CentOS 防范 Exploit 漏洞的实用清单
一 基础加固
- 保持系统与软件包为最新:执行yum update或dnf update;为关键补丁建立变更窗口,必要时重启服务或系统。启用自动更新(如yum-cron)以缩短暴露时间。
- 最小安装与攻击面收敛:仅安装必要组件;用systemctl list-unit-files --state=enabled查看并禁用不需要的服务;用netstat -tulpen或ss -tulpen关闭高危端口与进程。
- 账户与权限治理:禁用或删除不必要的账户(如adm、lp、sync、shutdown、halt、mail、operator、games、ftp);为root以外账户设置强口令(长度≥10位,含大小写字母、数字与特殊字符);遵循最小权限原则,日常使用普通账户并通过sudo提权;必要时用chattr +i保护**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**等关键文件属性。
- 启用强制访问控制:将SELinux设为Enforcing并维持默认策略,仅在明确需求时做最小化的策略放宽。
二 网络与远程访问
- 边界与端口控制:使用firewalld或iptables仅放行必要端口(如22/80/443);对管理口与业务口进行网段白名单限制;定期审计开放端口与服务。
- SSH 安全基线:编辑**/etc/ssh/sshd_config**,将默认端口22改为非常用端口;设置PermitRootLogin no;启用PubkeyAuthentication yes并关闭PasswordAuthentication(或至少限制为仅内网可用);重启sshd生效。
- 抗暴力破解:部署Fail2Ban,对多次失败的登录来源自动封禁,降低爆破成功率。
三 日志审计与入侵检测
- 集中审计与留痕:启用并启动auditd,记录关键系统调用与文件访问;使用journalctl -u sshd与tail -f /var/log/secure实时查看认证与异常行为;定期归档与异地保存审计日志。
- 主动监测与扫描:部署IDS/IPS(如Snort)识别可疑流量与行为;定期开展漏洞扫描(如OpenVAS、Nessus)与基线核查,闭环修复发现的问题。
四 应用与数据安全
- 加密通信:对外服务启用TLS/HTTPS(配置有效证书),禁用明文协议与弱加密套件;对管理通道与敏感数据传输统一走加密链路。
- 备份与恢复:制定定期与离线备份策略(如rsync到隔离存储),并进行周期性恢复演练,确保被入侵后可快速回滚与取证。
五 事件响应与修复流程
- 确认与隔离:第一时间将疑似受感染主机从网络隔离;保留现场并备份关键日志与内存镜像,避免清理痕迹影响取证。
- 分析与修复:结合日志与流量分析攻击路径与影响范围;针对具体漏洞应用官方补丁或升级组件/内核,必要时重建initramfs与GRUB2;修复后重启相关服务或整机并验证。
- 恢复与加固:分阶段恢复业务,撤销临时放宽的安全策略;全面扫描确认无残留后,复盘并更新防护基线。
