首页主机资讯CentOS下如何进行安全加固

CentOS下如何进行安全加固

时间2025-12-16 03:08:04发布访客分类主机资讯浏览627
导读:CentOS 安全加固实操清单 一 基线加固 保持系统与软件为最新:执行yum/dnf update并启用EPEL仓库,及时修补漏洞。 启用并配置防火墙:使用firewalld管理规则,按“最小暴露面”原则仅放行必需服务(如SSH),变更...

CentOS 安全加固实操清单

一 基线加固

  • 保持系统与软件为最新:执行yum/dnf update并启用EPEL仓库,及时修补漏洞。
  • 启用并配置防火墙:使用firewalld管理规则,按“最小暴露面”原则仅放行必需服务(如SSH),变更规则后执行firewall-cmd --reload使其生效。
  • 强化身份与授权:禁用root远程登录,创建普通管理员并通过sudo执行特权命令;按需仅允许特定来源网段访问管理口。
  • 加固 SSH:优先采用密钥认证,禁用密码登录;可修改默认端口并限制可登录用户,降低暴力破解与自动化扫描风险。
  • 启用 SELinux:保持SELinux=enforcing,必要时使用策略或布尔值做最小化的细粒度控制,避免直接关闭。
  • 服务最小化:关闭不需要的系统服务/端口,减少攻击面。
  • 审计与日志:启用并自启auditd,集中采集与定期审查journalctl与审计日志,保留关键安全事件证据。

二 账户与权限

  • 清理与锁定:删除或锁定无用/共享/默认账号;排查空口令UID=0的异常账号。
  • 口令策略:在**/etc/login.defs设置PASS_MAX_DAYS 90**、PASS_MIN_DAYS 0PASS_WARN_AGE 7;用chage为用户设置周期与到期;通过pam_pwquality强制复杂度(如最小长度14、包含大小写数字与特殊字符)。
  • 登录失败锁定:在**/etc/pam.d/system-auth/etc/pam.d/password-auth加入pam_tally2.so**(如deny=5 unlock_time=120)限制暴力尝试。
  • 限制 su:在**/etc/pam.d/su使用pam_wheel.so group=wheel仅允许wheel组成员切换到root**。
  • 精细化 sudo:通过visudo仅授予必要命令的最小权限,避免将用户加入wheel组获得无限制root
  • 默认权限与超时:设置umask 027;在**/etc/profile/etc/bashrc设置TMOUT**(如600秒)自动断开空闲会话。

三 网络与防火墙

  • 启用与检查:启动并开机自启firewalld,确认状态为running
  • 区域与接口:理解并使用public/internal/dmz/trusted等区域,按网络信任级别分配接口与规则。
  • 服务与端口:优先以“服务名”放行(如ssh、http、https),无定义服务时按端口/协议精确放行(如**–add-port=8080/tcp**);变更后reload使规则持久化。
  • 来源地址限制:结合zonesourcerich rules仅允许受控网段访问管理端口。
  • 变更流程:先测试运行时规则,确认无误后用**–permanent写入或–runtime-to-permanent**保存,避免锁死远程连接。

四 服务与 SSH 专项

  • SSH 安全基线:
    • 禁用root登录:PermitRootLogin no
    • 仅密钥认证:PasswordAuthentication noPubkeyAuthentication yes
    • 限制认证次数:MaxAuthTries 3
    • 可选:更改端口(如Port 2222),并配合防火墙仅放行指定来源
  • 服务最小化与端口收敛:
    • 关闭不需要的服务(如telnet、rsh、ftp等),仅保留业务必需服务
    • 启动后核对监听端口,确保无不必要暴露:如netstat -tulpnss -tulpennmap -sT -O localhost
  • 入侵防护:部署Fail2ban自动封禁暴力来源,缓解SSH暴力破解。

五 文件系统 内核 审计与合规

  • 文件系统与特殊位:
    • 关键目录权限收敛(如**/root 700**、/var/log/audit 700
    • 谨慎使用SUID/SGID/Sticky Bit,仅对确有必要的系统二进制与共享目录启用
    • 禁止setuid程序转储核心:在**/etc/security/limits.conf设置hard core 0**,在**/etc/sysctl.conf设置fs.suid_dumpable=0**
  • 登录审计与关键文件监控:
    • 审计登录/登出:在**/etc/audit/audit.rules加入对/var/log/lastlog/var/run/faillock/的监控规则,重启auditd**生效
  • 内核网络防护(示例):在**/etc/sysctl.conf启用rp_filter**、关闭accept_source_route、忽略广播与伪造包日志等,提升抗欺骗与抗扫描能力
  • 合规扫描与基线核查:定期使用OpenSCAP/Lynis进行系统与配置基线检查,输出报告并闭环整改
  • 变更与回退建议:加固前在测试环境验证,变更采用“先运行时、后永久化”的流程,保留回退方案变更记录,重要操作在维护窗口执行并通知相关方

声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!


若转载请注明出处: CentOS下如何进行安全加固
本文地址: https://pptw.com/jishu/772421.html
nginx日志中的慢查询如何定位 CentOS下如何部署Web应用

游客 回复需填写必要信息