# 一. 概述
# 1 适用范围
本配置规范适用于CentOS操作系统,主要涉及CentOS操作系统安全配置方面的基本要求,用于指导安全例行工作、新系统入网安全检查等场合。
# 2 规范依据
根据CentOS操作系统的安全现状,综合参考各信息系统运维部门意见,结合监管部门要求和等级保护规范,制定适合于基线配置规范。 主要参考依据如下:
- 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861)
- 《信息系统安全等级保护基本要求》( GB/T 22239-2008 )
- 《信息安全等级保护管理办法》(公通字[2007]43号)
# 二. 操作系统标准化说明
# 1 操作系统版本
- 无特殊需求,默认使用CentOS-7.8版本操作系统; 虚拟化(KVM),负载均衡(LVS),容器化(docker),分布式存储(ceph),大数据集群(hbase,yarn)等依托于内核功能的业务使用CentOS-8.2;
- 公有云服务器根据其提供操作系统版本,根据1,2条要求的进行近似操作系统版本的安装.
# 2 分区及路径挂载
- 默认使用cobbler自动化进行安装,即:/boot、 /swap、 /var、 /(根)、 /ser分区,根分区默认35GB或以上大小,/ser分区为数据分区;
- 除系统外本机raid分区挂载方式以/ser/rdisk1 、/ser/rdisk2进行目录创建挂载;
- 除系统外本机非raid分区挂载方式以/ser/disk1 、/ser/disk2进行目录创建挂载;
- 网盘以/ser/ndisk1、/ser/ndisk2进行目录创建挂载;
- (其中以网盘采购先后顺序进行叠加,如:185.8网盘为/ser/ndisk1 – 2 ;185.56网盘为/ser/ndisk3 – 4;
# 3 开发账户说明
- 一个开发使用一个账户,使用密钥登录,对/ser分区只读;
- 服务器默认使用独立账户登录,通过su - developer账户进行切换;
- developer账户所有服务器统一UID,GID为4321,同时也是网盘默认属组主;
# 4 域名服务器和时间服务器
# 4.1 域名服务器
- 阿里云域名服务器:任意阿里云域名服务器
# 4.2 时间服务器
- 所有服务器均需配置时间服务器,物理服务器每天一同步,虚拟服务器每小时一同步
- 设置一个时间服务器用于时间同步
- 阿里云:任一阿里云时间服务器