首页主机资讯CentOS安全清理步骤

CentOS安全清理步骤

时间2025-11-24 15:06:04发布访客分类主机资讯浏览925
导读:CentOS 安全清理与加固步骤 一 准备与基线 备份关键数据与配置:优先备份业务数据、数据库、/etc、/home、/var/lib、定时任务与证书等,确保可回滚。 变更窗口与回滚预案:选择低峰时段,记录变更命令与结果,保留快照或备份,...

CentOS 安全清理与加固步骤

一 准备与基线

  • 备份关键数据与配置:优先备份业务数据、数据库、/etc/home/var/lib、定时任务与证书等,确保可回滚。
  • 变更窗口与回滚预案:选择低峰时段,记录变更命令与结果,保留快照或备份,便于快速回滚。
  • 最小权限与账号基线:禁止共享账号;仅允许root拥有UID 0;按需将运维加入wheel组并限制su使用;核查**/etc/passwd**、/etc/group权限与内容。
  • 加固核心安全组件:保持SELinuxenforcing;配置firewalld仅放行必要端口与服务;SSH禁用root登录、启用密钥认证并限制可登录用户。

二 系统与软件清理

  • 更新系统与补丁:执行sudo yum update -y,修复已知漏洞后再进行清理与加固。
  • 移除无用软件包与依赖:执行sudo yum autoremove -y,减少攻击面与无用依赖。
  • 清理包管理器缓存与临时文件:执行sudo yum clean allsudo rm -rf /tmp/*,释放空间并降低残留风险。
  • 清理旧日志与限制日志增长:执行sudo journalctl --vacuum-time=2weeks保留近两周日志;必要时先journalctl --rotate再清理,避免日志截断影响排障。
  • 清理旧内核(仅保留最新或指定数量):执行package-cleanup --oldkernels --count=1,避免**/boot**分区被占满导致无法升级。

三 账号与服务最小化

  • 账号与权限治理:核查并删除无用账号/组(如uucp、nuucp、lpd、guest、printq等);仅保留rootUID 0;将运维加入wheel并在**/etc/pam.d/su启用pam_wheel.so use_uid以限制su**;核查**/etc/passwd/etc/group权限为644**。
  • 发现与停用无用服务:列出运行与开机自启服务(如systemctl list-units --type=service --state=runningsystemctl list-unit-files --type=service | grep enabled),对不需要的服务执行systemctl stop & & systemctl disable ;变更后使用**systemctl status **确认状态。
  • 防火墙最小放行:仅放行业务所需服务(如http/https),示例:sudo firewall-cmd --permanent --zone=public --add-service=http --add-service=https & & sudo firewall-cmd --reload;若不再需要某服务,同步在防火墙中移除放行规则。

四 日志审计与入侵防护

  • 集中查看与安全审计:实时查看**/var/log/messages**、/var/log/secure等;安装并启用auditd记录关键系统调用与登录审计(如sudo yum install audit -y & & sudo systemctl enable --now auditd)。
  • 自动化暴力破解防护:部署fail2ban保护SSH等常用服务(如sudo yum install fail2ban -y & & sudo systemctl enable --now fail2ban),降低暴力破解成功率。
  • 安全基线扫描与整改:定期使用LynisOpenSCAP进行系统审计与加固建议(如sudo yum install lynis -y & & sudo lynis audit systemsudo yum install openscap -y后按所选基线执行扫描与修复)。

五 验证与回滚

  • 功能与连通性验证:确认业务服务(如Nginx/数据库/应用)正常;验证SSH密钥登录、firewalld规则生效、关键端口仅按策略放行。
  • 安全状态复核:复核SELinuxenforcing;复核root远程登录禁用与wheelsu限制;复核无多余自启服务与无效账号。
  • 日志与告警检查:查看**/var/log/messages**、/var/log/securejournalctl是否有异常;确认fail2banauditd正常运行并产生审计日志。
  • 回滚与应急:如出现异常,优先从备份/快照恢复;无法快速恢复时,回滚最近变更(如重新启用服务、恢复firewalld规则、恢复sshd_configSELinux配置)。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: CentOS安全清理步骤
本文地址: https://pptw.com/jishu/754497.html
centos message怎么清除 怎样释放CentOS磁盘空间

游客 回复需填写必要信息