centos stream8如何进行安全防护

CentOS Stream 8安全防护指南
CentOS Stream 8作为RHEL的上游开发分支，虽具备一定安全性，但已于2024年5月31日停止官方维护，不再接收安全更新，继续使用可能面临严重安全风险。建议优先升级到CentOS Stream 9或迁移至AlmaLinux、Ubuntu LTS等长期支持发行版。若暂时无法迁移，可通过以下措施强化系统安全：

1. 系统更新与补丁管理

定期更新系统是修复已知漏洞的核心手段。使用dnf命令更新所有软件包至最新版本：

sudo dnf update -y

启用自动更新（可选），通过dnf-automatic包配置自动下载和安装安全更新，减少手动操作风险。

2. 防火墙配置（firewalld）

firewalld是CentOS Stream 8的默认防火墙工具，通过区域（Zone）和规则控制网络访问：

• 安装与启动：若未安装，运行sudo dnf install firewalld；启动服务并设置开机自启：

  sudo systemctl start firewalld
  sudo systemctl enable firewalld
  

• 基础规则设置：
  • 设置默认区域为public（适用于公共网络）：sudo firewall-cmd --set-default-zone=public；
  • 开放常用服务（如SSH、HTTP）：sudo firewall-cmd --permanent --zone=public --add-service=ssh、sudo firewall-cmd --permanent --zone=public --add-service=http；
  • 开放指定端口（如8080/TCP）：sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp；
  • 重新加载配置使更改生效：sudo firewall-cmd --reload。

3. 账户与权限管理

• 禁用冗余超级用户：识别并锁定具有root权限的账户（如adm、lp、sync），避免未授权使用：

  sudo usermod -L adm  # 锁定adm账户
  sudo userdel lp      # 删除lp账户（若无需使用）
  

• 强化密码策略：编辑/etc/login.defs文件，设置最小密码长度（如10位）、复杂度要求（包含大小写字母、数字、特殊字符）：

  PASS_MIN_LEN 10
  

  检查并删除空密码账户：sudo awk -F ":" '(NF==1) {print $1}' /etc/shadow，对空密码账户强制修改密码。
• 保护密码文件：使用chattr命令将/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow设为不可修改，防止恶意篡改：

  sudo chattr +i /etc/passwd
  sudo chattr +i /etc/shadow
  sudo chattr +i /etc/group
  sudo chattr +i /etc/gshadow
  

• 限制su命令：编辑/etc/pam.d/su文件，添加auth required pam_wheel.so use_uid，仅允许wheel组用户使用su切换到root。

4. SSH安全配置

SSH是远程管理的主要通道，需通过修改/etc/ssh/sshd_config文件强化安全：

• 禁止root用户远程登录：PermitRootLogin no；
• 限制允许登录的用户（如仅允许admin用户）：AllowUsers admin；
• 禁止空密码登录：PermitEmptyPasswords no；
• 修改SSH默认端口（如2222），降低暴力破解风险：Port 2222；
• 重启SSH服务使配置生效：sudo systemctl restart sshd。

5. 服务与端口管理

• 停用非必要服务：停止并禁用不需要的系统服务（如acpid、autofs、bluetooth、cups），减少攻击面：

  sudo systemctl stop acpid
  sudo systemctl disable acpid
  

• 限制端口访问：仅开放业务必需的端口（如80、443、22），关闭未使用的端口（如FTP的21端口）。

6. SELinux配置

SELinux（安全增强型Linux）是内核级安全模块，需启用并配置以增强系统防护：

• 检查SELinux状态：sestatus（若为disabled，需修改/etc/selinux/config文件，设置SELINUX=enforcing并重启系统）；
• 设置SELinux为enforcing模式（强制模式），拒绝未授权的操作；
• 根据业务需求调整SELinux策略（如允许Apache访问特定目录）：sudo setsebool -P httpd_can_network_connect on。

7. 日志审计与监控

定期检查系统日志（如/var/log/messages、/var/log/secure），监控异常行为（如多次登录失败、未授权访问）：

sudo tail -f /var/log/secure  # 实时查看登录日志
sudo grep "Failed password" /var/log/secure  # 查找登录失败记录

使用工具（如auditd）配置审计规则，记录关键操作（如文件修改、用户登录），便于事后追溯。

8. 其他安全措施

• 禁用Ctrl+Alt+Delete重启：编辑/etc/inittab文件，注释或删除ca::ctrlaltdel:/sbin/shutdown -t3 -r now行，防止误操作或恶意重启；
• 限制root登录终端：编辑/etc/securetty文件，仅允许root在指定终端（如tty1-tty6）登录，避免远程终端滥用；
• 避免显示系统信息：修改/etc/issue和/etc/issue.net文件，删除系统版本、内核信息等敏感内容，防止信息泄露。

通过以上措施，可显著提升CentOS Stream 8的安全性。但需注意，停止维护的系统无法获得长期安全保障，建议尽快迁移至受支持的发行版。