CentOS系统消息安全保障措施
/etc/login.defs文件配置密码最小长度(如10位)、过期时间等;使用chattr +i命令锁定/etc/passwd、/etc/shadow等关键口令文件,防止未授权修改。systemctl disable命令关闭FTP、邮件等非必需网络服务;删除adm、lp、sync等默认多余账号,减少潜在攻击面。/etc/ssh/sshd_config中PermitRootLogin no),启用公钥认证(PubkeyAuthentication yes)替代密码登录,修改默认SSH端口(如2222),并限制登录尝试次数(MaxAuthTries 3)。setenforce 1临时启用SELinux(永久生效需修改/etc/selinux/config中SELINUX=enforcing);使用audit2allow工具分析拒绝日志(ausearch -m avc -ts recent),生成自定义策略模块(semodule -i mypol.pp),精细化控制进程权限。firewalld配置默认拒绝所有入站流量(firewall-cmd --set-default-zone=drop),仅开放必要端口(如SSH的22端口、消息服务端口);通过--permanent参数保存规则并reload生效,防止非法IP访问。simpleAuthenticationPlugin插件,在activemq.xml中配置强密码用户(如username="admin" password="Admin@123")及角色(groups="admins");通过jetty.xml设置管理控制台登录认证(authenticate="true"),限制控制台访问权限。ca_certificate.pem、server_certificate.pem、server_key.pem),修改rabbitmq.config文件开启SSL监听端口(listeners.ssl.default = 5671),设置证书路径(ssl_options.cacertfile、certfile、keyfile),确保消息传输机密性。rabbitmqctl set_permissions命令限制用户对队列、交换机的操作权限(如rabbitmqctl set_permissions -p /my_vhost user1 ".*" ".*" ".*"),仅允许授权用户访问特定资源。/etc/rsyslog.conf日志级别(如将authpriv.*日志级别设为info),将安全日志单独存储到/var/log/secure;使用journalctl命令实时查看系统日志(journalctl -f),过滤关键事件(如journalctl _SYSTEMD_UNIT=sshd.service)。auditd),监控系统调用(如ausearch -m avc);使用fail2ban工具防范暴力破解(配置/etc/fail2ban/jail.local中maxretry=3),自动封禁多次登录失败的IP。yum update命令定期更新系统内核、软件包(如RabbitMQ、ActiveMQ),及时修补已知安全漏洞;开启自动更新(yum-cron),确保系统始终处于最新安全状态。/var/log/messages、/var/log/secure等日志文件,以及RabbitMQ的配置文件(/etc/rabbitmq/rabbitmq.conf)和数据目录(/var/lib/rabbitmq);将备份存储到异地或离线介质(如NAS、磁带),防止数据丢失。
