如何使用CentOS进行安全清理

1. 更新系统至最新版本
更新系统是安全清理的基础，可修复已知漏洞，减少被攻击的风险。使用以下命令更新所有已安装的软件包：

sudo yum update -y  # CentOS 7及以下
sudo dnf update -y  # CentOS 8及以上

2. 清理软件包缓存
YUM/DNF缓存会占用磁盘空间，且可能包含旧版本的软件包。使用以下命令清理缓存：

sudo yum clean all  # CentOS 7及以下
sudo dnf clean all  # CentOS 8及以上

3. 移除无用软件包与旧内核

• 自动移除依赖包：autoremove命令可删除不再被任何软件包依赖的无用依赖包，减少系统冗余：

  sudo yum autoremove -y  # CentOS 7及以下
  sudo dnf autoremove -y  # CentOS 8及以上
  

• 清理旧内核：旧内核版本可能存在安全漏洞，保留最新的2个内核即可（避免系统无法启动）：

  sudo package-cleanup --oldkernels --count=2  # 需安装yum-utils（sudo yum install yum-utils）
  

4. 清理临时文件与日志

• 临时文件：/tmp和/var/tmp目录中的临时文件可能包含敏感信息，定期清理可降低泄露风险：

  sudo rm -rf /tmp/* /var/tmp/*
  

• 日志文件：过大的日志文件会占用大量磁盘空间，可使用journalctl和find命令清理：

  sudo journalctl --vacuum-time=2weeks  # 保留最近2周的日志
  sudo find /var/log -type f -name "*.log" -mtime +30 -exec rm -f {} \;  # 删除30天前的.log文件
  

5. 检查并删除不必要的用户与组
不必要的用户账户（如测试账户、未使用的第三方账户）会增加系统被攻击的风险。通过以下命令列出非系统用户，并删除无需保留的账户：

# 列出非系统用户（排除root、daemon等系统账户）
sudo cut -d: -f1 /etc/passwd | grep -vE '^root|daemon|bin|sys|sync|games|man|lp|mail|news|uucp|proxy|www-data|backup|list|irc|gnats|nobody|systemd-network|systemd-resolve|messagebus|polkitd|sshd|httpd|nginx'
# 删除指定用户（如testuser）及其主目录
sudo userdel -r testuser

6. 禁用与删除不必要的服务
不必要的服务会监听网络端口，增加被攻击的面。通过以下步骤管理服务：

• 查看已启用的服务：

  sudo systemctl list-unit-files --type=service --state=enabled
  

• 禁用并停止服务：例如禁用httpd（Apache）服务：

  sudo systemctl disable httpd  # 禁止开机启动
  sudo systemctl stop httpd     # 停止当前运行的服务
  

• 删除服务：若确定服务不再需要，可通过包管理器卸载：

  sudo yum remove httpd  # CentOS 7及以下
  sudo dnf remove httpd  # CentOS 8及以上
  

7. 强化SSH访问安全
SSH是远程管理的主要方式，需调整配置防止暴力破解：

• 修改SSH端口：编辑/etc/ssh/sshd_config，将Port 22改为其他端口（如Port 2222）；
• 禁用密码登录：将PasswordAuthentication yes改为PasswordAuthentication no，仅允许密钥登录；
• 重启SSH服务：使配置生效：

  sudo systemctl restart sshd
  

8. 使用安全工具扫描系统
借助专业工具进行全面安全审计，发现潜在漏洞：

• Lynis：开源安全审计工具，支持检测系统配置、漏洞等：

  sudo yum install lynis -y  # CentOS 7及以下
  sudo dnf install lynis -y  # CentOS 8及以上
  sudo lynis audit system    # 执行系统审计
  

• OpenSCAP：基于SCAP标准的扫描工具，用于评估系统安全合规性：

  sudo yum install openscap -y
  sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml --results results.xml
  

9. 配置SELinux增强安全
SELinux（Security-Enhanced Linux）提供强制访问控制，进一步提升系统安全性：

• 启用SELinux：若当前为disabled状态，需编辑/etc/selinux/config，将SELINUX=disabled改为SELINUX=enforcing；
• 设置SELinux模式：临时启用SELinux（重启后失效）：

  sudo setenforce 1
  

10. 定期备份重要数据
安全清理前需备份关键数据，防止误删导致数据丢失。可使用rsync工具备份至本地或远程存储：

sudo rsync -avz /path/to/important/data /backup/location

安全注意事项

• 备份优先：所有清理操作前，务必备份重要数据（如/etc、/home、数据库文件）；
• 谨慎操作：使用rm -rf命令时，确认目标路径无误，避免误删系统文件；
• 定期维护：建议每月执行一次安全清理，保持系统整洁与安全。