CentOS Stream 8安全性能如何保障

CentOS Stream 8 安全保障要点

一 版本与更新策略

• 认清版本定位：CentOS Stream 8 是滚动更新的开发版，位于 RHEL 的上游，更新节奏快于传统稳定版，适合需要快速获得新特性的场景，但对生产环境的稳定性与合规要求更高。若业务需要长期安全支持，应评估替代发行版或迁移路径。
• 保持系统最新：使用 DNF 及时更新内核与软件包（如执行 sudo dnf update），修复已知漏洞。DNF 是 CentOS Stream 8 的推荐包管理工具，YUM 仍可用。
• 自动化安全更新：安装并启用 dnf-automatic，配置为仅下载并安装安全更新，减少暴露窗口（如 sudo dnf install dnf-automatic 并启用对应 timer）。
• 迁移与升级：如仍在 CentOS Linux 8，可切换到 CentOS Stream 8：执行 sudo dnf swap centos-linux-repos centos-stream-repos 后 sudo dnf distro-sync；升级后需重启以启用新内核。

二 加固与访问控制

• 账户与口令
  • 清理冗余或共享的高权限账户，锁定/删除不必要的 UID 0 账户；检查空口令账户。
  • 强化口令策略：在 /etc/login.defs 设置 PASS_MIN_LEN 10，要求包含大小写字母、数字与特殊字符。
  • 保护关键文件：对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可变属性（sudo chattr +i ...），防止被篡改。
  • 会话超时：在 /etc/profile 设置 TMOUT=300（5 分钟无操作自动注销）。
• 服务最小化
  • 停用不需要的服务（如 bluetooth、cups、autofs 等），减少攻击面。
  • 限制服务启动权限，仅允许 root 管理。
• SSH 安全
  • 禁止 root 远程登录：sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
  • 仅允许特定用户：sudo sed -i 's/AllowUsers.*/AllowUsers youruser/' /etc/ssh/sshd_config
  • 禁止空密码：sudo sed -i 's/PermitEmptyPasswords yes/PermitEmptyPasswords no/' /etc/ssh/sshd_config
  • 修改后重启 SSH：sudo systemctl restart sshd
• 登录终端与本地安全
  • 通过 /etc/securetty 限制 root 可登录的终端。
  • 禁用 Ctrl+Alt+Delete 重启组合键，降低本地物理攻击风险。

三 网络与防火墙

• 启用并持久化 firewalld：sudo systemctl start firewalld && sudo systemctl enable firewalld
• 区域与接口：设置默认区域为 public，将 eth0 等接口加入相应区域：sudo firewall-cmd --set-default-zone=public；sudo firewall-cmd --zone=public --add-interface=eth0
• 服务与端口
  • 放行必要服务（如 SSH）：sudo firewall-cmd --permanent --add-service=ssh && sudo firewall-cmd --reload
  • 放行 HTTP/HTTPS：sudo firewall-cmd --permanent --add-service=http --add-service=https && sudo firewall-cmd --reload
  • 按源地址精细放行：sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port port="80" protocol="tcp" accept' && sudo firewall-cmd --reload
• 变更生效：所有带 –permanent 的规则需执行 sudo firewall-cmd --reload 后生效。

四 运行维护与监控

• 持续更新与补丁：定期执行 sudo dnf update，并启用 dnf-automatic 仅安装安全更新，形成“发现—评估—修补”的闭环。
• 主机加固与巡检：使用 Nmap、Nikto 等工具进行端口与服务面探测、Web 漏洞基线检查，结合结果收敛暴露面与修复问题。
• 备份与变更管理：变更前备份关键配置（如 /etc/ssh/sshd_config、/etc/firewalld/），变更后验证与回滚预案，确保可观测与可恢复。

五 生命周期与替代方案

• 生命周期提醒：有资料指出 CentOS Stream 8 已结束维护，官方不再提供 YUM 源 与系统/软件安全更新，继续使用存在显著风险。若无法立即迁移，建议至少隔离网络、最小化暴露面并严格变更控制。
• 迁移建议：优先迁移到仍在维护的 RHEL、Rocky Linux、AlmaLinux 或 Debian/Ubuntu LTS 等发行版，以获得持续的安全更新与合规支持。