centos操作手册 centos7怎么切换到图形界面

云服务器测评

2025-1-10

linux相关教程

【史上最全】centOS/Linux系统安全加固方案手册

史上最全 CentOS/Linux系统安全加固指南

针对 CentOS 8.1版本，以下是一系列详细的系统安全强化措施，其他版本可参考执行：

1.账号和口令安全

1.1删除或锁定无用账号

执行：`userdel`删除不必要的账号，`passwd-l`锁定，`passwd-u`解锁。

1.2检查特殊账号

检查空口令和 root权限，通过 `awk`命令进行筛选并锁定异常账号。

1.3添加口令策略

修改 `/etc/login.defs`和 `/etc/pam.d`文件，设置复杂度限制和输错次数锁定。

1.4限制 su到 root

编辑 `/etc/pam.d/su`，限制特定用户对 root的权限。

1.5禁止 root直接登录

创建新用户并限制 root登录，修改 SSH配置。

1.6 SSH认证限制

限制 SSH登录尝试次数，修改 `/etc/ssh/sshd_config`。

2.服务安全

2.1关闭非必要服务

使用 `systemctl`或 `chkconfig`禁止开机启动。

2.2 SSH安全加固

修改 SSH配置，包括禁止 root登录、协议版本、错误次数和 IP访问。

2.3 selinux权限

禁用 selinux，设置核心转储限制。

2.4删除 rpcgen工具

检查并移除可能存在的 rpcgen工具。

2.5记录登录事件

启用审计规则，记录登录和登出信息。

3.文件系统与umask

3.1设置 umask

修改 `/etc/profile`，设置默认 umask为 027。

3.2登录超时

设置 `/etc/profile`中的 TMOUT为 180秒。

3.3配置 grub.cfg权限

限制/boot/efi/EFI/centos/grub.cfg的权限为 600。

4.日志管理

4.1 syslogd日志

启用默认日志并配置详细记录。

4.2记录用户操作日志

在 `/etc/profile`中编写脚本，记录用户操作到指定目录。

4.3安全组件日志

调整 SSH和日志服务设置，确保记录详细信息。

5.内核升级

定期执行内核升级，确保系统安全补丁。

CentOS下ext4、vfat文件系统创建、修改

（接上文： CentOS磁盘和分区简介）

1，磁盘分区之后并不能直接使用，需要在分区上创建文件系统并挂载；

2，查看系统能够支持的文件系统类型： cat/etc/filesystems

3，挂载

设备或文件系统，挂载的目标位置，称为挂载点（mount point）

挂载使用mount命令，设备、挂载点两者都需要指明

卸载使用umount命令，设备、挂载点两者只需要指明其一

Note：挂载完成后，挂载点下原有的文件就会被隐藏，无法访问，直到卸载。因此，通常使用空目录作为挂载点。

CentOS的文件系统创建工具 mkfs. fstype

其中，mkfs是Linux下各种文件系统创建工具（ mkfs. fstype）的前端入口，这些工具都以 mkfs.开头，后面是该工具管理的文件系统类型（fstype）。

实际上，ext系列文件系统真正常用的工具是 mke2fs，其语法及常用选项如下：

用法举例： mke2fs-t ext4-L'test'-b 4096-i 4096-m 8/dev/sdb1

因进程意外中止或系统崩溃等原因导致定稿操作非正常终止时，可能会造成文件损坏；此时，应该检测并修复文件系统，检测和修复建议离线（卸载磁盘或分区）进行；

举例： e2fsck-y/dev/sdb1

举例： fsck-t ext4-a/dev/sdb1#自动修复/dev/sdb1

3.1显示ext系列文件系统的属性信息： dumpe2fs

dumpe2fs [-options] device

-h：只显示设备上的超级块信息，否则还会显示块组信息

3.2显示或修改ext系列文件系统的Label信息： e2label

查看Label：e2label device

设定Label：e2label device LABEL

举例：

3.3查看（也能修改）ext系列文件系统数据信息： tune2fs

举例： tune2fs-l/dev/sdb1

注意：块大小创建后不可修改；

tune2fs命令及其常用选项：

如果我们希望一个存储设备（比如优盘）不需要重新创建文件系统，就能同时在Windows或Linux系统下使用，那么这时在优盘上创建vfat类型的文件系统就能满足需求。

fat和vfat：

fat和vfat基本一致，区别在于vfat支持长文件名，而fat不支持。

此外，Linux将fat/vfat/fat32文件系统都统一用vfat表示，

vfat文件系统是CentOS原生支持的，但是fat文件系统的管理工具mkfs.vfat，mkfs.fat却未必开始就安装，比如我最小安装的CentOS 7就没有。

因此，首先要解决两个问题，

1.1，安装哪个包可以提供需要的管理工具？

通过yum可知，当前版本提供mkfs.vfat工具的是dosfstools-3.0.20-10.el7.x86_64这个包。

1.2，安装dosfstools-3.0.20-10.el7.x86_64包

yum install dosfstools-y

mkfs.vfat命令的用法

mkfs.vfat [-options] device

其中一个比较重要的选项是-F FAT-size，在命令的man手册中是这样介绍的：

Specifies the type of file allocation tables used(12, 16 or 32 bit). If nothing is specified, mkfs.fat will automatically select between 12, 16 and 32 bit, whatever fits better for the filesystem size.

简单渣翻：该选项用于指定文件分配表的类型（12,16或32 bit，即fat12，fat16或fat32）。如果没有指定，mkfs.fat将根据文件系统的大小，在12、16或32 bit中自动选择更合适的。

也就是说，如果这里指定-F选项如-F 32，创建的文件系统就是fat32，如果不指定， mkfs.vfat工具将自动选择文件类型，创建的不一定是fat32的文件系统。所以为了保险起见还是指定该选项比较好。

Centos-root根目录扩容操作指导手册

Centos-root根目录扩容操作指导

在进行Centos-root根目录扩容之前，首先需要检查磁盘分区信息，通常使用命令`lsblk`进行查看。

在示例中，磁盘vda总空间为60G，其中centos-root根目录占用17G，vda1和vda2合计20G，剩余40G未使用。

接下来，将剩余的40G空间扩容至centos-root根目录。

步骤如下：

新建vda3分区

使用`fdisk/dev/vda`命令，执行新建分区命令`n`，选择`p`模式，输入`3`（默认即可），完成分区创建。需进一步修改分区ID为8e，通过`t`命令实现。

修改vda3分区ID

使用`fdisk/dev/vda`命令，选择`t`模式，输入`3`，将ID修改为8e，执行`w`保存更改。

设置vda3分区文件系统为ext4

使用`mkfs.ext4/dev/vda3`命令，完成ext4文件系统格式化。

创建物理卷PV

使用`pvcreate/dev/vda3`命令，创建物理卷。

查看物理卷PV是否创建成功

使用相关命令检查物理卷状态。

扩展卷组VG

使用`vgextend centos/dev/vda3`命令，将物理卷添加至卷组centos中。

调整LV大小

使用`Lvextend-L+39G/dev/mapper/centos-root`命令，将centos-root逻辑卷大小扩展至56G。

完成上述步骤后，Centos-root根目录的可用空间将从17G扩展至56G，有效增加系统存储容量。