CentOS如何安全防护

CentOS 安全防护实操清单

一 基线加固

• 保持系统与软件为最新：执行yum/dnf update；建议启用自动安全更新（如安装并启用yum-cron），并在变更前做好配置与数据备份。
• 账户与权限：禁用或锁定无用/默认账户；仅通过sudo执行特权命令；限制su到 root 的权限（例如仅允许特定组使用 PAM wheel）。
• 口令与登录策略：在**/etc/login.defs设置密码有效期（如PASS_MAX_DAYS 90**），用chage细化用户策略；通过pam_pwquality强制复杂度（如最小长度14、包含大小写字母、数字与特殊字符）。
• 服务最小化：列出并禁用不需要的开机服务（如 systemctl disable --now ），减少攻击面。

二 网络与防火墙

• 启用并持久化firewalld：systemctl enable --now firewalld；按需开放端口或服务（示例：firewall-cmd --zone=public --add-port=80/tcp --permanent & & firewall-cmd --reload），仅暴露业务必需端口。
• 精细化访问控制：可按需将来源 IP 加入trusted区域后再开放服务，实现白名单式管理（示例：firewall-cmd --permanent --zone=trusted --add-source=192.168.1.0/24）。
• 如需使用iptables：安装 iptables-services，配置默认拒绝并仅放行必要流量（如已建立连接、SSH/HTTP/HTTPS），注意规则持久化保存。

三 SSH 远程访问安全

• 禁用root远程登录：在**/etc/ssh/sshd_config设置PermitRootLogin no**。
• 使用SSH 密钥认证并禁用密码登录：设置PasswordAuthentication no，将公钥部署至服务器（ssh-copy-id）。
• 降低暴力破解风险：修改默认端口（如Port 2222），限制可登录用户（AllowUsers/AllowGroups），设置MaxAuthTries 3；启用Fail2Ban自动封禁。
• 变更前务必保留一个已验证可用的控制台/带外通道，避免锁死。

四 强制访问控制 日志审计与文件防护

• SELinux：保持enforcing模式，必要时通过策略或布尔值放行合法应用，避免直接关闭。
• 日志与审计：启用并启动auditd，记录关键登录/提权/策略变更等事件；使用journalctl与集中式日志收集（如 ELK）做持续监测。
• 入侵防护：部署Fail2Ban缓解 SSH 暴力破解。
• 文件与文件系统：设置umask 027；保护关键文件（如 chattr +i /etc/passwd /etc/shadow）；限制core dump（如 limits.conf 设置 hard core 0，sysctl 设置 fs.suid_dumpable=0）；使用AIDE/Tripwire做文件完整性校验。

五 运行环境与生命周期管理

• 运行环境：为 Web/数据库等启用HTTPS/TLS（如 Let’s Encrypt），并按需部署ClamAV进行恶意软件扫描。
• 漏洞与合规：定期执行OpenSCAP/Lynis等基线核查与加固；结合Nessus/OpenVAS做漏洞扫描与整改闭环。
• 备份与恢复：制定定期全量+每日增量的备份策略，保留异地副本并定期演练恢复。
• 生命周期：如仍在CentOS 7/8，需注意其维护周期已结束或即将结束，生产环境建议规划迁移至受支持的替代发行版（如TencentOS Server、AlmaLinux、Rocky Linux）。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！