如何利用centos cleanup保护系统安全

利用 CentOS Cleanup 提升系统安全的实操指南

一 核心原则与准备

• 在开始任何清理前，先做完整备份（含关键配置与数据），并在测试环境验证变更，避免生产事故。
• 采用逐步执行 + 验证的方式，每一步都确认功能与安全策略仍然有效。
• 优先使用官方工具与包管理器（如 yum/dnf、systemctl、firewalld），避免来源不明的第三方清理脚本。
• 清理的目标不仅是释放空间，更是降低攻击面：移除无用软件、关闭不必要服务与端口、保护日志与审计数据。

二 安全清理清单

• 系统与软件包
  • 更新补丁：运行yum update -y或dnf update -y，修复已知漏洞。
  • 移除无用依赖：执行yum autoremove -y，减少潜在攻击面。
  • 清理包管理器缓存：执行yum clean all或dnf clean all，避免旧包残留。
  • 清理旧内核：执行package-cleanup --oldkernels --count=2，仅保留最近2个内核，降低引导风险与占用。
• 临时文件与日志
  • 清理临时目录：删除**/tmp/与/var/tmp/**下过期文件（生产环境建议先停相关服务或用tmpwatch/tmpreaper）。
  • 轮转并压缩日志：配置**/etc/logrotate.conf与/etc/logrotate.d/，设置合理的rotate**、compress、maxsize与retention。
  • 安全清理 systemd 日志：执行journalctl --rotate与journalctl --vacuum-time=2weeks，避免日志无限增长并保留近2周审计数据。
• 用户、服务与端口
  • 清理无效/默认账户：核查**/etc/passwd**，锁定或删除不再使用的账户（谨慎操作，避免误删系统账户）。
  • 禁用不必要服务与端口：用systemctl disable/stop 关闭无用服务，并用firewall-cmd仅放行必需端口（如仅放行22/TCP给SSH）。
• 远程访问与防护
  • 加固 SSH：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no、使用Protocol 2、限制登录用户（如AllowUsers），并重启sshd。
  • 防暴力破解：部署fail2ban，自动封禁反复失败的来源 IP。

三 加固配置与持续监控

• 身份与口令策略
  • 在**/etc/login.defs设置口令策略：PASS_MAX_DAYS 90、PASS_MIN_DAYS 20、PASS_MIN_LEN 8、PASS_WARN_AGE 7；对 root 执行chage -M 90 root**。
  • 在**/etc/pam.d/system-auth启用复杂度与历史限制：如pam_pwquality.so retry=5 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1**，以及remember=50限制重复使用。
  • 登录失败锁定：在**/etc/pam.d/sshd与/etc/pam.d/system-auth配置pam_tally2.so deny=5 unlock_time=300**（可按需调整）。
• 强制访问控制
  • 保持SELinux为enforcing或至少permissive，用getenforce/setenforce查看与切换，并编辑**/etc/selinux/config**持久化。
• 防火墙与最小暴露面
  • 使用firewalld仅放行必需服务（如SSH），按需配置Zone与端口，变更后执行firewall-cmd --reload。
• 审计与入侵检测
  • 启用并持久化auditd：yum install audit -y & & systemctl enable --now auditd，定义关键审计规则并定期审查。
  • 定期安全扫描：使用lynis执行lynis audit system，根据建议整改。

四 常见误区与防护

• 避免危险命令：切勿执行rm -rf /etc/或类似操作；删除前先用ls -l/df -h确认目标，删除大文件前先备份与核验。
• 谨慎修改关键配置：编辑**/etc/fstab、/etc/yum.repos.d/*.repo、/etc/ssh/sshd_config**前先备份；变更后逐项验证服务可用性。
• 日志处置要可审计：避免直接cat /dev/null > /var/log/file.log清空日志，优先用logrotate或journalctl的轮转与压缩功能。
• 不要盲目关闭必要服务：例如关闭SSH会导致无法远程维护；应先建立替代通道或确保控制台可达后再变更。
• 谨慎“优化”内存：生产环境不建议随意执行echo 1/2/3 > /proc/sys/vm/drop_caches，仅在明确场景（如性能测试）下使用，并先执行sync。

五 建议的维护节奏

• 每日：检查**/var/log/secure与journalctl异常登录；确认fail2ban**状态与封禁规则命中。
• 每周：执行yum check-update并评估更新；运行lynis做基线扫描；复核防火墙规则。
• 每月：执行yum clean all、journalctl --vacuum-time=2weeks；用package-cleanup --oldkernels --count=2清理旧内核；复核用户与sudoers权限；验证备份可用性与恢复演练。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！