centos中dolphin的安全设置

适用对象与总体思路

• 本指南面向在 CentOS 上使用的 Dolphin 文件管理器（KDE 桌面环境）。安全加固围绕三条主线：最小化运行权限、限制脚本执行、系统与网络层面的加固（防火墙、SSH、SELinux、账户策略）。

一 系统与网络加固

• 防火墙仅放行必要端口与服务（示例为 80/443），并支持按来源 IP 精细化放行：
  • 启动并持久化：sudo systemctl start firewalld & & sudo systemctl enable firewalld
  • 放行端口：sudo firewall-cmd --permanent --zone=public --add-port=80/tcp；sudo firewall-cmd --permanent --zone=public --add-port=443/tcp
  • 按源 IP 放行：sudo firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.100” accept’
  • 使配置生效：sudo firewall-cmd --reload
• SSH 安全基线：
  • 修改默认端口至 10000+：编辑 /etc/ssh/sshd_config 设置 Port 10022
  • 禁止 root 登录：PermitRootLogin no
  • 限制认证尝试：MaxAuthTries 3
  • 优先密钥登录：PasswordAuthentication no
• 账户与登录安全：
  • 密码策略（/etc/login.defs）：PASS_MAX_DAYS 90；PASS_MIN_DAYS 7
  • 密码复杂度（/etc/security/pwquality.conf）：minlen 10；minclass 4
  • 密码重用限制（/etc/pam.d/password-auth 与 system-auth）：在 pam_unix.so 行尾追加 remember=5
  • SSH 空闲超时（/etc/ssh/sshd_config）：ClientAliveInterval 600；ClientAliveCountMax 2
• SELinux 保持 enforcing 并定期更新系统：getenforce；setenforce 1；/etc/selinux/config 中 SELINUX=enforcing；yum update。

二 Dolphin 最小化权限与脚本执行限制

• 运行身份最小化：仅在需要时以 root 运行 Dolphin（例如 sudo dolphin），日常使用普通用户，避免以 root GUI 会话长期操作。
• 禁用外部脚本执行（KDE 配置项）：
  • 编辑配置文件：~/.config/dolphinrc
  • 新增：NoExternalScriptExecution=true
  • 使配置生效：kquitapp5 dolphin & & dolphin &
• 限制脚本可执行权限（面向所有用户或特定目录）：
  • 移除脚本执行位：chmod -x /path/to/*.py
  • 细粒度 ACL 限制：setfacl -m u:username:— /path/to/script.py
• 进阶强制访问控制（可选，按环境启用）：
  • SELinux：为 Dolphin 创建或调整策略模块，限制其执行 python 的能力（示例思路：定义 dolphin_t/dolphin_exec_t 并收紧执行权限，编译并加载策略模块）。
  • AppArmor：创建 /etc/apparmor.d/usr.bin.dolphin，加入 deny /usr/bin/python3 ix 等规则并重新加载。

三 文件与目录权限控制

• 目录默认权限建议 0755，文件 0644；对敏感目录（如用户主目录、业务数据）按需收紧为 0750/0640。
• 使用 ACL 进行细粒度授权（示例：仅允许某用户对目录只读）：
  • 设置：setfacl -m u:alice:r-x /data/project
  • 查看：getfacl /data/project
• 挂载选项启用 ACL（确保文件系统支持）：mount -o remount,acl /mountpoint
• 谨慎使用 SUID/SGID/Sticky Bit，仅对确有必要的程序设置，降低提权风险。

四 验证与运维要点

• 防火墙规则核对：firewall-cmd --list-all；按端口与服务逐项确认仅放行必要项。
• SSH 配置生效：sshd -t 检查语法；systemctl restart sshd；验证新端口连通性与密钥登录。
• Dolphin 配置生效：确认 ~/.config/dolphinrc 中 NoExternalScriptExecution=true 已写入，重启 Dolphin 后测试脚本/可执行文件是否无法被直接执行。
• SELinux 状态与策略：sestatus；ausearch/audit2allow 辅助分析被拒操作；策略变更前在测试环境验证。
• 变更留痕与回滚：对关键配置文件（sshd_config、dolphinrc、firewalld 规则、sudoers）变更前备份，变更后记录并设定复核周期。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！