centos分区安全设置
导读:CentOS分区安全设置关键措施 一、分区规划与格式化安全 合理的分区规划是基础,能有效隔离系统与用户数据,降低单分区故障的影响范围。建议划分以下分区: /boot分区:存放系统启动文件(如内核、引导程序),建议大小100MB(UEFI系...
CentOS分区安全设置关键措施
一、分区规划与格式化安全
合理的分区规划是基础,能有效隔离系统与用户数据,降低单分区故障的影响范围。建议划分以下分区:
- /boot分区:存放系统启动文件(如内核、引导程序),建议大小100MB(UEFI系统需创建单独的/boot/efi分区,格式化为FAT32);
- 根分区(/):系统核心目录(如/bin、/sbin、/etc),建议至少20GB(若安装大量软件或容器,可适当扩大);
- /home分区:用户个人数据,建议分配剩余空间的30%-50%(便于用户数据管理与备份);
- swap分区:虚拟内存,建议大小为物理内存的1-2倍(内存≥8GB时可减小至2GB);
- /var分区:存放日志、数据库动态数据(如MySQL的ibdata文件),建议10GB起(高负载服务器需单独分配,防止日志占满根分区)。
格式化时选择稳定的文件系统:常规场景用ext4(稳定性优先),大文件处理(如视频存储)用XFS(高性能),特殊需求(如透明压缩)用Btrfs(需注意兼容性)。分区前务必通过tar
或rsync
备份重要数据,避免操作失误导致丢失。
二、加密与访问控制
- 分区加密:使用LUKS(Linux Unified Key Setup)工具加密敏感分区(如/home、/var),防止数据被物理窃取或未经授权访问。操作步骤:
- 安装cryptsetup:
sudo yum install cryptsetup
; - 加密分区:
sudo cryptsetup luksFormat /dev/sdX1
(确认覆盖提示); - 打开加密分区:
sudo cryptsetup luksOpen /dev/sdX1 encrypted_home
; - 格式化并挂载:
sudo mkfs.ext4 /dev/mapper/encrypted_home
,sudo mount /dev/mapper/encrypted_home /mnt/encrypted_home
; - 开机自动挂载:编辑
/etc/fstab
,添加/dev/mapper/encrypted_home /mnt/encrypted_home ext4 defaults 0 0
(需同时将密钥文件存放在安全位置,如加密U盘)。
- 安装cryptsetup:
- 权限管理:
- 用
chmod
设置目录/文件权限:系统关键目录(如/bin、/boot、/lib)设为755
(所有者可读写执行,其他用户只读执行),用户个人目录设为750
(防止其他用户访问); - 用
chown
明确归属:将用户目录的所有者设为用户自身(如sudo chown user1:user1 /home/user1
); - 用
chattr
锁定重要文件:对/bin、/boot等目录添加i
属性(不可修改、删除、重命名),对/var/log/messages等日志文件添加a
属性(仅能追加内容,防止篡改)。
- 用
三、SELinux与防火墙强化
- SELinux配置:SELinux提供强制访问控制(MAC),增强系统安全性。操作:
- 检查状态:
sestatus
(若为disabled
,需编辑/etc/selinux/config
,将SELINUX=disabled
改为enforcing
,重启生效); - 调整策略:用
setenforce 1
临时启用(0为禁用),用semanage
命令修改具体目录的SELinux上下文(如将/home目录设为user_home_t
)。
- 检查状态:
- 防火墙设置:使用
firewalld
(推荐)或iptables
配置规则,限制网络访问:- 开放必要端口(如SSH的22端口、HTTP的80端口):
sudo firewall-cmd --permanent --add-port=22/tcp
,sudo firewall-cmd --reload
; - 关闭不必要的服务端口(如FTP的21端口、Telnet的23端口);
- 限制访问源:
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'
(仅允许内网IP访问SSH)。
- 开放必要端口(如SSH的22端口、HTTP的80端口):
四、系统与服务安全加固
- 最小化安装:安装CentOS时选择“Minimal Install”(最小化安装),仅安装必要的软件包(如ssh、vim、wget),减少潜在的安全漏洞(如不必要的服务带来的攻击面)。
- 禁用root远程登录:编辑
/etc/ssh/sshd_config
,将PermitRootLogin yes
改为PermitRootLogin no
,禁止root用户直接通过SSH登录(需用普通用户登录后,再用su -
切换到root)。 - 修改SSH端口:将SSH默认端口22改为其他端口(如2222),降低被自动扫描工具发现的概率。编辑
/etc/ssh/sshd_config
,修改Port 22
为Port 2222
,重启SSH服务:sudo systemctl restart sshd
。 - 禁用不必要的服务:用
systemctl list-unit-files --type=service
查看所有服务,禁用不需要的服务(如FTP的vsftpd、邮件的postfix):sudo systemctl disable vsftpd
,sudo systemctl stop vsftpd
。
五、备份与监控策略
- 定期备份:
- 全量备份:用
tar
命令备份系统文件(排除临时目录):sudo tar czvf /backup/system_backup_$(date +%Y%m%d).tar.gz --exclude=/dev/* --exclude=/proc/* --exclude=/sys/* --exclude=/tmp/* /
; - 增量备份:用
rsync
同步用户数据到备份服务器:rsync -avz --delete /home/ user@backup_server:/backup/home/
; - 专用备份软件:如Veeam Agent(免费版)、Acronis Cyber Protect(企业级),支持增量备份、异地备份。
- 全量备份:用
- 监控与审计:
- 日志监控:用
journalctl
查看系统日志(如journalctl -xe
查看最近错误),用tail -f /var/log/messages
实时监控日志; - 磁盘监控:用
df -h
查看磁盘空间使用情况(避免根分区满导致系统崩溃),用du -sh /home/*
查看用户目录占用空间; - 审计守护进程:开启
auditd
(sudo systemctl enable auditd
),配置审计规则(如监控/etc/passwd文件的修改:-w /etc/passwd -p wa -k passwd_changes
),定期检查审计日志(ausearch -k passwd_changes
)。
- 日志监控:用
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: centos分区安全设置
本文地址: https://pptw.com/jishu/721089.html