一个用于远程管理的安全linux系统的安装配置过程

lihuanqing

使用Trustix Secure Linux
1. 下载并安装Trustix Secure Linux（网上到处都有，一抓一大把）
安装内容可以在安装过程中定制（如果徒省事，选择everything），安装过程中输入grub密码（可以不输），root密码（一定记牢），创建一个普通用户，输入网卡ip、netnask、dns等
2. 安装完毕配置ssh（ssh安全性很好，可使用证书远程登录）
设置只开放ssh2，关闭密码认证，关闭root登录，这样如果别人想攻破你的网站必须做到
A. 他有你的安全证书
B. 他知道你的证书密码
C. 他要有你的root密码
而同时有这三样东西的可能微乎其微
Sshd_config的一个配置样例如下：
Port 22
Protocol 2
ListenAddress 0.0.0.0
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
PermitRootLogin no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PermitEmptyPasswords no
PermitUserEnvironment no
Subsystem sftp /usr/libexec/ssh/sftp-server
配置sshd_config之后，在/etc/rc3.d下运行
ln –s K??sshd S??sshd (??为数字，不同linux版本？？可能不同，总之为包括ssh的那个文件
从普通用户登录（你需要远程登录的帐户，没有的话用useradd命令加入）
运行ssh-keygen（该命令有许多参数可选）产生ssh2的key文件，这样在用户目录下生成 .ssh目录，进入这个目录运行
Cp id_rsa.pub authorized_keys (生成接受证书登录的认证文件，id_rsa.pub、id_rsa为ssh-keygen生成的默认文件，如果你改名了，要应用你改名的文件)
重新启动linux服务器，sshd服务功能就可以使用了
将id_rsa、id_rsa.pub文件copy到你远程控制电脑上，用securecrt等软件就可以远程控制该服务器了
3. 配置好ssh之后，服务器是可以远程控制了，但交换数据不方便啊，下一步我们安装ftp
使用vsftp（顾名思义very secure ftp）功能很强，很安全，为了进一步保证安全，我们设置服务器只能以虚拟帐户登录，而不是用linux帐户登录，这样即使别人知道了你的ftp帐户，也不能对你的系统产生危害
Vsftp可以使用xinetd或者独立daemon方式启动，以独立daemon方式为例，vsftpd.conf的一个配置样例如下：
anonymous_enable=NO
local_enable=YES
chroot_local_user=YES
#guest_enable=YES
#guest_username=virtual
listen=YES
listen_port=21
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/user_config
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30999
同样/etc/rc3.d下ln –s K??vsftpd S??vsftpd
虚拟帐户如何设置呢？
a. 虚拟帐户用pam控制，进入/etc/pam.d,编辑vsftpd,其中一个配置样例如下：
Auth required /lib/security/pam_userdb.so db=/etc/vsftpd
Account required /lib/security/pam_userdb.so db=/etc/vsftpd
b. 创建帐户密码文件，文本文件即可，比如ftp.txt内容如下：
User1
Pass1
User2
Pass2
…….
c. 运行db_load –T –t hash –f ftp.txt /etc/vsftpd.db
d. /etc/vsftpd/user_config下创建每个ftp虚拟帐户的配置权限，一个配置如下：
local_root=/ftp/download
write_enable=NO
anon_upload_enable=NO
anon_other_write_enable=NO
anon_mkdir_write_enable=NO
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual
该配置为该帐户之用/ftp/download目录下的下载权限，没有删除权限
注意由于该帐户模拟linux的virtual帐户，使用要确保该帐户存在
e. 重新启动服务器，用flashfxp等软件连接，应该正常成功
4. 其他配置以后有时间再说
5. 很重要一点，时刻关注软件漏洞，及时升级。比如上面我们安装的ssh、vsftp如果存在漏洞也会被攻破。