CentOS 上 LibreOffice 的安全设置
一 系统与账户安全基线
- 保持系统与 LibreOffice 为最新:执行 yum/dnf update 及时修补漏洞,降低被利用风险。
- 启用并维持 SELinux 为 enforcing:使用 sestatus 查看状态,必要时 setenforce 1;配合日志审计策略提升整体防护。
- 配置 firewalld 最小暴露面:仅开放必要端口与服务,定期审计规则。
- 强化 SSH 访问控制:编辑 /etc/ssh/sshd_config,如更改默认端口、禁用 root 登录、启用公钥认证,重启服务生效。
- 账户与口令治理:排查 UID 为 0 的账户、锁定不必要账号、删除无用默认账号;设置复杂度策略(如 /etc/login.defs 中 PASS_MIN_LEN ≥ 10),并定期核查 /etc/shadow 的空口令。
- 文档与配置目录权限:对 /usr/lib64/libreoffice、用户主目录与共享目录设置最小权限;必要时用 ACL 精细化授权(如 setfacl/getfacl)。
二 LibreOffice 应用层安全配置
- 宏安全:在 工具 → 选项 → LibreOffice → 安全 → 宏安全 将安全级别设为高或非常高;仅对可信文档启用宏,必要时完全禁用宏。历史上 LibreOffice/OpenOffice 存在与签名文档和宏相关的漏洞(如 CVE-2021-25635),升级与严控宏是有效缓解措施。
- 文档加密:
- 对 ODT 文档设置“打开密码”和“文件共享(编辑)密码”,未提供编辑密码时文档默认只读,需输入编辑密码方可修改。
- 导出 PDF 时启用“安全”选项,设置用户密码(打开)与所有者密码(权限),可禁止打印、编辑与内容提取,建议两者同时设置。
- 版本与更新:若发行版仓库版本滞后,建议从官方渠道获取 RPM 包升级,避免长期暴露于已修复漏洞。
三 宏与恶意文档防护
- 部署并定期更新 ClamAV 等防病毒软件,对下载与共享目录进行周期扫描,及时更新病毒库。
- 不打开来源不明的文档,尤其是包含宏的 .doc/.xls/.ppt 或 .odt/.ods/.odp 文件;对外来文档启用“只读预览/沙箱化查看”流程。
- 建立备份与恢复机制:对重要文档定期离线/异地备份,确保遭勒索或篡改时可快速回滚。
四 常见加固操作清单
| 目标 |
操作 |
关键命令或路径 |
| 系统与 LibreOffice 更新 |
更新系统与应用至最新安全版本 |
yum/dnf update |
| 宏安全 |
设置宏安全级别为高/非常高 |
工具 → 选项 → LibreOffice → 安全 → 宏安全 |
| 文档打开密码 |
为 ODT 设置打开密码 |
文件 → 另存为/保存 → 密码保护文档 |
| 文档编辑限制 |
为 ODT 设置文件共享(编辑)密码 |
文件 → 另存为/保存 → 文件共享密码 |
| PDF 导出加密与权限 |
导出 PDF 时设置用户/所有者密码与权限 |
文件 → 导出为 PDF → 安全 → 设置密码 |
| SSH 加固 |
禁用 root 登录、启用公钥认证 |
/etc/ssh/sshd_config;systemctl restart sshd |
| 防火墙最小暴露 |
仅开放必要端口/服务 |
firewall-cmd(永久规则与端口管理) |
| SELinux 维持 enforcing |
查看与启用 SELinux |
sestatus;setenforce 1 |
| 口令与账号治理 |
排查 UID 0、锁定无用账号、设置复杂度 |
/etc/passwd、/etc/shadow、/etc/login.defs |
| 目录权限与 ACL |
最小权限与细粒度授权 |
chmod/chown;setfacl/getfacl |
