Backuppc安装与配置
BackupPC服务器数据备份方案
作者:jason 日期:2015-05-15
企业服务器的数据都是非常重要的,为了确保安全,我们会做数据库备份,还要考虑应用数据及补丁备份,仅仅是本机备份是不够的,我们还要做异地备份。服务器备份软件很多,有Amanda、Bacula、Burp,这里,我们只讨论BackupPC来做备份服务器。
BackupPC是Linux平台下一款非常灵活的开源备份工具,支持RSYNC、RSYNCD(Win平台使用,官方推荐)、SMB、SSH、NFS等多种传输工具,支持增量备份,可以跨目录树跨多次备份去重(md5验证,节省空间)等多种优点,支持web页面管理,有中文语言包。它工作在pull模式下,服务器主动从客户机爬数据。
本文档工作环境:Centos 6.4X86_64最小化安装BackupPC 3.2(最新版本3.3),这里假设你会配置网络且熟悉简单的linux操作。
1.在BackupPC安装服务器上添加backuppc组及用户
[root@backuppc ~]# groupadd backuppc
[root@backuppc ~]# useradd -g backuppc backuppc
2. BackupPC没有在Centos官方库中,我们使用第三方epel库,方法如下,根据自己的版本选择其一。
[root@backuppc ~]# # yum -y install openssl*
## RHEL/CentOS 6 32-Bit ##
[root@backuppc ~]# wget
https://www.360docs.net/doc/e44988721.html,/pub/epel/6/i386/epel-release-6-8.noarch.rpm
## RHEL/CentOS 6 64-Bit ##
[root@backuppc ~]# wget
https://www.360docs.net/doc/e44988721.html,/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
[root@backuppc ~]# rpm -ivh epel-release-6-8.noarch.rpm
3.使用下面命令查看epel是否成功,如下图蓝色部分
[root@backuppc ~]#yum repolist
Loaded plugins: fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
* base: https://www.360docs.net/doc/e44988721.html,
* epel: https://www.360docs.net/doc/e44988721.html,
* extras: https://www.360docs.net/doc/e44988721.html,
* updates: https://www.360docs.net/doc/e44988721.html,
repo id repo name status
base CentOS-6 - Base 6,518
epel Extra Packages for Enterprise
Linux 6 - x86_64 11,460
extras CentOS-6 - Extras 37
updates CentOS-6 - Updates 1,102
repolist: 19,117
4.使用下面命令安装BackupPC
[root@backuppc ~]# yum --enablerepo=epel install BackupPC
Loaded plugins: fastestmirror, priorities, security
Loading mirror speeds from cached hostfile
* base: https://www.360docs.net/doc/e44988721.html,
* epel: https://www.360docs.net/doc/e44988721.html,
* extras: https://www.360docs.net/doc/e44988721.html,
* updates: https://www.360docs.net/doc/e44988721.html,
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package BackupPC.x86_64 0:3.3.0-2.el6 will be installed
--> Processing Dependency: perl-Time-modules for package: BackupPC-3.3.0-2.el6.x86_64
--> Processing Dependency: perl(Time::ParseDate) for package: BackupPC-3.3.0-2.el6.x86_64
--> Processing Dependency: perl(Net::FTP::RetrHandle) for package: BackupPC-3.3.0-2.el6.x86_64 --> Processing Dependency: perl(Net::FTP::AutoReconnect) for package: BackupPC-3.3.0-2.el6.x86_64
--> Processing Dependency: perl(File::RsyncP) for package: BackupPC-3.3.0-2.el6.x86_64
--> Running transaction check
---> Package perl-File-RsyncP.x86_64 0:0.72-1.el6 will be installed
---> Package perl-Net-FTP-AutoReconnect.noarch 0:0.3-3.el6 will be installed
---> Package perl-Net-FTP-RetrHandle.noarch 0:0.2-3.el6 will be installed
---> Package perl-Time-modules.noarch 0:2006.0814-5.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=============================================================================== =========================================================================== Package Arch Version Repository Size
=============================================================================== =========================================================================== Installing:
BackupPC x86_64 3.3.0-2.el6 epel 492 k
Installing for dependencies:
perl-File-RsyncP x86_64 0.72-1.el6 epel 100 k
perl-Net-FTP-AutoReconnect noarch 0.3-3.el6 epel 11 k
perl-Net-FTP-RetrHandle noarch 0.2-3.el6 epel 16 k
perl-Time-modules noarch 2006.0814-5.el6 base 38 k
Transaction Summary
=============================================================================== =========================================================================== Install 5 Package(s)
Total download size: 657 k
Installed size: 2.9 M
Is this ok [y/N]: Y
Downloading Packages:
(1/5): BackupPC-3.3.0-2.el6.x86_64.rpm | 492 kB 00:00
(2/5): perl-File-RsyncP-0.72-1.el6.x86_64.rpm | 100 kB 00:00
(3/5): perl-Net-FTP-AutoReconnect-0.3-3.el6.noarch.rpm | 11 kB 00:00
(4/5): perl-Net-FTP-RetrHandle-0.2-3.el6.noarch.rpm | 16 kB 00:00
(5/5): perl-Time-modules-2006.0814-5.el6.noarch.rpm | 38 kB 00:00
----------------------------------------------------------------------------------------------------------------------------------------------------------
Total
138 kB/s | 657 kB 00:04
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : perl-Net-FTP-RetrHandle-0.2-3.el6.noarch 1/5
Installing : perl-Time-modules-2006.0814-5.el6.noarch 2/5
Installing : perl-Net-FTP-AutoReconnect-0.3-3.el6.noarch 3/5
Installing : perl-File-RsyncP-0.72-1.el6.x86_64 4/5
Installing : BackupPC-3.3.0-2.el6.x86_64 5/5
warning: /etc/BackupPC/config.pl created as /etc/BackupPC/config.pl.rpmnew
warning: /etc/BackupPC/hosts created as /etc/BackupPC/hosts.rpmnew
Verifying : perl-File-RsyncP-0.72-1.el6.x86_64 1/5
Verifying : perl-Net-FTP-AutoReconnect-0.3-3.el6.noarch 2/5
Verifying : perl-Time-modules-2006.0814-5.el6.noarch 3/5
Verifying : perl-Net-FTP-RetrHandle-0.2-3.el6.noarch 4/5
Verifying : BackupPC-3.3.0-2.el6.x86_64 5/5
Installed:
BackupPC.x86_64 0:3.3.0-2.el6
Dependency Installed:
perl-File-RsyncP.x86_64 0:0.72-1.el6 perl-Net-FTP-AutoReconnect.noarch 0:0.3-3.el6 perl-Net-FTP-RetrHandle.noarch 0:0.2-3.el6
perl-Time-modules.noarch 0:2006.0814-5.el6
Complete!
5.修改配置文件BackupPC.conf,默认安装完后会在/etc/httpd/conf.d/下面生成
# Apache 2.2
order deny,allow
deny from all
allow from all
# allow from 127.0.0.1
# allow from ::1
require valid-user
6.Apache 的执行身份必须是安装BackupPC时在系统上所创建的backuppc用户
[root@backuppc ~]#htpasswd -c /etc/BackupPC/https://www.360docs.net/doc/e44988721.html,ers backuppc
New password:
Re-type new password:
Adding password for user backuppc
[root@backuppc ~]#
6更改目录的属用户/组
[root@Nagios conf.d]# chown -R backuppc:backuppc /etc/BackupPC
[root@Nagios conf.d]# chown -R backuppc:backuppc /var/lib/BackupPC
7.编辑BackupPC主配置文件
[root@backuppc ~]#vim /etc/BackupPC/config.pl
$Conf{CgiAdminUsers} = ‘backuppc’; ——》查找到$Conf{CgiAdminUsers} 在其后面加上backuppc
8.启动Apache服务并设置自动启动
[root@backuppc ~]#Service httpd start
[root@Nagios conf.d]# /etc/init.d/backuppc restart
Shutting down BackupPC: [确定]
Starting BackupPC: [确定]
[root@backuppc ~]#Chkconfig httpd on
[root@backuppc ~]#Chkconfig backuppc on
[root@backuppc ~]# chkconfig --list httpd
httpd 0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭
[root@backuppc ~]# chkconfig --list backuppc
backuppc 0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭
[root@backuppc ~]#
9.设置Backuppc用户运行指定命令
运行:visudo
修改如下:
##查到到Defaults requiretty,并将其注释掉
##并加入以下两行信息.
Defaults !lecture
backuppc ALL=NOPASSWD:/bin/gtar,/bin/tar
至此服务器端配置完毕。
10.Windows客户端配置
Win服务器下载cygwin-rsyncd最新版本,下载地址如下:
https://www.360docs.net/doc/e44988721.html,/projects/backuppc/files/cygwin-rsyncd/
下载安装完后,编辑文件c:\rsyncd\rsyncd.conf根据注释[docs]例子来增加下面代码,
表示你要备份的目录和读取权限。Read only=True即为只读,false为可读写,这里说明一下,备份只读权限即可,要还原/恢复要有写入权限。
这个[Data]就是前面/etc/BackupPC/config.pl提到的客户机备份目录,要上下对应,根据实际情况设定.
修改rsyncd.conf的配置文件
[Data] ——注:与下面截图中位置的信息保持一致
path = /cygdrive/D/software/
comment = Data
strict modes = false
auth users = backuppc
secrets file = c:/rsyncd/rsyncd.secrets
hosts allow = *
read only = false
list = true
修改rsyncd.secrets的配置文件
#UUU:PPP
backuppc:ac.123456
Win2008默认开启了防火墙,记得开启tcp 873端口
11. Linux客户端配置
Linux客户端设置(Centos 6) 在web服务器(需要备份的服务器)上安装rsync ,方法如下:[root@binjiang]# yum install rsyncxinetd
开启守护进程
[root@testphp ~]# vim /etc/xinetd.d/rsync
##将disable = yes 修改为no Disable = no 加入防火墙端口
[root@testphp ~]# iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 873 -j ACCEPT [root@testphp ~]# service iptables save && service iptables restart
[root@testphp ~]# iptables-save
# Generated by iptables-save v1.4.7 on Fri May 15 11:11:00 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6:856]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 873 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri May 15 11:11:00 2015
建立rsync配置文件
Read only=True即为只读,false为可读写,这里说明一下,备份只读权限即可,要还原/恢复要有写入权限。
[root@testphp ~]# vim /etc/rsyncd.conf
port=873
uid = root
gid = root
userchroot = no
max connections = 200
timeout = 60
pid file = /var/run/rsyncd.pid
lock file = /var/run/rsyncd.lock
log file = /var/log/rsyncd.log
[mail_home]
path = /home/
ignore errors
read only = yes
list = no
hosts allow = 192.168.1.0/255.255.255.0
auth users = backuppc
secrets file = /etc/rsyncd.secrets
[mail_www]
path = /var/www/
ignore errors
read only = yes
list = no
hosts allow = 192.168.1.0/255.255.255.0
auth users = backuppc
secrets file = /etc/rsyncd.secrets
建立密码文件
[root@testphp ~]# vim /etc/rsyncd.secrets
[root@testphp ~]# chmod 600 /etc/rsyncd.secrets
[root@testphp ~]# chkconfig xinetd on
查看873端口是否起来,表示sync监听正常
[root@testphp ~]# /etc/init.d/xinetd restart
停止xinetd:[确定]
正在启动xinetd:[确定]
现在可以进入IE管理界面,添加这台备份机器了,这里主要是添加mail_home和mail_www 两个目录。
以下为对192.168.1.252的备份
如需还原,点进“备份序列号#”下面的“0”,选中要还原的文件然后点选“恢复被选中的文件”,如下图所示
点选“恢复被选中的文件”后跳转至如下图页面,有3种恢复选项,第一种是直接恢复至备份目录,前题前面配置read only = false,如果配置了true不能选第一种的。第二可以下载zip压缩包至本地机子上,第三种可以下载tar包至本地机子上。
曙光作业管理-调度系统安装配置手册
Torque + Maui配置手册之抛砖引玉篇 本文将以应用于实际案例(南航理学院、复旦大学物理系、宁波气象局)中的作业调度系统为例,简单介绍一下免费开源又好用的Torque+Maui如何在曙光服务器上进行安装和配置,以及针对用户特定需求的常用调度策略的设定情况,以便可以起到抛砖引玉的作用,使更多的人关注MAUI这个功能强大的集群调度器(后期将推出SGE+MAUI版本)。本文中的涉及的软件版本Torque 版本:2.1.7 maui版本:3.2.6p17。 1. 集群资源管理器Torque 1.1.从源代码安装Torque 其中pbs_server安装在node33上,TORQUE有两个主要的可执行文件,一个是主节点上的pbs_server,一个是计算节点上的pbs_mom,机群中每一个计算节点(node1~node16)都有一个pbs_mom负责与pbs_server通信,告诉pbs_server该节点上的可用资源数以及作业的状态。机群的NFS共享存储位置为/home,所有用户目录都在该目录下。 1.1.1.解压源文件包 在共享目录下解压缩torque # tar -zxf torque-2.1.17.tar.gz 假设解压的文件夹名字为: /home/dawning/torque-2.1.7 1.1. 2.编译设置 #./configure --enable-docs --with-scp --enable-syslog 其中, 默认情况下,TORQUE将可执行文件安装在/usr/local/bin和/usr/local/sbin下。其余的配置文件将安装在/var/spool/torque下 默认情况下,TORQUE不安装管理员手册,这里指定要安装。 默认情况下,TORQUE使用rcp来copy数据文件,官方强烈推荐使用scp,所以这里设定--with-scp. 默认情况下,TORQUE不允许使用syslog,我们这里使用syslog。 1.1.3.编译安装 # make # make install Server端安装设置: 在torque的安装源文件根目录中,执行 #./torque.setup root 以root作为torque的管理员账号创建作业队列。 计算节点(Client端)的安装: 由于计算节点节点系统相同,因而可以用如下SHELL script (脚本名字为torque.install.sh)在
实验二操作系统安全配置
实验二操作系统安全配置 【实验目的】 1.掌握使用安全策略设置的方法,了解安全策略的主要内容和用途 2.掌握用计算机管理工具管理本地用户帐户的方法,了解Windows下帐户的命名规则和口 令要求 3.掌握Windows下审核策略的设置方法,了解审核策略的制定准则 4.掌握Windows环境中网络服务和端口的安全管理技术 5.掌握Windows下IPSec策略的配置方法,利用IPSec进行安全传输 【实验设备及环境】 1.Windows XP操作系统 2.Windows Server 2003操作系统(虚拟机) 【实验导读】 1.安全策略设置 操作系统的安全配置是整个操作系统安全策略的核心,其目的就是从系统根源构筑安全防护体系,通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段,形成一整套有效的系统安全策略。Windows系统安装的默认配置是不安全的,在系统使用前,应该进行一些设置,以使系统更安全。 通过本地安全策略可以控制: ●访问计算机的用户; ●授权用户使用计算机上的哪些资源; ●是否在事件日志中记录用户或组的操作。 2.用户管理 在Windows 中,用户管理对于系统和组织安全性非常关键,在组织内部,应该存在用来确定每个新用户具有的正确权限的过程,当用户离开组织时,应该具有保证用户不能再访问系统的过程。 ⑴Windows用户帐户 Windows提供三种类型的用户帐户:本地用户帐户、域用户帐户和内置用户帐户。本地用户帐户允许用户登录到一台特定的计算机上,从而可以访问该计算机上的资源。域用户帐户允许用户登录到域中从而可以访问网络中的资源。内置用户帐户允许用户执行管理任务或者访问本地和网络资源。 一般Administrator帐户不能被删除,在实际应用时为了增加入侵难度,可以更改Administrator帐户名,比如改成guestone。 ⑵帐户规则 ①命名规范 命名规范确定域中的用户如何被标识,命名规范可参考表2-1 表2-1 命名规范
系统安装手册
安装手册 系统运行环境: 软件环境 服务器:Windows2000 / 2003 ,IIS5.0 / IIS6.0,SQL server2000企业版,IE6.0。 学生机:Windows操作系统,IE6.0 / IE8.0等兼容浏览器。 硬件环境 服务器:CPU双核2.0以上,内存2G以上,硬盘SCSI\SATA接口,空间最少500M,视安装的系统而定。 学生机:CPU赛扬2.0以上,内存512M以上,分辨率1024*768以上。 在安装系统前,请核实以上环境并确保服务器已安装好IIS(Internet 信息服务)、SQL server2000。 系统安装前的准备工作: 1、建立安装目录。 在D盘(其他盘也可)新建名为fst的文件夹, 然后在fst文件夹下面新建Web和Data文件夹,如 图1所示。 2、安装系统公共程序 运行安装程序wizstyle.exe,出现图2所示系统安装向导界面。 请点击“系统公共程序”后面的“安装”按钮,安装向导会自行安装系统必要的安装程序。安装过程无需更改任何设置,按照提示操作即可。如果此前安装过本公司BS系统或安装过.net2.0则可以跳过此步。(当安装不成功,是64位操作系统时,请打开安装程序里的“运行环境”文件夹,分别点击setup1(64).exe,setup2(64).exe,setup3.exe安装。) (图2) 3、在图2的界面点击“加密狗驱动”后面的“安装”按钮,在出现的界面上点“安装”。 4、设置Web服务扩展(IIS5.0跳过此步)。 打开控制面板->管理工具->Internet 信息服务(简称IIS,如图3。点击菜单帮助->关于Internet 信息服务,查看IIS的版本)。在图3左边点击“Web服务扩展”,在右边窗口分别选中Active Server Pages,
aSV快速部署手册-ISO全新安装-V3.0
aSV软件安装和初始化配置指导书1.1.aSV安装说明 1.1.1.最低硬件要求 CPU:支持x64与Intel? Virtualization Technology (VT-x) 内存:4GB 硬盘:60GB 主板:开启VT(VT-x)功能 1.1. 2.BIOS开启VT(VT-x)功能 在bios里开启vt技术支持,实例如下(注意每款主板不一样,大同小异)
1.1.3.U盘烧录ASV安装镜像 所需使用的软件:UltraISO 制作过程:首先插入U盘,然后按下面的步骤做1)打开软件UltraISO 2)加载vtp的iso,然后选择需要刻盘的iso文件。
3)加载iso之后如下所示(文件名以当前下载镜像名为准,此处仅为参考) 4)然后点击启动---写入硬盘映像
5)然后点击“写入”,其他默认就行了。完成后返回把U盘拔出即可。 注意: 1)U盘写入格式使用USB-HDD或USB-HDD+都可以,推荐勾上刻录完成后校验。 1.1.4.安装ASV 1)服务器光驱插入ASV安装光盘,启动设备,BIOS设置光驱启动为第一优先级,重启设 备(设备内存需要大于4GB,才允许安装);系统进入启动界面,按【ENTER】键,进入安装界面;
2)点击【OK】,会检测当前CPU是否为Intel架构(如果CPU为AMD架构,会提示CPU 类型不支持,退出安装); 3)选择安装所在磁盘,如果只有一块硬盘,直接点击【OK】(所选硬盘容量需要大于60GB 才允许安装); 4)选择磁盘后提示需要格式化硬盘数据,请点击【YES】,如果硬盘数据需要保留,请选择 【NO】回退到硬盘选择界面;硬盘满足大于40GB容量的检查后,开始安装;
ecology系统安装手册
协同商务系统(e-cology) 系统安装手册
目录 1.前言 (2) 2.体系结构 (2) 2.1.J2EE架构简介 (2) 2.1.1.简介J2EE (2) 2.1.2.J2EE的优点 (2) 2.2.ecology系统在J2EE架构下的实现 (3) 2.2.1.表示层 (4) 2.2.2.业务逻辑层 (4) 2.2.3.数据层 (5) 3.系统配置策略 (5) 3.1.基本系统配置 (5) 3.1.1.客户端 (5) 3.1.2.Web服务器 (6) 3.1.3.中间层 (6) 3.1.4.数据库 (6) 3.1.5.网络环境 (7) 4.系统安装和卸载 (8) 4.1.安装前准备 (8) 4.1.1.安装SQL-SERVER2000 (8) 4.1.2.安装ORACLE (8) 4.2.系统安装 (8) 4.2.1.ecology系统安装 (8) 4.2.2.WEB服务器安装........................... 错误!未定义书签。 4.2.3.数据库初始化 (16) 4.2.4.运行系统 (16) 4.3.系统卸载 (17) 5.问题 (17)
1.前言 本文档的主要内容是从技术角度对ecology系统的架构、产品安装、默认设置等进行阐述,并从系统安全、性能和配置等方面对ecology系统的应用和实施提供依据和指导。无论是较小型的应用场合,还是高可靠、高安全要求的大型应用场合,希望本文件给你提供有价值的内容。wEAver2005 2.体系结构 e-cology系统是一个基于J2EE架构的大型分布式应用。采用J2EE的三层架构体系。可选择多种系统环境,满足不同类型、不同规模企业的需要。企业可以根据自己的实际情况构建合适的应用环境。结合操作系统、应用平台或第三方的产品,我们还可以构筑高安全、高性能、高可靠的应用环境。 2.1.J2EE架构简介 基于J2EE的企业应用技术已经成为许多企业电子商务环境的核心驱动引擎,泛微定位技术高端,全面采用J2EE技术规范,全面支持Enterprise JavaBeans标准。 2.1.1.简介J2EE J2EE是一种利用Java 2平台来简化诸多与多级企业解决方案的开发、部署和管理相关的复杂问题的体系结构。提供了对 EJB、Servlets、JSP、JDBC、CORBA以及XML技术的全面支持。J2EE提供了一个企业级的计算模型和运行环境用于开发和部署多层体系结构的应用。它通过提供企业计算环境所必需的各种服务,使得部署在J2EE平台上的多层应用可以实现高可用性、安全性、可扩展性和可靠性。 2.1.2.J2EE的优点 J2EE具有以下优点: 1.平台无关性。用户不必将自己捆绑在某一种硬件或操作系统上,可以根据自身的情况选择合适的硬件、操作系统、数据库。 2.J2EE是一种组件技术,已完成的组件能被方便地移植到任何其它地方。
蓝光系统netbox安装及升级配置指南
蓝光系统netbox安装及升级配置指南 Caiping liao 手工升级netbox 设定静态地址: Statics mode :Cd /etc/network root@ubuntu9:/etc/network# more interfaces The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 221.123.186.88 gateway 221.123.186.65 netmask 255.255.255.224 root@ubuntu9:/etc/network# pwd 设定动态地址 dhcp mode: xbmc@ubuntu9:/etc/network$ more interfaces_dhcp # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp 手工方式升级 升级安装之前先手动删除(后面会修改为脚本操作) # rm –rf /usr/local/share/xbmc #rm –rf /usr/local/bin/xbmc* # rm –rf /home/xbmc/.xbmc 升级主版本: # cd /home/xbmc # tar –zxvf https://www.360docs.net/doc/e44988721.html,BOX_1.0_20110107_039.tar.gz 进入NetBox # cd NetBox 运行sh install.sh
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
系统安装部署手册模板
。 中国太平洋保险(集团)股份有限公司Xxxxxxxxxxx项目 系统安装部署手册 V1.0 项目经理: 通讯地址: 电话: 传真: 电子邮件:
文档信息 1引言 (3) 1.1编写目的 (3) 1.2系统背景 (3) 1.3定义 (3) 1.4参考资料 (3) 2硬件环境部署 (3) 2.1硬件拓扑图 (3) 2.2硬件配置说明 (3) 3软件环境部署 (3) 3.1软件环境清单 (3) 3.2软件环境部署顺序 (3) 3.3操作系统安装 (4) 3.4数据库安装 (4) 3.5应用级服务器安装 (4) 3.6其他支撑系统安装 (4) 4应用系统安装与配置 (4) 4.1应用系统结构图 (4) 4.2安装准备 (4) 4.3安装步骤 (4) 4.4系统配置 (5) 5系统初始化与确认 (5) 5.1系统初始化 (5) 5.2系统部署确认 (5) 6回退到老系统 (5) 6.1配置回退 (5) 6.2应用回退 (5) 6.3系统回退 (5) 6.4数据库回退 (5) 7出错处理 (5) 7.1出错信息 (5) 7.2补救措施 (5) 7.3系统维护设计......................................................... 错误!未定义书签。
1 引言 1.1 编写目的 [说明编写系统安装部署手册的目的] 1.2 系统背景 [ a . 说明本系统是一个全新系统还是在老系统上的升级; b . 列出本系统的使用单位/部门、使用人员及数量。] 1.3 定义 [列出本文件中用到的专门术语的定义和缩写词的原词组。] 1.4 参考资料 [列出安装部署过程要用到的参考资料,如: a . 本项目的完整技术方案; b . 系统运维手册; c . 其他与安装部署过程有关的材料,如:工具软件的安装手册] 2 硬件环境部署 2.1 硬件拓扑图 [列出本系统的硬件拓扑结构,如服务器、网络、客户端等。] 2.2 硬件配置说明 [列出每一台硬件设备的详细配置,如品牌、型号、CPU 数量、内存容量、硬盘容量、网卡、带宽、IP 址址、使用、应部署哪些软件等等] 3 软件环境部署 3.1 软件清单 [列出需要用到哪些软件,包括操作系统软件、数据库软件、应用服务器软件和其他支撑系统软件等,要列明每个软件的全称、版本号、适用操作系统、LICENSE 数量等] 3.2 软件环境部署顺序 [列出每一台硬件上的软件安装顺序,如果不同硬件间的软件安装顺序存有依赖关系,也要在备注中列出,
CommVault一体化信息管理系统安装配置操作手册
目录 一、CommVault安装说明 (1) 1.1 CommServe备份服务器安装 (1) 1.2 Windows平台补丁包安装 (14) 1.3 Windows平台文件模块安装 (17) 1.4 Windows平台SQL模块安装 (26) 1.5 Windows平台oracle模块安装 (35) 1.6 Windows平台CDR模块安装 (46) 二、CommVault管理说明 (55) 2.1 CommVault管理 (55) 2.1.1 登入CommCell管理界面 (55) 2.1.2 CommCell基本布局 (56) 2.1.3 查看服务运行状态 (57) 2.2 许可证导入 (58) 3. 磁盘库配置 (60) 4. 存储策略配置 (65) 5. 计划策略设置 (70) 6. Windows平台文件系统备份 (76) 7. Windows平台文件系统还原 (81) 8. Windows平台SQL模块备份 (83) 9. Windows平台SQL模块还原 (91) 10. Windows平台oracle模块备份 (95) 11. Windows平台oracle模块还原 (105) 12. Windows平台CDR模块备份 (113) 13. Windows平台CDR模块还原 (123)
一、CommVault安装说明 1.1CommServe备份服务器安装 1.将CommVault第一张安装介质插入光驱(Windows平台介质),弹出如下安装向导界 面; 2.请选择系统架构,以64位平台安装为例,如下图;
3.请接受许可协议中的条款,如下图; 4.请根据企业内部环境选择相应的模块,如下图。默认请选择;CommServe 、CommCell Console、MediaAgent,并点击下一步; 备份服务器 管理控制台 介质服务器 5.视系统情况,安装过程中可能会提示安装MicroSoft .Net Framwork,请点击“是”确定 安装,安装过程中会提示重启系统时请重启系统;
系统安装部署指南项目实施手册
系统安装部署指南 一、软硬件配置参数要求 1、服务器端配置参数 为了使软件正常顺利的安装和运行,推荐以下配置 1)服务器硬件推荐配置 CPU:双核以上配置; 内存:2G以上; 硬盘:160G以上; 网卡:100M或1000M以太网; 2)软件推荐配置 操作系统:Windows 2003 Server 企业版,打Sp2补丁; 组件:安装组件IIS服务; 杀毒软件:360、瑞星等均可; 3)相关端口 保证网络畅通,开放1433端口和80端口; 2、客户端(网上阅卷端)配置参数 1) 阅卷PC机最低配置要求 CPU: 奔腾Ⅲ800 以上配置; 硬盘:20G 以上; 内存:256M 以上; 网卡:100M或1000M 以太网; 2) 浏览器:IE8或以上版本; 3) 保证在一个局域网内,能够正常连接到服务器。
二、系统安装前的准备工作 1) 检查服务器硬件是否符合要求,检查服务器的操作系统是否为Windows Server 2003 Enterprise Edition 并打上sp2 补丁,检查是否已安装杀毒软件, 测试相应端口是否已打开、网络是否畅通。 2) 检查是否安装了IIS(若没有安装需首先安装IIS)。 3) 设置服务器操作系统登录密码。 4) 新建共享文件夹PIC ,在属性---共享----权限中对该文件夹添加administrator 或当前登录账户并赋予该用户完全控制、更改、读取的权限。
5) 设置服务器IP 地址。
三、系统安装 1、安装framework 1) 安装软件(按系统默认设置即可)。 2) 运用 IIS注册工具进行注册。 运行windows →→ Framework → .*** →–i 运行windows →→ Framework → .*** →–ir –enable
ZXR10 T64G交换机安装与配置手册
中兴ZXR T64G万兆路由交换机 安装手册 中国电信集团系统集成有限责任公司 2008年9月
目录 1.ZXR10 T64G 体系介绍 (3) 1.1.产品概述 (3) 1.2.硬件结构与板卡介绍 (4) 1.3.软件版本升级 (5) 2.ZXR10 T64G 的安装 (6) 2.1.安装在机柜 (6) 2.2.单板的安装 (6) 3.ZXR10 T64G 配置 (7) 3.1.命令行使用 (7) 3.1.1.在线帮助 (7) 3.1.2.命令缩写 (8) 3.1.3.命令历史 (8) 3.2.端口配置 (9) 3.2.1.物理端口配置 (9) 3.3.IS-IS配置 (11) 3.3.1.IS-IS基本配置 (11) 3.3.2.IS-IS配置实例 (11) 3.4.BGP 配置 (12) 3.4.1.配置BGP (12) 3.4.2.BGP 配置实例 (13) 4.常用系统维护命令 (13) 4.1.IS-IS (13) 4.2.BGP (13)
1.ZXR10 T64G 体系介绍 1.1. 产品概述 ZXR10 T64G是中兴通讯自主研发的以太网路由交换机,可用于城域网的骨干层或汇聚层,也可作为大型企业网、园区网的骨干/汇聚三层交换机。 ZXR10 T64G提供快速以太网、千兆以太网、万兆以太网等接口,并且支持所有端口L2/L3线速转发,能够满足日益增长的带宽要求。ZXR10 T64G还支持多种单播和组播路由协议。 随着网络的发展,数据网上承载的业务种类也越来越多,这对网络设备的服务质量保证、安全等方面都提出了更高的要求。ZXR10 T64G在QoS和ACL方面提供了丰富的策略和资源,保证了服务质量和系统安全。 作为骨干/汇聚层的重要交换节点,ZXR10 T64G具有电源模块、控制和交换模块的热备份功能,适合于建设高可靠、大容量的网络。 ZXR10 T64G具有以下特点: 电信级的可靠性 全线速的转发和过滤能力 丰富的网络协议支持 开放的体系架构,支持很好的升级能力 ZXR10 T64G为标准19英寸插箱式结构。ZXR10 T64G共有6个插槽,其中1个为控制交换板槽位,4个为线路接口板槽位,还有一个槽位可根据需要插控制交换板或线路接口板。 控制交换板实现交换、协议处理、系统配置管理、网管接口等功能,是系统的核心部分,可进行1+1冗余配置。 线路接口板主要进行报文处理,包括转发、丢弃、上报等操作,以实现业务流的线速转发。ZXR10 T64G支持多种类型和端口密度的线路接口板,包括:1.1端口万兆以太网光接口板 2.2端口万兆以太网光接口板 3.12端口千兆以太网光接口板 4.24端口千兆以太网光接口板 5.12端口千兆以太网电接口板 6.24端口千兆以太网电接口板 7.44+4快速以太网电接口板 ZXR10 T64G实现了全线速的二三层交换功能,广泛支持多种协议,提供各种功能。 1.物理端口 支持端口速率、双工模式、自适应等的配置 支持端口镜像 支持广播风暴抑制
Tongweb安装配置手册簿.doc
实用文档 1.1 Linux平台下Tongweb服务器安装 在进行安装前请确认是否已经安装 1.5 版本的 jdk ,以下安装以Tongweb 4.8 为例,目前管信部4A 用的也是 Tongweb 4.8 (不支持 1.6 版本的 jdk )版本。 JDK的安装见( 6.2.1 ) 找到 Tongweb4.8 安装介质所在的文件夹,如下图所示 图 1.5.1-1安装介质路径 直接运行安装程序,如下图; 图 1.5.1-2执行安装命令 图 1.5.1-3正在安装 随后会显示图形安装界面,如下图所示
此时 Tongweb 4.8 安装成功。 注意:若执行操作后提示错误信息为: 代表权限不够,执行如下命令:chmod +x *.bin 1.2 注册 Tongweb 服务器 复制 license.dat到安装目录,如下图所示 注:图例将Tongweb 安装于 root目录下,同时也可以直接将License 传到安装目录。 1.3 Linux平台下测试Tongweb 1.3.1.1.1.1启动Tongweb 4.8 通过终端或者第三方客户端登录到启动命令所在目录:如下图
图 1.5.1-1-1命令目录 后台启动命令 ( 推荐使用 ) sh startnohup.sh 前台启动命令 ( 该终端或者第三方客户端关闭的话,Tongweb服务也将关闭) ./tongserver.sh或者是 ./tongserver.sh start 如果启动服务成功则应该出现下图所示的【system ready】 图 1.5.1-2启动成功 1.3.1.1.1.2停止Tongweb 4.8 和启动 Tongweb 命令目录一样, 停止服务命令:./tongserver.sh stop 1.4 访问 Tongweb 安装、启动成功后访问http://127.0.0.1:8001/console会出现Tongweb的控制台,如下图所示
各种操作系统安全配置方案
操作系统安全配置方案 内容提要 Windows 的安全配置。 操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。 操作系统概述 目前服务器常用的操作系统有三类: Unix Linux Windows NT/2000/2003 Server 。 这些操作系统都是符合C2 级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。 UNIX 系统 UNIX 操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 UNIX 诞生于20 世纪60 年代末期,贝尔实验室的研究人员于1969 年开始在GE645 计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC 的PDP-7 小型机上。 1970 年给系统正式取名为Unix 操作系统。到1973 年,Unix 系统的绝大部分源代码都用C 语言重新编写过,大大提高了Unix 系统的可移植性,也为提高系统软件的开发效率创造了条件。 主要特色 UNIX 操作系统经过20 多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5 个方面。 (1 )可靠性高 (2 )极强的伸缩性 (3 )网络功能强 (4 )强大的数据库支持功能 (5 )开放性好 Linux 系统 Linux 是一套可以免费使用和自由传播的类Unix 操作系统,主要用于基于Intel x86 系列CPU 的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix 兼容产品。 Linux 最早开始于一位名叫Linus Torvalds 的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。 目的是想设计一个代替Minix (是由一位名叫Andrew Tannebaum 的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386 、486 或奔腾处理器的个人计算机上,并且具有Unix 操作系统的全部功能。 Linux 是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。 它是在共用许可证GPL(General Public License) 保护下的自由软件,也有好几种版本,如Red Hat Linux 、Slackware ,以及国内的Xteam Linux 、红旗Linux 等等。Linux 的
mySHOP系统服务器安装手册
mySHOP Installation Manual mySHOP后台系统安装手册
目录 前言 (1) 手册内容简介 (1) 面对的读者 (1) 责任声明 (1) 第1章准备工作 (2) 1.1硬件与操作系统要求 (2) 1.2安装Microsoft SQL Server 2000 (2) 第2章mySHOP数据库的安装 (2) 2.1 mySHOP 数据库清单 (2) 2.2 mySHOP 数据库附加 (3) 第3章mySHOP客户端的安装 (9) 3.1 mySHOP 客户端清单 (9) 3.2 mySHOP 数据库用户密码、用户信息与连接文件中的密码的加密 (9) 第4章传单与作业配置 (14) 4.1 准备工作 (14) 4.2 更改传单服务器配置 (15) 4.1 更改传单客户端配置 (17) 4.2 更改作业程序配置 (20) ? 2008北京富基融通科技有限公司版权所有i
前言 手册内容简介 《mySHOP 后台系统安装手册》作为mySHOP产品的实施指南之一,具体阐述了mySHOP后台系统安装,提供一套myshop实施项目的标准的和可以遵循的mySHOP 后台系统安装指引。 本手册内容划分为: 第一章准备工作 第二章 mySHOP数据库的安装 第三章 mySHOP客户端的安装 第四章传单与作业的配置 面对的读者 mySHOP的实施项目人员、客户信息部人员。 责任声明 本文包含的信息代表富基融通公司目前对本文所涉及内容的观点,由于用户需求,市场和产品情况的不断变化,本文中的信息并不代表富基融通公司未来的观点,富基融通公司不能保证本文信息在未来时间的有效性。本文包含的内容,无论是明确陈述的内容或隐含的内容,都不能理解为富基融通公司的正式商业承诺。 本文包含敏感信息,须限制使用。扩散或复制本文须得到富基融通公司的书面认可,严禁以任何形式印刷或出版本文的全部或部分内容。 本文中提及的有关产品和名称为相应公司或机构的(注册)商标。 本文信息若有变动,恕不另行通知。 。 ? 2008北京富基融通科技有限公司版权所有第1页
Ecology 安装部署手册 Windows SQLServer V
Ecology8安装部署手册_Windows_SQLServer SUBMITTED BY WEAVER SOFTWARE
目录 1.服务器配置要求 (2) 2.系统安装和卸载 (2) 2.1. 安装前准备 (2) 2.2. 系统安装 (11) 2.3. 系统卸载 (18) 3.系统备份 (19) 3.1. 备份程序文件 (19) 3.2. 备份文档、图片文件 (19) 3.3. 备份数据库文件 (19) 4.系统升级 (27) 4.1. 停止RESIN服务 (27) 4.2. 备份程序文件夹 (27) 4.3. 备份数据库文件夹 (27) 4.4. 使用系统升级文件包 (27) 4.5. 启动resin服务 (27) 4.6. 升级失败后,系统恢复的方法 (28) 5.系统重装 (28) 5.1. 拷贝备份的程序、文档图片文件夹 (28) 5.2. 安装resin服务 (28) 5.3. 修改配置文件 (29) 6.安装后相关调整 (29) 6.1. JDK的更换 (29) 6.2. 调整内存 (30) 6.3. 调整端口 (30) 6.4. 安装文件出现乱码的处理 (31)
1.系统配置要求 --------------------------------------服务器-------------------------------------------------- (64位操作系统):Windows Server 2003/2008/2012、Linux、SUN Solaris、IBM AIX 数据库:SQL Server 2005/2008/2012、Oracle 9i/10g/11g 最低配置:Xeon双核CPU 2.2GHz以上8G内存500G硬盘 建议配置:Xeon四核CPU*2 3.1GHz以上16G内存1T硬盘 ---------------------------------------客户端------------------------------------------------- 操作系统:Windows XP/Vista/7/8/10 浏览器:IE8/9/10/11、Chrome、Firefox、Safari 注意:操作系统要保证为简体中文操作系统,在特殊情况下如果为非简体中文操作系统,也要安装上简体中文语言包。 2.系统安装和卸载 2.1.安装前准备 在安装ecology前,需要先安装好数据库。 2.1.1.安装SQLServer(必须使用SQLServer2005及以上版本) (1)SQL Server 2005的安装光盘共有2张,先打开第一张,点“服务器组件、工具、联机丛书和示例)”
华迈云快速安装手册
操作步骤: 1.进入华迈官网:点击右上角的软件下载选择相应的操作系统,下载完成后安 装该程序。 2.安装完毕后,打开该软件输入下面相关信息即可。 软件登录账号/用户名:bsskwl 密码:123456 设备序列号/SN:6B5C1 设备密码/KEY:41 华迈云摄像机快速安装配置指南 方式一:有线设备局域网接入设置步骤(ADSL+modem+有线路由器方式) 1、将摄像机与路由器、电脑进行连接(如图),并保证摄像机和电脑同在一个局域网内,电脑能够正常上网; 2、浏览器打开,进入软件下载页面(如图),点击【Windows PC客户端新版】进行下载并安装; 3、安装成功后直接打开客户端软件登陆,登录成功后客户端会自动搜索出该局域网中的摄像机;双击摄像机列表中的设备名称(未修改名称为ipcamera)即可实现局域网观看了; 4、要实现互联网观看,就需要做端口映射(端口映射分两种:自动UPNP和手动映射)。1)、自动UPNP: 摄像机默认的的映射方式为自动UPNP,所以需开启路由器UPNP功能。登录路由器管理界面,以TL-WR841N为例。在IE浏览器里输入路由器ip地址登录路由器管理界面。在选项转发规则—UPNP设置中开启UPNP。如图: 2)、手动映射: 如路由器UPNP功能无效或者没有UPNP功能时,可使用手动映射。
A、打开客户端,选中摄像机(没有修改名称默认名称是ipcamera)单击鼠标右键弹出 选项列表,选择【配置界面】即可进入摄像机的配置管理界面。如图:摄像机网页配置界面如下图所示: B、修改摄像机IP地址为静态IP,并设置服务器端口号。IP修改:【网络参数】—【网络配置】—【LAN口设置】;服务端口号修改:【网络参数】—【网络配置】—【端口设置】。注:网关需修改为当前局域网网关一致。如下图: IP地址修改后,把浏览器往下拖动就可以看见端口设置,修改服务器端口号,web端口号不用做修改,然后提交(提交后会提示重启摄像机,暂时不要重启摄像机)。 C、修改摄像机端口映射方式为手动映射,并重启摄像机。【网络参数】—【端口映射】。如图: 摄像机重启【系统管理】-【设备重启】(摄像机重启之后设备端口映射配置完成)。 D、登录路由器管理界面(网页输入路由器的IP地址,输入账号和密码【账号和密码在路由器的机身标签上可以找到】即可进入),在【转发规则】—【虚拟服务器】—添加摄像机的IP地址和服务端口。如图: E、进行端口映射检测,【网络参数】—【端口映射】—【点击进行检测】。如图: 注:如局域网内有多台摄像机时,使用手动映射方式。则映射服务端口不能重复。 5、创建用户绑定摄像机。登录,进入【登录界面】—【注册】创建用户绑定摄像机。如图:
LINUX操作系统配置规范
本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 LINUX操作系统配置规范 目录 1 概述 2 上架规范 2.1 配置iLo管理口 2.2 硬盘RAID配置 2.3 服务器安装导轨 2.4 服务器插线要求 3 系统安装 3.1 系统版本要求 3.2 分区要求 3.3 安装包要求 3.4 用户要求 3.5 时间同步要求 3.6 字符集 3.7 网卡绑定 3.8 配置snmp 3.9 连存储的服务器 3.10 多路径软件 3.11 udev配置(块设备管理、ASM组) 3.12 CVE漏洞软件包版本 4 补丁 4.1 系统补丁(仅供参考) 4.2 其他应用补丁(仅供参考) 5 主机名、账号和口令安全配置基线 5.1 主机命名规范 5.2 账号安全控制要求 5.3 口令策略配置要求 5.4 口令复杂度和密码锁定策略配置要求 5.5 口令重复次数限制配置要求 5.6 设置登录Banner 5.7 设置openssh登陆Banner 5.8 Pam的设置 5.9 root登录策略的配置要求 5.10 root的环境变量基线 6 网络与服务安全配置标准 6.1 最小化启动服务 6.2 最小化xinetd网络服务
7 文件与目录安全配置 7.1 临时目录权限配置标准 7.2 重要文件和目录权限配置标准 7.3 umask配置标准 7.4 core dump状态 7.5 ssh的安全设置 7.6 bash历史记录 7.7 其他注意事项 8 系统Banner的配置 9 防病毒软件安装 10 ITSM监控agent安装 11 内核参数优化 12 syslog日志的配置 13 重启服务器 附件:安全工具 1 概述 本规范适用于某运营商使用Linux操作系统的设备。本规范明确了Linux操作系统在安全配置方面 的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 由于版本不同,配置操作有所不同,本规范以Redhat 6.6为例,给出参考配置操作。 2 上架规范 2.1 配置iLo管理口 2.2硬盘RAID配置