centos filesystem安全加固措施

1. 禁用不必要的文件系统
CentOS默认安装的某些文件系统（如CramFS、freevxfs、jffs2、hfs、hfsplus、squashfs、udf、FAT等）并非系统运行必需，且可能存在安全风险（如缺乏安全特性）。通过创建/etc/modprobe.d/CIS.conf文件，添加install < 文件系统名> /bin/true指令禁止加载对应内核模块；使用lsmod | grep < 文件系统名> 命令检测是否已禁用。

2. 配置安全的挂载选项
对/tmp、/var/tmp、/dev/shm等临时目录及可移动介质（如U盘）分区，设置nodev（禁止挂载特殊设备文件）、nosuid（忽略setuid/setgid权限）、noexec（禁止执行二进制文件）选项，防止恶意代码通过挂载点执行。编辑/etc/fstab文件，在对应挂载行添加nodev,nosuid,noexec选项，执行mount -o remount,< 选项> < 目录> 重新挂载并生效。

3. 使用chattr命令锁定关键文件/目录
通过chattr命令设置文件/目录的不可修改属性，防止未授权修改。例如：对/bin、/boot、/lib、/sbin等系统核心目录添加i属性（不可修改、重命名、删除）；对/var/log/messages等日志文件添加a属性（仅允许追加内容，禁止修改或删除）。执行chattr +i /bin、chattr +a /var/log/messages设置，用lsattr < 路径> 验证属性是否生效。

4. 强化文件/目录权限管理
合理设置文件/目录权限，减少未授权访问风险。使用chmod命令调整权限：例如将/etc/passwd设为644（所有者可读写，组和其他用户只读），/etc/shadow设为600（仅所有者可读写）；使用chown命令修正所有者：确保系统文件归root:root所有。对于敏感目录（如/root、/etc），限制为仅root用户可访问。

5. 配置SELinux增强安全
SELinux（安全增强型Linux）通过强制访问控制（MAC）限制进程权限，默认处于permissive模式（仅记录违规不阻止）。编辑/etc/selinux/config文件，将SELINUX=enforcing（启用强制模式）；使用restorecon -Rv /恢复默认SELinux上下文；通过semanage命令调整布尔值（如允许httpd访问网络：setsebool -P httpd_can_network_connect on），满足业务需求的同时强化安全。

6. 设置合理的umask值
umask决定了新建文件/目录的默认权限，降低未授权访问风险。编辑/etc/profile或~/.bashrc文件，将umask设置为027（新建文件权限为640，目录权限为750），限制组和其他用户的访问权限。执行source /etc/profile使设置生效。

7. 保护关键口令文件
对/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow等口令文件添加不可更改属性，防止被篡改。执行chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow设置，用lsattr < 文件路径> 验证。如需修改（如添加用户），可先使用chattr -i < 文件> 临时取消属性，修改完成后再恢复。

8. 定期更新系统及软件包
及时修补系统及软件包漏洞，减少被攻击的风险。使用yum update -y命令更新所有可更新的软件包；安装yum-cron工具（yum install -y yum-cron），配置自动更新（编辑/etc/yum/pluginconf.d/subscription-manager.conf，设置enabled=1），确保系统持续安全。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！