117笔记问答在CentOS上设置邮件服务器时,确保其安全性至关重要。以下是一些关键的安全设置步骤和最佳实践:
1. 禁用root以外的超级用户
- 通过查看
/etc/passwd文件,检测并锁定不必要的超级账户。 - 删除不必要的账号和组,如
adm,lp,sync等。
2. 强化用户口令
- 设置复杂的口令,包含大写字母、小写字母、数字和特殊字符,并且长度大于10位。可以通过修改
/etc/login.defs文件来强制执行这些要求。 - 检查并强化空口令账户,使用以下命令检查空口令账户:
awk -F ":" '$2 =="" {print $1}' /etc/shadow - 使用
chattr命令给/etc/passwd,/etc/shadow,/etc/group, 和/etc/gshadow文件加上不可更改属性,以防止未授权访问。
3. 配置邮件服务器软件
- 安装必要的软件包:
sudo yum update -y sudo yum install postfix dovecot mysql-server dovecot-mysql -y
- 配置Postfix:
编辑
/etc/postfix/main.cf文件,设置主机名、域名、邮件服务器的IP地址、允许所有IP地址通过SMTP连接到本地、启用SASL认证、启用TLS加密等。myhostname = mail.example.com mydomain = example.com inet_interfaces = all inet_protocols = ipv4 home_mailbox = Maildir/ smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_cert_file = /etc/pki/tls/certs/localhost.crt smtpd_tls_key_file = /etc/pki/tls/private/localhost.key smtpd_use_tls = yes smtp_tls_security_level = encrypt
- 配置Dovecot:
编辑
/etc/dovecot/dovecot.conf文件,设置协议为imap,pop3,lmtp,禁用明文认证,设置邮件存储位置为maildir:。protocols = imap pop3 lmtp disable_plaintext_auth = no mail_location = maildir:~/Maildir
- 配置防火墙:
使用
firewalld或iptables配置防火墙规则,限制对服务器的访问,只允许必要的端口对外开放。sudo firewall-cmd --permanent --add-service=smtp sudo firewall-cmd --permanent --add-service=imap sudo firewall-cmd --permanent --add-service=pop3 sudo firewall-cmd --reload
4. 启用SSL/TLS加密
- 为SMTP、IMAP和POP3服务启用SSL/TLS加密,确保邮件在传输过程中的安全性。可以使用Let’s Encrypt生成SSL证书。
sudo yum install certbot -y sudo certbot certonly --standalone -d mail.example.com
- 编辑
/etc/postfix/main.cf文件,确保以下行存在并正确指向你的证书文件:smtpd_tls_cert_file = /etc/letsencrypt/live/mail.example.com/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.example.com/privkey.pem
5. 定期更新系统和软件包
- 定期更新操作系统和软件包,以修复已知漏洞和安全问题。
通过实施上述措施,可以显著提高CentOS邮件服务器的安全性,减少受到网络攻击的风险。