CentOS 上 Overlay 配置的安全加固要点
一 身份与访问控制
- 清理与锁定不必要的系统账户,例如adm、lp、sync等;仅保留必要的管理员账户,避免共享或滥用高权限身份。
- 强化口令策略:口令需包含大小写字母、数字、特殊字符且长度≥10位;排查并禁用空口令账户。
- 保护关键口令文件:对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**设置不可更改属性(如 chattr +i),降低被篡改风险。
- 限制特权切换:通过**/etc/pam.d/su仅允许特定组使用 su;设置root 自动注销**(如 TMOUT)减少会话暴露时间。
- 限制普通用户的敏感操作:清理或调整**/etc/security/console.apps**下相关程序的访问控制,避免非授权关机、重启等。
- 禁用控制台重启热键:禁用Ctrl+Alt+Delete组合键的立即重启功能,减少物理接触面风险。
二 容器与网络隔离
- 启用并正确配置SELinux,以强制访问控制限制容器/进程对宿主机资源的访问;在容器运行时保持 SELinux 为Enforcing模式,避免因兼容性问题而关闭。
- 使用firewalld实施最小暴露面:仅开放必需端口(如22/SSH、80/443/应用端口),对管理口与业务口进行分区与隔离,并定期审查规则。
- 在容器平台(如 Docker)中利用Overlay 网络进行业务网络隔离,减少横向移动与嗅探风险;仅允许必要的服务通信路径与端口。
- 限制容器运行时的权限与能力:以非 root用户运行容器、按需降权/禁能力,并启用只读根文件系统与最小挂载策略。
三 存储与加密
- 对承载敏感数据的目录实施文件系统加密:优先采用LUKS/dm-crypt对下层或上层目录所在卷加密,再在加密卷上构建 OverlayFS 视图,确保数据静态与传输态的机密性。
- 正确挂载与分层:确保lowerdir、upperdir、workdir目录存在且权限最小化;挂载后使用df -h、findmnt核验挂载点与层级是否正确。
- 底层文件系统要求:OverlayFS 依赖底层文件系统对d_type的支持;如使用XFS,需确认已启用 ftype(必要时以 mkfs.xfs -n ftype=1 重建),避免因特性缺失导致异常或安全绕过。
四 审计与监控
- 启用并配置auditd记录关键安全事件(如挂载、特权操作、策略变更),集中留存与定期审计,提升事后追溯能力。
- 持续查看系统日志(如 journalctl、/var/log/ 相关日志),对异常挂载、权限变更、失败登录等进行告警与处置。
- 建立基线巡检:定期核查当前mount/findmnt的 Overlay 挂载点、进程与用户权限配置,确保与既定安全策略一致。
五 维护与更新
- 保持系统与软件及时更新(如 yum/dnf update),修补已知漏洞,降低被利用风险。
- 在容器环境中优先选用overlay2存储驱动,并按需调整存储与内核相关参数;变更后重启服务并复核日志与挂载状态。
- 实施资源使用上限(CPU、内存、磁盘 I/O)与cgroups/systemd限制,防止单一 Overlay/容器耗尽宿主机资源引发拒绝服务。
