写下这些计划后,进入建造步骤,从你在计划步骤中设定的安全目标的应用程序开始,由于空间限制,下面的章节不会给样例安装列出一个详细的检查列表,我仅将与安全有关的选项做了记号,在第一步中,在安装日志中写下你在安装过程中的选项,在重新安装系统时就可以派上用场了。
Fedora Core 7
从一个Fedora 7 ISO文件(可以在发行镜像站点找到)启动到一个干净的系统,在确定你的键盘和语言设置好后,来到磁盘分区部分,对于大多数桌面发行版,安装程序直接就把分区配置好了,但是,如果这个系统是供某些工作敏感的人准备的,请将/home文件夹放在一个独立的分区上。
分区完成后进入启动管理器选项,选择GRUB并为其设置一个密码,给启动管理器设置一个密码是最佳实践,它可以帮助你在磁盘或系统被盗的情况保护你的数据不会丢失。一个好的密码应该比较复杂,避免使用字典中的单词、纯数字、纯字母和非字母数字混合的符号。
下一个屏幕,选择DHCP,因为客户端机器通常不需要静态的ip地址,如果你需要使用静态ip地址,在你网络的某个地方务必使用网络地址转换(NAT),接下来,设置一个主机名和域,并为root用户设置一个复杂的密码,在软件包选择屏幕,如果选择自定义安装,请仔细检查你选择的软件包,在自定义选择屏幕,只选择一个桌面环境[译者注:GNOME/KDE等],多安装一个桌面环境就多一分危险,保留默认的选择GNOME,检查其他每一个选项,你会发现有许多软件包将被安装(图1),在我的安装中有843个软件包,你的数字可能不同,排除你不需要的软件包,每个包前面都一个可选框,当你选择完软件包后,系统将重新启动。
图1 在Fedora 7下选择要安装的软件包 |
在重新启动后,提示你启用防火墙,请启用它,然后添加你在这个系统上需要用到的端口/程序(图2),在SELinux设置屏幕,如果你要启用它,请将策略设置为强制模式(图3),给不熟悉SELinux的人解释一下,它是一个基于策略的保护架够,开始是由美国国家安全局(NSA)开发,它在操作系统以及大多数流行的应用程序如Apache上增加了一层安全保障,使用SELinux一个不好的方面是它可能引起受保护的程序(也有可能是其他程序)崩溃,如果你遇到问题,你可以通过setenforce命令或用文本编辑器来修改策略,然后会提示你创建一个用户帐号,在经过几个其他选择后,来到第一次登陆屏幕。
图2 Fedora防火墙配置 |
图3 SELinux显著地增强了你系统的安全 |