CentOS 域名安全加固清单
一 基础系统与访问控制
- 保持系统与软件为最新,及时安装安全补丁;使用 yum update 或配置自动更新,减少暴露窗口。
- 启用并正确配置 firewalld,仅放行必要端口(如 80/443/22),示例:
sudo firewall-cmd --zone=public --add-service=https --permanent && sudo firewall-cmd --reload
- 强化 SSH:禁用 root 登录、使用 密钥认证、更改默认端口、限制来源 IP。
- 启用并维持 SELinux 为 enforcing,仅对确需的进程做最小权限策略放宽。
- 建立定期备份与异地/离线留存机制,包含站点文件与数据库,定期演练恢复流程。
二 域名解析与 DNS 安全(若自建权威 DNS)
- 明确角色:权威 DNS 与递归 DNS 分离;公网递归 DNS 必须做访问控制,避免被滥用为放大攻击源。
- 访问控制:在 named.conf 中使用 allow-query 限制可查询来源;仅对从服务器开放 allow-transfer,示例:
options { directory “/var/named”; allow-query { 内网网段; }; allow-transfer { slaves; }; };
- 区传输完整性:主从之间使用 TSIG 进行事务签名,先生成密钥并分发到主从,确保区数据不被篡改。
- 运行环境:使用 BIND chroot 将服务限制在受限目录,降低被攻破后的横向影响。
- 加固要点:限制递归范围、隐藏版本信息、启用查询日志审计、保持 系统时间同步(NTP) 以避免 TSIG 失败。
三 Web 服务与 HTTPS 配置
- 全站启用 HTTPS:部署 TLS 证书(如 Let’s Encrypt),在 Nginx/Apache 中正确配置证书与私钥路径,并仅启用安全协议与套件:
- 协议:优先 TLSv1.2/TLSv1.3
- 套件:使用高强度的 ECDHE 套件,禁用 RC4/MD5/DES 等弱算法
- 端口与连通性:在 firewalld 放行 443,并同步检查云厂商安全组入方向规则。
- 禁止 IP 直访:为 default_server 返回 444 或 301 到主域名,避免他人将域名恶意指向你的 IP 蹭流量。
- 安全头与内容安全:启用 HSTS、CSP、X-Frame-Options、X-Content-Type-Options、Referrer-Policy 等 HTTP 安全头。
四 监控 审计与应急响应
- 持续监控与告警:对 80/443/22 的访问、证书到期、系统更新、内核/服务异常进行监控与通知。
- 集中日志管理:收集 /var/log/(如 messages、secure、nginx/access.log、named/)并集中存储与审计,保留至少 90 天。
- 定期漏洞扫描与配置基线核查:覆盖 Web、DNS、SSH、TLS、账户与权限等。
- 制定并演练应急预案:包括隔离受感染主机、切换至备份站点/CDN、回滚证书与配置、取证与通报流程。
