首页主机资讯centos分区安全设置

centos分区安全设置

时间2025-10-09 09:44:04发布访客分类主机资讯浏览788
导读:CentOS分区安全设置关键措施 一、分区规划与格式化安全 合理的分区规划是基础,能有效隔离系统与用户数据,降低单分区故障的影响范围。建议划分以下分区: /boot分区:存放系统启动文件(如内核、引导程序),建议大小100MB(UEFI系...

CentOS分区安全设置关键措施

一、分区规划与格式化安全

合理的分区规划是基础,能有效隔离系统与用户数据,降低单分区故障的影响范围。建议划分以下分区:

  • /boot分区:存放系统启动文件(如内核、引导程序),建议大小100MB(UEFI系统需创建单独的/boot/efi分区,格式化为FAT32);
  • 根分区(/):系统核心目录(如/bin、/sbin、/etc),建议至少20GB(若安装大量软件或容器,可适当扩大);
  • /home分区:用户个人数据,建议分配剩余空间的30%-50%(便于用户数据管理与备份);
  • swap分区:虚拟内存,建议大小为物理内存的1-2倍(内存≥8GB时可减小至2GB);
  • /var分区:存放日志、数据库动态数据(如MySQL的ibdata文件),建议10GB起(高负载服务器需单独分配,防止日志占满根分区)。
    格式化时选择稳定的文件系统:常规场景用ext4(稳定性优先),大文件处理(如视频存储)用XFS(高性能),特殊需求(如透明压缩)用Btrfs(需注意兼容性)。分区前务必通过tarrsync备份重要数据,避免操作失误导致丢失。

二、加密与访问控制

  1. 分区加密:使用LUKS(Linux Unified Key Setup)工具加密敏感分区(如/home、/var),防止数据被物理窃取或未经授权访问。操作步骤:
    • 安装cryptsetup:sudo yum install cryptsetup
    • 加密分区:sudo cryptsetup luksFormat /dev/sdX1(确认覆盖提示);
    • 打开加密分区:sudo cryptsetup luksOpen /dev/sdX1 encrypted_home
    • 格式化并挂载:sudo mkfs.ext4 /dev/mapper/encrypted_homesudo mount /dev/mapper/encrypted_home /mnt/encrypted_home
    • 开机自动挂载:编辑/etc/fstab,添加/dev/mapper/encrypted_home /mnt/encrypted_home ext4 defaults 0 0(需同时将密钥文件存放在安全位置,如加密U盘)。
  2. 权限管理
    • chmod设置目录/文件权限:系统关键目录(如/bin、/boot、/lib)设为755(所有者可读写执行,其他用户只读执行),用户个人目录设为750(防止其他用户访问);
    • chown明确归属:将用户目录的所有者设为用户自身(如sudo chown user1:user1 /home/user1);
    • chattr锁定重要文件:对/bin、/boot等目录添加i属性(不可修改、删除、重命名),对/var/log/messages等日志文件添加a属性(仅能追加内容,防止篡改)。

三、SELinux与防火墙强化

  1. SELinux配置:SELinux提供强制访问控制(MAC),增强系统安全性。操作:
    • 检查状态:sestatus(若为disabled,需编辑/etc/selinux/config,将SELINUX=disabled改为enforcing,重启生效);
    • 调整策略:用setenforce 1临时启用(0为禁用),用semanage命令修改具体目录的SELinux上下文(如将/home目录设为user_home_t)。
  2. 防火墙设置:使用firewalld(推荐)或iptables配置规则,限制网络访问:
    • 开放必要端口(如SSH的22端口、HTTP的80端口):sudo firewall-cmd --permanent --add-port=22/tcpsudo firewall-cmd --reload
    • 关闭不必要的服务端口(如FTP的21端口、Telnet的23端口);
    • 限制访问源:sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'(仅允许内网IP访问SSH)。

四、系统与服务安全加固

  1. 最小化安装:安装CentOS时选择“Minimal Install”(最小化安装),仅安装必要的软件包(如ssh、vim、wget),减少潜在的安全漏洞(如不必要的服务带来的攻击面)。
  2. 禁用root远程登录:编辑/etc/ssh/sshd_config,将PermitRootLogin yes改为PermitRootLogin no,禁止root用户直接通过SSH登录(需用普通用户登录后,再用su -切换到root)。
  3. 修改SSH端口:将SSH默认端口22改为其他端口(如2222),降低被自动扫描工具发现的概率。编辑/etc/ssh/sshd_config,修改Port 22Port 2222,重启SSH服务:sudo systemctl restart sshd
  4. 禁用不必要的服务:用systemctl list-unit-files --type=service查看所有服务,禁用不需要的服务(如FTP的vsftpd、邮件的postfix):sudo systemctl disable vsftpdsudo systemctl stop vsftpd

五、备份与监控策略

  1. 定期备份
    • 全量备份:用tar命令备份系统文件(排除临时目录):sudo tar czvf /backup/system_backup_$(date +%Y%m%d).tar.gz --exclude=/dev/* --exclude=/proc/* --exclude=/sys/* --exclude=/tmp/* /
    • 增量备份:用rsync同步用户数据到备份服务器:rsync -avz --delete /home/ user@backup_server:/backup/home/
    • 专用备份软件:如Veeam Agent(免费版)、Acronis Cyber Protect(企业级),支持增量备份、异地备份。
  2. 监控与审计
    • 日志监控:用journalctl查看系统日志(如journalctl -xe查看最近错误),用tail -f /var/log/messages实时监控日志;
    • 磁盘监控:用df -h查看磁盘空间使用情况(避免根分区满导致系统崩溃),用du -sh /home/*查看用户目录占用空间;
    • 审计守护进程:开启auditdsudo systemctl enable auditd),配置审计规则(如监控/etc/passwd文件的修改:-w /etc/passwd -p wa -k passwd_changes),定期检查审计日志(ausearch -k passwd_changes)。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: centos分区安全设置
本文地址: https://pptw.com/jishu/721089.html
centos分区性能测试 centos分卷有什么用处

游客 回复需填写必要信息