怎样部署Linux?

2023-01-08科技174

  我详细讨论每个步骤时,我将部署两个样例系统(一个Fedora桌面系统和一个Debian服务器系统)来展示安全是如何实施的,我选择 Fedora是因为它是现在最流行的发行版,它可以为任何目标工作得很好,它有许多桌面增强特色,并且是用户推荐的无命令行的最容易使用的Linux发行版,我选择Debian作为我们的服务器平台是因为它是轻量级的、有非常悠久的历史而且很稳定、有一个强大的支持社区和大量的文档。

  这两个都是非常优秀的平台并且都有它们自己的内置安全标准。如果你喜欢其它的发行版,这里指出的步骤可以应用到任何的系统。

第一步:计划

第一步也是最重要的一步,因为你在这里做出的决策将影响到全盘的安全,第一步定义系统将部署成什么样的目标,它将是一个小的邮件服务器吗?或者是一个桌面系统吗?又或是一个入侵检测系统?一旦你有一个目标后,你就可以用它来指导整个过程,然后将精力集中在如何尽可能地提供更安全的环境上,安全永远都不应该妨碍功能的完整,毕竟部署一个无人能用的系统有什么用呢?!

接着,你需要为你的系统决定一个安全目标,主要目标应建立在最小访问或最小权限原则之上,这就意味着仅仅为用户和程序提供系统操作必要的最小权限,你应该还有其他安全目标,如用杀毒软件扫描每个文件或用LDAP对每个用户进行认证,但是最小权限应是不变的原则。

实现这些目标,在你动手前,你应该思考如何实现它们,回答一些简单的问题将有助于你在步骤2和4里作出正确的决策。系统将作为一个服务器还是一个桌面系统?这个问题决定了你新系统上的大部分配置;用户将在本地访问还是远程访问这个系统?这是另外一个重要的与安全有关的配置问题;系统需要一个桌面环境吗?

如果你对命令行非常熟悉,将系统部署成无头的或者说无GUI接口的,将X window系统从你的安装中删除,你将很意外地减少系统的攻击面(你暴露在外的区域),另一方面,如果你或你的同事需要一个GUI,只安装一个GUI并弄清楚如何将系统正确地锁定,安装服务器时不安装X,安装桌面系统时才安装X是一个值得竖大拇指的方法。

最后,计划应用程序将会在系统上做什么,判断它依赖什么库以及比不可少的操作,常见的有:系统运行一个远程命令后不必须的库也被使用了,掩饰住了入侵者的姿态或探测网络,如果你不需要某个包请不要安装它。

当你弄清楚了这些问题和答案后,写到你的安装日志或笔记簿并保持更新。

步骤二:安装

写下这些计划后,进入建造步骤,从你在计划步骤中设定的安全目标的应用程序开始,由于空间限制,下面的章节不会给样例安装列出一个详细的检查列表,我仅将与安全有关的选项做了记号,在第一步中,在安装日志中写下你在安装过程中的选项,在重新安装系统时就可以派上用场了。

Fedora Core 7

从一个Fedora 7 ISO文件(可以在发行镜像站点找到)启动到一个干净的系统,在确定你的键盘和语言设置好后,来到磁盘分区部分,对于大多数桌面发行版,安装程序直接就把分区配置好了,但是,如果这个系统是供某些工作敏感的人准备的,请将/home文件夹放在一个独立的分区上。

分区完成后进入启动管理器选项,选择GRUB并为其设置一个密码,给启动管理器设置一个密码是最佳实践,它可以帮助你在磁盘或系统被盗的情况保护你的数据不会丢失。一个好的密码应该比较复杂,避免使用字典中的单词、纯数字、纯字母和非字母数字混合的符号。

下一个屏幕,选择DHCP,因为客户端机器通常不需要静态的ip地址,如果你需要使用静态ip地址,在你网络的某个地方务必使用网络地址转换(NAT),接下来,设置一个主机名和域,并为root用户设置一个复杂的密码,在软件包选择屏幕,如果选择自定义安装,请仔细检查你选择的软件包,在自定义选择屏幕,只选择一个桌面环境[译者注:GNOME/KDE等],多安装一个桌面环境就多一分危险,保留默认的选择GNOME,检查其他每一个选项,你会发现有许多软件包将被安装(图1),在我的安装中有843个软件包,你的数字可能不同,排除你不需要的软件包,每个包前面都一个可选框,当你选择完软件包后,系统将重新启动。

相关文章

疫情过后,还建议出国留学吗?

最近有几句话使我深思:疫情期间你怎么过,你的剩下的人生就将怎么过! 读了好几遍这句话,心里真的不敢认同更多了!同时也在警醒着自己:不要在日复一日平凡的日子里忘记了自己的使命,自己的初心。每天心里不能忘记了自己的大目标(人生理想),自己的中目标(今年新年立下的各种flags),短期目标,这个月要做的事...

想开一家小店,餐饮方面的,有什么好的建议?

二他爸来回答! 题主想干一个餐饮行业的小店! 这个想法挺好的。 因为给谁干,不如给自已干!打工挣五千块,不如给自已干,挣三千块! 因为干好了,经过努力是有发展空间的,而且不用看老板的脸子哈! 既然是小店,希望你早点也卖! 因为现在都快捷奏的工作和生活。早点是一个大市场,堂吃外卖兼顾,应该没有问题的,...

最近看快穿文看上瘾了,推荐你们认为排在前三的是哪几本,为什么?

分享几本女频快穿给你 1:《快穿之我只想种田》 这本书挺神奇的,女主角超超帅,帅炸天的女主脚把男主都压得暗无天日了,到处撩妹的女猪脚我也是服了。 2:《女战神的黑包群》 女战神这本特别好看,在我心中应该是排第1位的。女武神武力超强,能够动手的绝不动嘴,碾压一切看得可爽了。 3:《快穿之女配功德无量》...

博鳌论坛提到ofo小黄车创始人戴威提到押金并没有使用,那摩拜299的押金在干嘛?

摩拜目前是一辆车锁定8个用户,相当于投放一辆车,获得2400元(300*8)的存款。 如果摩拜投放的车辆像中国农业银行或者是邮政储蓄银行,遍布中国各地,在全国有超过2.4万家分支机构,那摩拜单车运营商手上的押金将以亿为单位。我们幻想下,有5000万辆单车投放在城市们,每辆车锁定8个用户,每人约300...

想在淘宝上开个小店,怎么开?

谢邀,我是变革家小梅。一、开店条件:在淘宝开店只要满十八周岁即可,符合这个条件以后,其他的都是马上可以办法。二、开店准备:办理开店需要的银行卡,有了身份证以后就可以去办理银行卡。需要的东西有:手机、银行卡、身份证。这些都不多说了,手机:可以接受接收验证提醒短信。相机:像素高可以进行细节拍摄。银行:需...

快播王欣的新产品马桶MT刚上线,在微信上就被封杀,你怎么看?

这个事情,微信确实不够厚道。 之前微信是封杀抖音、子弹短信,现在是王欣的新产品,这些产品都定位于社交,都是微信的竞争性产品。腾讯和微信方面的说辞通常都是“这样的外部链接不安全”,但实际上,其他一些不安全的链接——比如一些明显涉及虚假宣传的微商都可以在朋友圈大行其道,而抖音这类已经被证明是安全的内容却...

怎样做好互联网行业?

互联网行业的范围很广,不知提问者想具体从事互联网的那一个领域? 互联网由最初发展的简单查询到如今的各种行业的覆盖,从最早的淘宝购物平台到今日的商业帝国经一直是不断在改变。经营方式从最早的单一购买服务到现在的多元化服务与个性化服务一直在不断的完善服务体系。 废话不多说,如提问者所问:现在时期的互联网行...

全民英雄情侣捣蛋团长什么技能?

1 情侣捣蛋团长属性: 星级:5星 英雄属性:敌(非力量、智力和敏捷英雄) 技能:(技能等级默认333) 1.拆散攻势:攻击敌方全体目标,造成135%的伤害,并造成眩晕,持续3秒,有几率集火。 2.荆棘重重:攻击敌方前排目标,造成150%威力伤害,并造成敌方移动速度降低10%,持续4秒 3.调戏:攻...

现在的战争中,发展火箭弹有没有优势?

现代战争中火箭炮(弹)作为大面积覆盖武器装备仍然是有效的!图片上我军81式四十管122毫米火箭炮营正在进行火力覆盖,一个营12辆火箭发射车、一辆40个发射器,12×40一个简单的算数题,480枚火箭弹可以发射到25公里外,覆盖十几万平方米的区域,在这个区域内的任何地表目标都会被摧毁!这就是火箭炮(弹...

姚安娜到底做错了什么?

她的问题和王朴珺是一样一样的,明明享用了父(夫)权,却还要极力撇清树立独立女性形象。明明资源起点很高,她们的起点已经是大多数人不可企及的终点目标,却还要极力强调自己很努力。 这是一种不自信的表现,不去追求内心自爱却去盲目寻求别人认可。这是一种价值观不正的表现,不去追求对社会的自我价值体现,却寻求自我...

曾经塞班系统为何中国不能买来加以改进,或许也能做到和苹果一样?

在中国很多企业都开始研究系统了,无论是电脑系统还是手机系统,以及未来服务很多终端的系统,这都是中国的自主化研发力量的体现,首先我们不说技术的方面的问题,就说可以引进来进行改进,那么以后做好了也会落下话柄; 中国企业之所以要做系统的目的第一方面不受制于人,做属于自己的科技系统,也不至于需要企业通过大量...

苹果手机贵在哪里?

简单阐述下我认为有两大块 一.看得见的 包含 牛*硬件、较贵用料、顶级的工业设计、稳定顺畅的ios系统、顶级品牌等 首先,1.苹果A系列的cpu一直是行业标杆,从未被超越(不服跑个分)。芯片根据自家ios系统定制化设计。搭配使用自然是双剑合璧,所向睥睨,这也是为什么苹果手机一代产品可以用几代的原因。...