首页主机资讯CentOS文件系统安全如何保障

CentOS文件系统安全如何保障

时间2025-12-04 00:30:04发布访客分类主机资讯浏览1122
导读:CentOS 文件系统安全保障清单 一 权限与所有权基线 坚持最小权限原则:仅授予完成任务所需的最低权限,定期审计关键目录与敏感文件的权限与属主。 使用chmod/chown/chgrp设置权限与所有权,必要时用**ACL(setfacl...

CentOS 文件系统安全保障清单

一 权限与所有权基线

  • 坚持最小权限原则:仅授予完成任务所需的最低权限,定期审计关键目录与敏感文件的权限与属主。
  • 使用chmod/chown/chgrp设置权限与所有权,必要时用**ACL(setfacl/getfacl)**实现细粒度授权,例如:
    • 为用户 devuser1 授予项目目录读写执行:setfacl -m u:devuser1:rwx /var/www/html/projectX
    • 为组 devgroup2 授予只读执行:setfacl -m g:devgroup2:r-x /var/www/html/projectX
  • 统一umask:在登录环境(如 /etc/profile 或 /etc/bashrc)设置 umask 027,使新建文件默认权限为 640、目录为 750,降低“其他用户”访问面。
  • 保护关键口令与账户文件:对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可变属性(chattr +i),防止被非授权修改;同时清理不必要的系统账户与组,避免共享或默认账户被滥用。

二 挂载选项与分区策略

  • 对高风险临时目录与可移动介质分区启用挂载选项:nodev(禁止设备文件)/nosuid(禁止 setuid)/noexec(禁止执行)。典型目录包括 /tmp、/var/tmp、/dev/shm 及 U 盘等可移动介质。
    • 配置方式:在 /etc/fstab 对应条目追加选项,例如:
      • /tmp ext4 defaults,nodev,nosuid,noexec 0 0
    • 使配置生效:mount -o remount,nodev,nosuid,noexec /tmp
    • 验证:mount | grep /tmp
  • 精简内核加载的不必要文件系统模块(降低攻击面),如 cramfs、freevxfs、jffs2、hfs/hfsplus、squashfs、udf、FAT 等,可通过 /etc/modprobe.d/deny-fs.conf 的 blacklist 策略实现。
  • 对含敏感数据的分区或目录,结合业务可用性选择LUKS 整盘/分区加密EncFS 目录级加密,并在停机窗口实施与演练恢复流程。

三 加密与密钥管理

  • 分区/磁盘级加密(LUKS):
    • 初始化:cryptsetup luksFormat /dev/sdX
    • 打开:cryptsetup luksOpen /dev/sdX encrypted_vol
    • 格式化与挂载:mkfs.ext4 /dev/mapper/encrypted_vol;mount /dev/mapper/encrypted_vol /mnt
    • 持久化:在 /etc/fstab 使用 /dev/mapper/encrypted_vol 挂载,并配置密钥/口令输入方式(注意:LUKS 默认不支持无交互开机自动解锁,需结合密钥文件、TPM 或控制台交互)。
  • 文件级加密(GnuPG):
    • 生成密钥:gpg --gen-key
    • 加密:gpg --encrypt --recipient “Name” file.txt
    • 解密:gpg --decrypt file.txt.gpg
  • 目录级加密(EncFS):适合对特定目录(如用户主目录中的敏感子目录)加密,安装 encfs 后按需创建加密/解密挂载点并配置自动挂载(注意权限与备份恢复流程)。

四 完整性保护与系统加固联动

  • 关键系统文件防篡改:对 /bin、/sbin、/usr/bin、/usr/sbin、/boot 等目录与关键二进制/配置设置不可变属性(chattr +i);对日志文件(如 /var/log/messages)设置仅追加属性(chattr +a),确保审计连续性。
  • 启用并正确配置 SELinux(建议保持 enforcing),必要时通过 setenforce 1/0 切换临时状态,用 sestatus 检查;仅将 SELinux 置于 permissive 用于排障,避免长期关闭。
  • 远程访问与暴露面收敛:
    • 禁止 root 直登(PermitRootLogin no),使用 密钥认证替代口令,限制可登录用户(AllowUsers),必要时修改默认 SSH 端口并配合 firewalld 精细化放行。
    • 仅放行必要端口与服务,定期清理无效端口与旧密钥。
  • 运行期防护:保持系统与软件及时更新(yum update),禁用不必要的服务与内核模块,减少被利用的机会。

五 审计、备份与恢复演练

  • 审计与日志:启用并集中采集关键日志(如 /var/log/secure、/var/log/messages),结合 auditd/ausearch 对特权操作、文件访问与权限变更进行审计;对异常登录、权限突变、可疑 su/sudo 使用设置告警。
  • 备份与恢复:对加密卷与关键业务数据制定定期备份离线/异地策略,定期演练解密与恢复流程,验证口令/密钥可用性与恢复时效;在变更(如权限批量调整、加密卷扩容)前后执行快照或备份,确保可回滚。

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: CentOS文件系统安全如何保障
本文地址: https://pptw.com/jishu/762964.html
CentOS文件系统挂载失败怎么解决 centos系统vsftp更新如何操作

游客 回复需填写必要信息