centos minimal安全加固技巧

CentOS Minimal 安全加固清单

一 基线更新与最小化服务

• 保持系统处于最新补丁状态：执行yum update -y（或 dnf update -y），并启用自动安全更新（如 yum-cron）。
• 仅启用必需服务，禁用不需要的自启项：例如关闭bluetooth、avahi-daemon、cups等；使用systemctl disable --now 停用，并用systemctl list-unit-files --type=service 复核。
• 精简开机自启动，仅保留sshd、rsyslog/crond、network等核心服务，减少攻击面。

二 账户与认证加固

• 清理高危或伪账户：锁定或删除不必要的系统账号（如adm、lp、shutdown、halt、games、gopher等），避免直接删除，优先使用usermod -L锁定。
• 严控UID 0：确保除root外无其他UID=0账户（检查命令：awk -F: ‘($3 == 0) { print $1} ’ /etc/passwd）。
• 强化口令策略：在**/etc/login.defs中设置PASS_MIN_LEN ≥ 12**，并配合复杂度策略（长度、字符集、定期更换）。
• 限制su到root：编辑**/etc/pam.d/su**，加入auth required pam_wheel.so use_uid，仅允许wheel组使用su；将管理账号加入wheel组（usermod -G wheel ）。
• 会话与历史：在**/etc/profile设置TMOUT=300**（5分钟无操作自动注销）；将HISTSIZE/HISTFILESIZE调小（如5–20），并为历史命令增加时间戳（export HISTTIMEFORMAT）。
• 登录横幅与内核日志：设置**/etc/motd、/etc/issue、/etc/issue.net的合规警告；确保rsyslog**将内核与认证日志外发到日志服务器（如：*.info; mail.none; authpriv.none; cron.none @loghost）。

三 远程访问与控制台安全

• SSH 加固：备份后编辑**/etc/ssh/sshd_config**，建议设置Port < 非22> 、PermitRootLogin no、PermitEmptyPasswords no、UseDNS no、GSSAPIAuthentication no；重启sshd生效。
• 禁用控制台重启热键：在CentOS 7中注释或移除**/etc/init/control-alt-delete.conf**中的启动项，防止物理控制台被滥用。
• 限制root控制台登录：精简**/etc/securetty**，仅保留必要的tty1–tty6或按需更少。
• 精细访问控制：仅开放业务所需端口，使用firewalld管理规则（如仅放行22/80/443）；必要时结合TCPWrappers的**/etc/hosts.allow /etc/hosts.deny**做二次限制。

四 文件系统与权限控制

• 关键文件防篡改：对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**设置不可变属性（chattr +i），变更前务必备份并做好回滚方案。
• 目录与权限基线：用户HOME目录权限700；点文件（如**.bashrc、.ssh/authorized_keys**）禁止全局可写；全局umask 022。
• 守护进程与启动脚本：确保**/etc/rc.d/init.d/及类似启动脚本仅root可写/可执行（如chmod 700**）。
• 计划任务安全：仅允许root使用cron/at（创建**/etc/cron.allow、/etc/at.allow**，权限400），并收紧**/etc/crontab、/var/spool/cron**属主与权限。

五 网络与内核防护

• 反欺骗与解析安全：在**/etc/host.conf加入nospoof on**；必要时调整**/etc/nsswitch.conf**的hosts解析顺序。
• 日志与审计：启用并外发authpriv、cron、messages、secure等日志；对关键目录与命令设置auditd规则（如监控**/etc/passwd、/etc/shadow、/usr/bin/sudo**）。
• 资源与连接限制：通过**/etc/security/limits.conf限制用户进程数、文件句柄；在/etc/sysctl.conf中开启syncookies、syn_backlog等抗DoS参数，并调低tcp_syn_retries/tcp_synack_retries**。
• 恶意代码防护：部署ClamAV进行周期性扫描（freshclam + clamscan），并配合应用层WAF/IPS与主机加固共同使用。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！