CentOS C++配置安全设置指南
sudo yum update -y,修复操作系统及依赖库的已知漏洞,降低被攻击风险。firewalld(推荐)或iptables限制不必要的网络访问。例如,开放HTTP/HTTPS端口并默认拒绝其他流量:sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
sudo setenforce 1 # 临时启用
sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # 永久生效
audit2allow工具分析日志并生成自定义策略模块,解决SELinux拦截的合法操作问题。-fstack-protector-strong:启用强栈保护,防止栈溢出攻击;-D_FORTIFY_SOURCE=2:启用源代码级缓冲区溢出检测;-Wall -Wextra:开启所有警告信息,提前发现潜在问题;-O2:优化代码性能的同时保持安全性(避免-Ofast可能带来的未定义行为)。
示例命令:g++ -o myapp myapp.cpp -fstack-protector-strong -D_FORTIFY_SOURCE=2 -Wall -Wextra
clang-tidy、cppcheck等工具扫描代码,识别未初始化变量、内存泄漏、SQL注入等安全问题:clang-tidy your_code.cpp -- -std=c++17
cppcheck --enable=all your_code.cpp
Valgrind检测内存错误(如越界访问、内存泄漏):valgrind --leak-check=full ./myapp
#include <regex>
bool isValidInput(const std::string& input) {
std::regex pattern("^[a-zA-Z0-9]+$");
return std::regex_match(input, pattern);
}
std::vector、std::string)替代C风格数组,避免手动new/delete导致的内存泄漏或越界;使用智能指针(如std::unique_ptr、std::shared_ptr)自动管理内存生命周期。strcpy、sprintf等不安全函数,替换为strncpy、snprintf等带长度限制的版本,防止缓冲区溢出:char dest[10];
strncpy(dest, src, sizeof(dest) - 1);
dest[sizeof(dest) - 1] = '\0'; // 手动添加终止符
root权限执行非必要操作(如文件写入系统目录),降低权限提升风险。myappuser)运行C++程序,避免以root身份启动:sudo useradd -r -s /sbin/nologin myappuser # 创建无登录权限的系统用户
sudo chown myappuser:myappuser /path/to/myapp # 更改程序所有者
sudo chmod 755 /path/to/myapp # 设置合理权限
sudo -u myappuser ./myapp以专用用户身份运行程序。rsyslog记录程序运行日志,便于排查安全事件;使用Prometheus+Grafana监控系统资源(CPU、内存、磁盘)和程序行为(如异常进程创建、网络连接),及时发现异常:sudo yum install rsyslog -y
sudo systemctl enable rsyslog
sudo systemctl start rsyslog
/var/log/messages、/var/log/secure)和程序日志,分析异常行为(如频繁的登录失败、未授权的文件访问);使用OpenVAS、Nessus等工具进行漏洞扫描,修复发现的安全问题。
