CentOS系统中如何实现安全加固

CentOS 安全加固实操清单

一 基线加固

• 保持系统与软件包为最新：执行sudo yum update或sudo dnf update；按需启用EPEL仓库（sudo yum install epel-release）。
• 最小化安装与清理：仅保留必需软件包，禁用不需要的服务（如示例：sudo systemctl disable ）。
• 启用并验证防火墙：启动与开机自启firewalld（sudo systemctl enable --now firewalld），确认状态（firewall-cmd --state）。
• 启用 SELinux：设置为enforcing（sudo setenforce 1；在**/etc/selinux/config中确保SELINUX=enforcing**），仅在明确需要时调整为permissive并排查告警。
• 用户与权限基线：禁止root直接远程登录，使用sudo执行特权命令；删除或锁定不再使用的账户；为登录Shell设置合理的umask（如027）；必要时用chattr +i保护关键文件（/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow）。

二 网络与防火墙

• 以firewalld统一管理规则，理解并使用zone概念（public、trusted、internal等）；默认区域通常为public。
• 只开放必需服务/端口，优先使用“服务名”而非裸端口（便于维护与审计）：
  • 示例（放行HTTP/HTTPS/SSH）：
    • sudo firewall-cmd --permanent --zone=public --add-service=http
    • sudo firewall-cmd --permanent --zone=public --add-service=https
    • sudo firewall-cmd --permanent --zone=public --add-service=ssh
    • sudo firewall-cmd --reload
• 精细来源控制：将受信管理网段加入trusted区域，仅允许该区域访问SSH：
  • 示例：sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.1.0/24
• 端口与协议：如无对应服务定义，按需开放端口（如sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp），变更后用–reload或–runtime-to-permanent持久化。
• 变更流程建议：先测试运行时规则，确认无误再持久化，避免锁死会话。

三 身份与 SSH 安全

• 禁用root远程登录：在**/etc/ssh/sshd_config中设置PermitRootLogin no**。
• 限制可登录用户：使用**AllowUsers **仅允许特定账户。
• 强化认证：优先使用SSH密钥，禁用密码认证（PasswordAuthentication no）；如必须保留密码，启用强密码策略（/etc/security/pwquality.conf 配置minlen、dcredit、ucredit、lcredit、ocredit等）。
• 登录会话加固：设置ClientAliveInterval 300与ClientAliveCountMax 2自动断开空闲会话；禁用PermitEmptyPasswords。
• 可选：更改默认端口（Port 2222）降低噪音扫描，但需同步更新防火墙放行规则。
• 应用变更：修改后执行sudo systemctl restart sshd并先在备用会话验证。

四 日志审计与入侵防护

• 启用审计服务：安装并启动auditd（sudo yum install audit；sudo systemctl enable --now auditd），用于关键系统调用与文件访问审计。
• 集中与及时查看日志：使用journalctl（如journalctl -xe）与审计工具（ausearch）排查异常。
• 防暴力破解：部署Fail2ban，对SSH等高频失败登录进行自动封禁（sudo yum install fail2ban；sudo systemctl enable --now fail2ban）。
• 完整性校验：部署AIDE或Tripwire建立文件基线，定期校验关键系统文件与目录的完整性。
• 合规扫描与巡检：定期运行Lynis、OpenSCAP进行安全基线核查与整改。

五 文件系统与权限、备份与变更管理

• 权限最小化：遵循最小权限原则，用chmod/chown/chgrp规范文件与目录权限；对共享目录与复杂授权使用ACL（setfacl/getfacl）实现精细化控制。
• 特殊权限位谨慎使用：仅在确有必要时使用SUID/SGID/Sticky Bit，避免滥用导致提权风险。
• 关键文件保护：对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow等使用chattr +i**设置不可变属性，变更前再移除。
• 备份与恢复演练：定期备份关键数据与配置（如rsync/tar），并进行可恢复性演练与离线/异地留存。
• 变更留痕与回滚：所有加固操作纳入变更单与版本控制（如Git），变更前快照、变更后验证与回滚预案。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！