如何通过centos清理提升安全性
导读:CentOS 清理与加固清单 一 基线加固 更新系统并清理无用依赖:执行 sudo yum update -y,随后 sudo yum autoremove -y 移除不再需要的包,降低攻击面。完成后清理包管理器缓存 sudo yum c...
CentOS 清理与加固清单
一 基线加固
- 更新系统并清理无用依赖:执行 sudo yum update -y,随后 sudo yum autoremove -y 移除不再需要的包,降低攻击面。完成后清理包管理器缓存 sudo yum clean all。
- 精简自启与运行服务:列出并审视 systemctl list-units --type=service --state=running,对与业务无关的条目执行 systemctl stop & & systemctl disable ;卸载对应软件包(如 yum remove )以避免“幽灵依赖”复活。
- 清理临时文件与旧日志:清理 /tmp/*、/var/tmp/;对 systemd 日志执行 journalctl --vacuum-time=2weeks 保留近两周,避免日志膨胀与信息泄露。
- 账户与登录安全:核查 /etc/passwd 删除或锁定不必要的系统/共享账号;SSH 建议禁止 root 远程登录、改用普通用户 sudo 提权,并修改默认端口;如需更强防护,可清空 /etc/issue、/etc/issue.net 的版本信息展示。
- 防火墙最小暴露:启用 firewalld,仅放行业务所需端口(如 22/80/443),变更使用 –permanent 并 –reload 生效;可按需仅允许特定 source IP/网段 访问关键端口。
- 安全基线扫描:安装并运行 Lynis(sudo yum install lynis -y;sudo lynis audit system),按建议逐项整改。
二 深度清理
- 包与仓库治理:清理 YUM 缓存(yum clean all);禁用不再使用的第三方仓库(如 yum-config-manager --disable ),再执行 yum autoremove 回收无用依赖。
- 旧内核清理:使用 package-cleanup 仅保留最近 2–3 个内核,减少启动项与潜在攻击面;清理前确认当前运行内核不在删除列表中。
- 日志与目录瘦身:对应用日志目录(如 /var/log/httpd/)按保留策略清理;对 /var/cache/yum 等缓存目录执行清理;必要时用 ncdu 定位异常大文件或目录。
- 临时文件与已删文件句柄:清理 /tmp 与 /var/tmp;对“已删除但仍被占用”的文件句柄,排查并重启相关进程,避免 inode 耗尽与磁盘假满。
三 加固配置示例
- 防火墙放行示例(firewalld):
- 放行 80/TCP:firewall-cmd --zone=public --add-port=80/tcp --permanent & & firewall-cmd --reload
- 放行端口段 10000–10010/TCP:firewall-cmd --zone=public --add-port=10000-10010/tcp --permanent & & firewall-cmd --reload
- 仅允许 192.168.1.0/24 访问 22/TCP:firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“22” protocol=“tcp” accept’ & & firewall-cmd --reload
- SSH 安全建议:禁止 root 远程登录(修改 /etc/ssh/sshd_config:PermitRootLogin no),更改默认端口(Port < new_port> ),仅允许 sudo 用户登录;变更后重启 sshd 并先在本地/带外验证。
- 服务最小化:如无邮件需求,停止并移除 Postfix(systemctl disable --now postfix;yum remove postfix);如无 mDNS/自动发现 需求,停止并禁用 Avahi;如网络已由 NetworkManager 管理,避免与 legacy network 服务并存引发路由/网卡异常。
四 维护与验证
- 持续更新与核查:定期 yum update -y;复核自启服务 systemctl list-unit-files --type=service | grep enabled 与开放端口 firewall-cmd --zone=public --list-ports,确保仅保留必要项。
- 日志与审计:保持 journald 轮转(–vacuum-time)、应用日志按策略切割;结合 Lynis 定期审计,关注新增风险项。
- 备份与回滚:清理与加固前先备份关键数据与配置(如 /etc、业务数据、数据库),变更采用“灰度/维护窗口+回滚预案”,避免业务中断。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何通过centos清理提升安全性
本文地址: https://pptw.com/jishu/761452.html