centos虚拟机如何保障安全

CentOS 虚拟机安全加固清单

一 系统与账户安全

• 保持系统为最新补丁：执行yum update -y或启用可控的自动更新（如配置yum-cron的apply_updates=yes/no），在稳定窗口内定期更新。
• 最小权限与强口令：创建普通用户并加入wheel组，使用sudo提权；口令长度≥10位，包含大小写字母、数字与特殊字符。
• 禁用不必要的特权账户与登录：锁定或删除adm、lp、sync等无用账户；禁止root直接登录（SSH 中设置PermitRootLogin no）。
• 会话与登录安全：设置TMOUT=300（root 自动注销）；限制su仅对wheel组；按需限制root可登录的tty（/etc/securetty）；禁用Ctrl-Alt-Delete重启组合键。
• 关键文件防护：对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow设置不可变属性（chattr +i）；设置umask 027**收紧新建文件权限。

二 网络与 SSH 加固

• 防火墙启用与最小化放行：启用firewalld，仅开放必要端口（如SSH 22、HTTP 80、HTTPS 443）。示例：
  • 启动与开机自启：systemctl start firewalld & & systemctl enable firewalld
  • 放行 SSH：firewall-cmd --permanent --add-service=ssh & & firewall-cmd --reload
  • 按需放行端口：firewall-cmd --permanent --add-port=443/tcp & & firewall-cmd --reload
• SSH 安全基线：
  • 协议与登录：Protocol 2，PermitRootLogin no
  • 认证方式：部署SSH 密钥登录，禁用口令认证（PasswordAuthentication no，ChallengeResponseAuthentication no）
  • 可选：更改默认端口、限制来源网段（结合 firewalld 的富规则或网络 ACL）
• 防暴力破解：部署Fail2ban，对sshd启用监狱（如：maxretry=3，bantime=86400）。

三 虚拟化层与宿主机防护

• 宿主机安全基线与虚拟化专用建议：
  • 保持SELinux 为 Enforcing；sVirt依赖 SELinux 提供虚拟机隔离。
  • 宿主机仅运行必要服务，删除或禁用AutoFS、NFS、FTP、HTTP、NIS、sendmail、telnetd等不必要服务。
  • 远程管理仅走SSH/TLS等加密通道；防火墙仅放行管理所需端口。
  • 虚拟机镜像集中存放于**/var/lib/libvirt/images/，若使用其他目录需正确设置SELinux标签；避免虚拟机直接访问整块磁盘**，优先使用分区/LVM 卷。
  • 启用审计并让libvirt产生审计记录（便于追踪 VM 生命周期与配置变更）。
  • 使用libvirt 客户端访问控制（如polkit）实现细粒度权限控制。

四 服务、文件系统与日志审计

• 服务最小化：关闭与业务无关的服务/端口，减少攻击面。
• 文件系统与关键配置：对**/etc/passwd、/etc/shadow等使用chattr +i保护；设置umask 027**；按需对关键文件设置只读或不可变属性。
• 日志与审计：确保**/var/log/secure等安全日志正常记录；使用ausearch等工具定期审计登录与提权行为；配置logrotate**进行日志轮转与留存。

五 备份与持续运维

• 备份策略：对**/etc、/var/www、/home等关键目录定期备份（如tar、rsync**），并保留离线/异地副本与校验。
• 更新与变更管理：在维护窗口执行yum update；变更前备份配置，变更后验证服务可用性与安全策略生效。
• 监控与告警：部署日志集中（如 Filebeat/ELK）与监控告警（如 Prometheus/Alertmanager），对SSH 登录失败、端口异常、资源异常设置告警。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！