32位真彩色) 鼠标 Microsoft 鼠标或兼容的指点设备 二.操作系统要求 1、服务器端 Windows Server 2003 简体中文版 Windows 2000 Server 简体中文版 Windows XP Professional 简体中文版 Windows 2000 Professional 简体中文版 2、客户端 Windows Server 2003 简体中文版 Windows 2000 Server 简体中文版 Windows XP Professional 简体中文版 Windows 2000 Professional 简体中文版 三. 默认安装目录 KIS专业版的默认安装目录为:[Program Files]\Kingdee\KIS\Advance 四.安装组件 安装组件的分为“客户端”、“服务器端”.
Linux系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.360docs.net/doc/563748787.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
Symantec12安装部署和配置指南
Symantec12安装部署和配置指南 目录 1.0 Symamtec Endpoint Protection Manager 介绍 (2) 2.0 Symamtec Endpoint Protection Manager 安装 ............................................................. 2,2.0.1 部署环境 (2) 2.0.2 安装Symantec Endpoint Protection Manager和LiveUpdate (2) 2.0.3 安装服务器配置和数据库 (7) 3.0 Symamtec Endpoint Protection Manager 配置 (13) 3.0.1 建立J环境各地组 (13) 3.0.2 设置服务器更新周期 (15) 3.0.2 配置全局通信模式 (17) 3.0.3 设置全局扫描时间 (18) 3.0.4 设置病毒库更新策略 (20)
1.0 Symamtec Endpoint Protection Manager 介绍 赛门铁克推出Symamtec Endpoint Protection Manager增强企业级安全 新型的解决方案将多重安全技术集成到单一代理,并由单一控制台管理,增强并简化各种类型企业的安全。 2.0 Symamtec Endpoint Protection Manager 安装 2.0.1 部署环境 Win Ser 2008 R2 企业版 硬盘100G 内存1024M Symantec Endpoint Protecttion 12.1 EN 2.0.2 安装Symantec Endpoint Protection Manager和LiveUpdate 运行光盘镜像,出现如下界面:1.安装SEPM 2.安装非管理客户端3.返回 点击安装SEPM,如下1.首先阅读(主要包括安装要求和SEP介绍等)2.安装SEP 3.安装其他管理工具4.退出
Linux 防火墙的功能及安全策略
Linux 防火墙的功能及安全策略 防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。因此,防火墙的功能有以下几点: ●防火墙是网络安全的屏障 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS 协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 ●防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 ●对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 ●防止内部信息的外泄 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
金蝶KIS安装配置指南
金蝶KIS 旗舰版安装配置指南
目 录 1光盘说明 (3) 2安装方式 (3) 3服务端部件安装 (3) 4客户端部件安装 (8) 5KIS的自动部署 (11) 6常见问题分析与解决 (11) 7帮助与支持 (15)
1光盘说明 金蝶KIS 旗舰版 DVD安装光盘一套包括: 光盘名称说明 安装程序、演示账套、简体资源包 金蝶KIS安装光盘 用户手册、产品安装手册、系统管理员手册 2安装方式 目前我公司产品KIS旗舰版支持如下3种安装方式: 1、DVD光驱本机安装: 将DVD光碟直接插入DVD光驱,按照提示安装即可。 2、DVD光驱共享网络安装: 安装前请共享DVD光驱,再访问DVD光驱,按照提示安装即可。 3、DVD光盘拷贝至硬盘共享安装: 先将DVD安装盘拷贝到硬盘,并设置共享,按照提示安装即可。 注意: 为了确保KIS旗舰版安装程序能够正常的运行,推荐运行KIS旗舰版安装程序前,先退出正在运行的第三方软件(包括杀毒软件及相关防火墙),然后再进行KIS程序安装操作。完成KIS旗舰版安装操作后,再启用第三方软件。 3服务端部件安装 3.1服务端配置建议: 组件要求
处理器处理器类型: Intel Xeon 或 AMD Opteron 处理器速度: 最低:1.6GHz 推荐:2.4GHz 或更快处理器 处理器核心总数: 最低:2核心 推荐:4核心(200并发以内) 8核心(200~400并发) 400并发以上请增加服务器,下同 内存物理内存: 最少:1GB 推荐:2GB(200并发以内) 4GB(200~400并发) 存储存储类型: SCSI 或更快企业级存储,并推荐设置为RAID1 或 RAID5 存储空间: 最少:10GB 空闲空间 推荐:20GB 空闲空间 网络网络质量: 速率:100Mbps,推荐以1000Mbps与数据库服务器连接 延时:< 20ms (以大小1024字节的测试数据包返回结果为准) 丢包:< 0.1% (以大小1024字节的测试数据包返回结果为准) 操作系统 KIS服务器支持的操作系统: Windows Server 2003 Standard/Enterprise/DataCenter SP1/SP2 ① Windows Server 2003 Standard/Enterprise/DataCenter 64位x64 SP1/SP2 ① Windows Server 2008 Standard/Enterprise/DataCenter ② Windows Server 2008 Standard/Enterprise/DataCenter 64位x64 ② Windows Server 2012 Enterprise/DataCenter 其他未提及的操作系统版本不提供官方支持,金蝶KIS服务器在此类操作系 统上可能可以运行但未经严格测试,也可能完全不能运行。 在虚拟机系统中运行KIS服务器的特别说明请见注解④ 注解①——同时也支持Windows Server 2003 R2对应版本,Windows Server 2003 R2是Windows Server 2003的功能扩展包,两者系统兼容性是一致的。 注解②——只支持Windows Server 2008完全安装,不支持服务器核心安装(Server Core Installation)。同时也支持Windows Server 2008 R2对应版本,Windows Server 2008 R2是基于Windows Server 2008的功能扩展,两者系统兼容性是一致的。 注解④——服务器加密服务不支持在虚拟机(VMWare、Virtual PC等)中运行,加密服务在虚拟机中将总运行为演示版,也不支持License文件导入。但加密服务之外的其他服务组件可以正常在虚拟机中运行。
实验一:Linux用户管理与安全策略
操作系统安全Operating System Security Linux系统安全实验讲义 2013年12版本
实验一:Linux用户管理与安全策略1实验目的 ●通过实验熟悉Linux 环境下的用户操作管理; ●了解PAM工作原理和配置方法; ●掌握Linux 操作系统中常用用户安全策略配置; 2实验原理 2.1用户与用户组的基本体系 ●Linux提供了安全的用户名和口令文件保护以及强大的口令设置规 则,并对用户和用户组的权限进行细粒度的划分。 ●Linux 系统的用户和用户组的信息分别保存在 ?/etc/shadow ?/etc/passwd ?/etc/group ?/etc/gshadow 等几个文件中, ●/etc/passwd文件是系统用户认证访问权限的第一个文件。 文件的行格式如下:
login_name:password:uid:gid:user info: home_directory:default_shell ?其中: ?login_name:用户帐户,可以用1~8个字符表示,区分大小写, 避免使用数字开头; ?password:加密后的用户登录系统的密码; ?uid:系统指定给每个用户的唯一数值,即用户标识符,32位系统 中标识符在0~60 000之间。; ?gid:用户组标识; ?user info:用户注释信息(如用户身份、电话号码、特性等); ?home_directory:用户的主目录(家目录); ?default_shell:用户登录系统时默认执行的Shell程序,通常为 /bin/sh,表示执行Bourne Shell。如果是Korn Shell则用 /usr/bin/ksh。如果是C Shell则用/usr/bin/csh。如果是TC Shell 则用/usr/bin/tcsh(较少使用)。如果是Bash Shell则用 /usr/bin/bash(Linux系统) 特别说明: Linux 系统支持以命令行或窗口方式管理用户和用户组,本实验要求使用命令行方式实现,窗口方式为学生自行了解和掌握内容。 2.2PAM安全验证机制 详见课程讲义和教学课件
Linux安全策略配置
Linux安全策略配置
目录 一、关闭不必要的服务 (3) 二、控制使用开放的服务的用户 (4) 三、"/ETC/EXPORTS"文件设置 (6) 四、禁止使用控制台程序 (7) 五、"/ETC/ALIASES"文件 (8) 六、使系统对PING没有反应 (9) 七、不要显示系统提示信息 (10) 八、"/ETC/HOST.CONF"文件 (10) 九、防止源路由 (11) 十、使TCP SYN COOKIE保护生效 (12) 十一、特殊的帐号 (12) 十二、防止任何人都可以用SU命令成为ROOT (14) 十三、把RPM程序转移到一个安全的地方,并改变默认的访问许可 (15) 十四、登录SHELL (16) 十五、改变"/ETC/RC.D/INIT.D/"目录下的脚本文件的访问许可 (17) 十六、"/ETC/RC.D/RC.LOCAL"文件 (17)
一、关闭不必要的服务 Linux的服务分为两种,一种是由inetd超级服务器来启动的,如:ftp、telnet等;对于这些服务来说,系统并不总是运行telnetd、 ftpd等服务进程,而是由inetd进程监听这些服务的服务端口,一旦有服务请求到达就启动对应的服务进程(如:telnetd等)来提供服务。另外一种是独立的服务器,系统一直运行有对应的服务进程。 关闭这两种服务的方法是不同的,对于inetd启动的进程: inetd超级服务器的配置文件为/etc/inetd.conf,该文件指示了inetd应该监听哪些服务请求,并在请求时启动对应的服务。因此只要通过编辑 /etc/inetd.conf文件就可以实现关闭不需要的服务,例如希望关闭pop3服务,则在编辑/etc/inetd.conf文件以前文件中有如下的内容: pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 要关闭pop3服务则在该行前添加注释符即可: #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d 通过编辑该文件,实现关闭不需要的服务(例如我的系统我仅仅开放了telnet和ftp服务)以后,则需要重新启动inetd超级服务器。首先找到inetd 的进程号: [root@aid /etc]# ps ax|grep inetd 358 ? S 0:00 inetd 然后重新启动inetd服务器: [root@aid /etc]# kill -HUP 358 最后因为inetd.conf应该不允许普通用户读写,因此设置其访问权限为600: chmod 600 /etc/inetd.conf 而且该文件应该不被任何用户修改,包括root用户。因此为了防止用户错误的修改该文件,为该文件添加不可修改位: chattr i /etc/inetd.conf 对于独立服务器,则需要通过/usr/sbin/ntsysv命令来修改:
ETL-Plus-安装配置指南
概述 指南入门 本指南帮助ETL Plus使用人员了解系统的结构,逐步熟悉ETL Plus产品的安装及部署。 使用下表快速访问ETL Plus安装配置指南: 文档规范 下列规范用于在ETL Plus安装配置指南中区分文本元素。 采用醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下: 注意:提醒操作中应该注意的事项 说明:对操作内容的描述进行必要的补充和说明 对读者的要求 本指南的读者对象为ETL Plus的高级使用者。他必须具备以下条件: (1)有大型数据库系统维护的经验。 (2)熟悉数据库的安装和配置。 (3)熟悉一些应用服务器的安装和部署。
1 安装摘要 1.1 安装摘要 ETL Plus安装有两种办法: ●默认安装:默认安装包仅供在Windows操作系统上使用,用户点击ETL Plus.exe进行安装,根据向导一步步 操作即可完成安装部署。默认安装中调度服务器和管理平台使用Tomcat作为应用服务器、示例库使用MySQL 数据库,安装完毕通过系统环境配置页面指定License后即可登录使用。该方法适用于初次试用ETL Plus 产品或者是无特殊应用服务器和知识库要求的用户。 ●手动安装:手工安装包可在Windows或Unix / Linux等操作系统上使用。根据实际项目需要选择应用服务器 (Tomcat / JBoss / Weblogic / WebSphere)和知识库(MySQL / Oracle / DB2),由用户手工将etlplus.war 和scheduler.war应用包部署到应用服务器上,再通过系统环境配置页面手动配置知识库和指定License后登录使用。该方法适用于有其他应用服务器或知识库要求的用户。 要成功的使用ETL Plus,请关注如下步骤: ●创建知识库:选择ETL Plus默认安装使用MySQL作为知识库,也可以选择手工配置其他知识库(如Oracle)。 ●增加JDBC驱动:etlplus.war和scheduler.war中没有包含所有支持的数据库JDBC驱动程序,所以需要根据 实际情况手工增加相应版本的数据库驱动程序,并清除多余的相关驱动文件。 ●配置应用服务器:选择ETL Plus默认安装则使用Tomcat作为应用服务器,无须额外配置;也可以选择手工将 ETL Plus部署到WebSphere或WebLogic应用服务器。 ●启动ETL Plus应用服务器:在使用ETL Plus客户端组件之前必须启动ETL Plus应用服务器,在工作完成并 关闭客户端组件之后停止该服务器。 ●申请License:在登录使用ETL Plus产品之前需要申请License 获得产品的许可验证,具体操作请参见申请 License。 ●系统配置:应用服务器启动后,需要访问系统环境配置页面来进行知识库连接、授权文件等信息的配置,具 体操作请参见系统配置小节。 1.2 系统要求 在Microsoft Windows上安装ETL Plus,所需要满足的系统要求。 ETL Plus应用服务器系统要求
Red Hat Linux服务器安全策略详解之MRTG安装配置
17.1 安装配置MRTG监控Linux网络 17.1.1 SNMP简介和MRTG监控过程 1.SNMP简介 SNMP是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。SNMP可以提高网络管理员管理网络的效率,发现并解决网络问题,以及规划网络增长。通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题。简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP,然而事实并不是这样的。SNMP被设计成与协议无关,所以它可以在IP, IPX, AppleTalk, OSI,以及其他用到的传输协议上被使用。 SNMP运行在UDP之上,它利用的是UDP的161/162端口。其中161端口被设备代理监听,等待接受管理者进程发送的管理信息--查询请求消息;162端口由管理者进程监听等待设备代理进程发送的异常事件报告--陷阱消息,如Trap等。SNMP提供三类操作,分别为Get、Set和Trap。 2.MRTG监控过程 服务器的操作系统多种多样,使用较多的一般是UNIX类或Windows类操作系统,它们都支持SNMP。例如,对于Windows系统而言,只要增加"管理和监控工具"中的Windows组件,就有了对SNMP的支持。 服务器启动SNMP后,就会开放161/162端口。管理员如果要监控这台机器,就要在自己的机器上安装MRTG,然后通过MRTG向服务器的161/162端口发出查询等请求,取得数据后会生成图形及HTML文档的流量报告。这就是MRTG简单的监控过程。 17.1.2 Linux下MRTG的安装与配置 MRTG通过SNMP从设备中得到使用设备(如交换机)的网络流量信息,并把PNG格式图形以HTML方式显示出来,便于网络管理员对所监控设备(交换机)进行管理。目前市场上可网管型(智能)的交换机都支持SNMP,可以通过MRTG进行网络流量监控。 下面以Red Hat Linux 9.0为例介绍MRTG的安装与配置。 1.安装基础软件包 要安装MRTG软件包必须首先安装gcc、perl、gd、libpng、zlib、freetype等软件包。 2.安装配置net-snmp 光盘里有net-snmp的安装RPM包,安装完以后,配置/etc/snmp/snmpd.conf文件,使其能配合MRTG工作。
Red Hat Linux服务器安全策略
Red Hat Linux服务器安全策略 一:启动信息安全 1、为单用户引导加上密码 在“/etc/lilo.conf”文件中加入三个参数:time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 a):编辑lilo.conf文件(vi /etc/lilo.conf),假如或改变这三个参数: boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把这行该为00 prompt Default=linux ##########加入这行 restricted ##########加入这行并设置自己的密码 password=
linux服务器的安全与备份策略
Linux服务器的日常运维安全与备份一.网络基础 首先当服务器的linux系统搭建起来以后,我们首先需要考虑的就是连接上Internet了,这就需要我们通过网卡来实现这个目的。一块网卡足以提供服务器的链接至网络的需求。但是为了服务器日常运行的稳定性,这里还是建议采用双网卡绑定的方案。 双网卡绑定的话有一般有两种工作模式: 1.主备模式:,当一个网络接口失效时(例如主交换机掉电等),不会出现网络中断,系统会 按照/etc/rc.d/rc.local里指定网卡的顺序工作,机器仍能对外服务,起到 了失效保护的功能. 2.负载均衡工作模式:他能提供两倍的带宽,在这种情况下出现一块网卡失效,仅仅会是 服务器出口带宽下降,也不会影响网络使用. 建议可以根据实际需求在这两种模式下进行二选一 二.linux服务器基本的安全配置 一、Linux系统的安全策略 1.仔细设置每个内部用户的权限 为了保护Linux网络系统的资源,在给内部网络用户开设帐号时,要仔细设置每个内部用户的权限,一般应遵循“最小权限”原则,也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限,确保用户口令文件/etc/shadow的安全 2.谨慎设置登录口令 对于网络系统而言,口令是比较容易出问题的地方,应告诉用户在设置口令时要使用安全口令(在口令序列中使用非字母,非数字等特殊字符)并适当增加口令的长度(大于6个字符)。要保护好/etc/passwd和/etc/shadow这两个文件的安全,不让无关的人员获得这两个文件,这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击,一旦发现有不安全的用户口令,要强制用户立即修改。 3.加强对系统运行的监控和记录 保证对整个网络系统的运行状况进行监控和记录,这样通过分析记录数据,可以发现可疑的网络活动,并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施,则可以利用记录数据跟踪和识别侵入系统的黑客。 4.合理划分子网和设置防火墙 如果内部网络要进入Internet,必须在内部网络与外部网络的接口处设置防火墙,以确保内部网络中的数据安全。对于内部网络本身,为了便于管理,合理分配IP地址资源,应该将内部网络划分为多个子网,这样做也可以阻止或延缓黑客对整个内部网络的入侵。
金蝶K3V12.0安装配置指南(标准版、精益版)
金蝶K/3 安装配置指南
目录 光盘说明错误!未定义书签。 安装方式错误!未定义书签。 数据库服务部件安装错误!未定义书签。 中间层服务部件安装错误!未定义书签。 5WEB服务部件安装错误!未定义书签。6客户端部件安装错误!未定义书签。 7自定义组合安装错误!未定义书签。 8K/3的自动部署错误!未定义书签。 9常见问题分析与解决错误!未定义书签。10帮助与支持错误!未定义书签。
光盘说明 K/3 安装光盘一套包括: 光盘名称说明 金蝶K/3标准版\精益版 用户手册 手册光盘 金蝶K/3标准版\精益版 安装程序+演示账套+简体资源包+用户手册 安装光盘 安装方式 目前我公司产品K/支持如下3种安装方式: DVD光驱本机安装: 将DVD光碟直接插入DVD光驱,按照提示安装即可。 DVD光驱共享网络安装: 安装前请共享DVD光驱,再访问DVD光驱,按照提示安装即可。 DVD光盘拷贝至硬盘共享安装: 先将DVD安装盘拷贝到硬盘,并设置共享,按照提示安装即可。 注意: 为了确保K/3安装程序能够正常的运行,推荐运行K/3安装程序前,先退出正在运行的第三方软件(包括杀毒软件及相关防火墙),然后再进行K/3安装操作。完成K/3安装操作后,再启用第三方软件。 数据库服务部件安装 组件要求 处理器处理器类型: Intel Xeon 或AMD Opteron 或Intel Itanium 2 处理器速度: 最低:(对于Itanium处理器是) 推荐:或更快处理器(对于Itanium处理器是) 处理器核心总数: 最低:2核心 推荐:4核心(100并发以内或数据库实体10GB以内) 8核心(100~200并发或数据库实体10~20GB) 16核心(200~400并发或数据库实体20~40GB) 内存物理内存: 最少:2GB 推荐:4GB(100并发以内或数据库实体10GB以内) 8GB(100~200并发或数据库实体10~20GB) 16GB(200~400并发或数据库实体20~40GB)
linux安全策略
linux安全策略 密码策略: 1、密码有效期 /etc/login.defs中 PASS_MAX_DAYS180 PASS_MIN_DAYS0 PASS_MIN_LEN12 PASS_WARN_AGE15 UMASK 027 USERGROUPS_ENAB yes ENCRYPT_METHOD SHA512 2、密码复杂度检查 /etc/security/pwquality.conf minlen=10 minclass=3 3、密码错误尝试次数 /etc/ssh/sshd_config中 取消MaxAuthTries注释符号#并设置MaxAuthTries 3 4、检查密码重用是否受限制 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。 SSH策略: 1、SSH空闲超时退出时间 /etc/ssh/sshd_config中 ClientAliveInterval 600 ClientAliveCountMax 2 2、禁止SSH空密码用户登录 /etc/ssh/sshd_config中 PermitEmptyPasswords no 3、调整SSH Loglevel /etc/ssh/sshd_config中 LogLevel INFO
文件策略: 1、访问控制配置文件权限设置 运行如下命令: chown root:root /etc/hosts.allow chown root:root /etc/hosts.deny chmod 644 /etc/hosts.deny 2、设置用户权限配置文件的权限 运行如下命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow chmod 0644 /etc/group chmod 0644 /etc/passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow chmod 644 /etc/hosts.allow 其他策略: 1、开启地址空间布局随机化 /etc/sysctl.conf中 kernel.randomize_va_space = 2 并运行命令: sysctl -w kernel.randomize_va_space=2 2、开启日志服务 运行命令启用rsyslog服务 systemctl enable rsyslog systemctl start rsyslog
Linux服务器主机安全方案
如某项主机安全要求涉及到系统配置和服务状态的更改,则需要依次执行如下操作 1)查看和记录相关服务的初始状态 2)备份相关的系统配置 3)更改系统配置和服务状态 4)生成恢复系统配置和服务状态的命令或shell脚本。 操作之前先备份系统的如下文件: /etc/login.defs /etc/passwd /etc/shadow /etc/pam.d/system-auth /etc/ssh/sshd_config 1.1 身份鉴别 1.1.1 a) 是否对登录操作系统和数据库系统的用户进行身份标识和鉴别 登录操作系统和数据库系统,均需要通过用户名和密码进行验证 1.1.2 b) 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令是否有复杂度要求并定期更换 1. 口令复杂度 口令必须具备采用3种以上字符、长度不少于8位并定期更换; #vi /etc/pam.d/system_auth password requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcredit=1 ocredit=1 意思为最少有1个大写字母,1个小写字符,1个数字, 1个符号 2. 口令有效期 # vi /etc/login.defs PASS_MAX_DAYS 60 1.1.3 c) 是否启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施 设置6次登陆失败后锁定帐户,锁定时间3000秒 # vi /etc/pam.d/system-auth auth required pam_tally.so onerr=fail deny=6 unlock_time=3000 (放在system-auth文件的第一行,若对root用户起作用,加上even_deny_root root_unlock_time=3000) 解锁用户 faillog -u <用户名》 -r 1.1.4 d) 当对服务器进行远程管理时,是否采取必要措施,防止鉴别信息在网络传输过程中被窃听 远程管理时应启用SSH等管理方式,加密管理数据,防止被网络窃听。
Linux服务器安全策略分析
第一章Linux网络基础与Linux服务器的安全威胁 1.1.1Linux网络结构的特点 1.1 Linux网路基础 1.1.1Linux网络结构的特点 Linux在服务器领域已经非常成熟,其影响力日趋增大。Linux的网络服务功能非常强大,但是由于Linux的桌面应用和Windows相比还有一定差距,除了一些Linux专门实验室之外,大多数企业在应用Linux系统时,往往是Linux和Windows(或UNIX)等操作系统共存形成的异构网络。 在一个网络系统中,操作系统的地位是非常重要的。Linux网络操作系统以高效性和灵活性而著称。它能够在PC上实现全部的UNIX特性,具有多任务、多用户的特点。 Linux 的组网能力非常强大,它的TCP/IP代码是最高级的。Linux不仅提供了对当前的TCP/IP协议的完全支持,也包括了对下一代 Internet协议IPv6的支持。Linux核还包括了IP防火墙代码、IP防伪、IP服务质量控制及许多安全特性。Linux的网络实现是模仿 FreeBSD的,它支持FreeBSD的带有扩展的Sockets(套接字)和TCP/IP协议。它支持两个主机间的网络连接和Sockets通信模型,实现了两种类型的Sockets:BSD Sockets和INET Sockets。它为不同的通信模型提供了两种传输协议,即不可靠的、基于消息的UDP传输协议和可靠的、基于流的TCP传输协议,并且都是在IP网际协议上实现的。INET Sockets是在以上两个协议及IP网际协议之上实现的,它们之间的关系如图1-1所示。 图1-1 Linux网络中的层
掌握OSI网络模型、TCP/IP模型及相关服务对应的层次对于理解Linux网络服务器是非常重要的。 1.1.2 TCP/IP四层模型和OSI七层模型 表1-1是 TCP/IP四层模型和OSI七层模型对应表。我们把OSI七层网络模型和Linux TCP/IP 四层概念模型对应,然后将各种网络协议归类。 表1-1 TCP/IP四层模型和OSI七层模型对应表 1.网络接口 网络接口把数据链路层和物理层放在一起,对应TCP/IP概念模型的网络接口。对应的网络协议主要是:Ethernet、FDDI和能传输IP数据包的任何协议。 2.网际层 网络层对应Linux TCP/IP概念模型的网际层,网络层协议管理离散的计算机间的数据传输,如IP协议为用户和远程计算机提供了信息包的传输方法,确保信息包能正确地到达目的机器。这一过程中,IP和其他网络层的协议共同用于数据传输,如果没有使用一些监视系统进程的工具,用户是看不到在系统里的IP的。网络嗅探器 Sniffers是能看到这些过程的一个装置(它可以是软件,也可以是硬件),它能读取通过网络发送的每一个包,即能读取发生在网络层协议的任何活动,因此网络嗅探器Sniffers会对安全造成威胁。重要的网络层协议包括ARP(地址解析协议)、ICMP(Internet控制消息协议)和IP协议(网际协议)等。 3.传输层 传输层对应Linux TCP/IP概念模型的传输层。传输层提供应用程序间的通信。其功能包括:格式化信息流;提供可靠传输。为实现后者,传输层协议规定接收端必须发回确认信息,