centos系统清理的安全建议

CentOS系统安全清理的关键步骤与建议

一、清理前必备安全措施

备份重要数据是清理操作的前提，可使用rsync或系统自带工具备份/home、/etc、/var等关键目录（如sudo rsync -avz /home /backup/home）。使用sudo权限而非root直接操作，避免误删系统文件；操作前确认命令路径（如which rm），防止恶意程序篡改命令。

二、系统更新与冗余组件清理

1. 更新系统：运行sudo yum update -y（CentOS 8及以上用dnf update -y）修复安全漏洞，减少潜在攻击面。
2. 移除无用软件包：用sudo yum autoremove -y（或dnf autoremove -y）删除不再被任何软件依赖的包，降低系统复杂度。
3. 清理包缓存：执行sudo yum clean all（或dnf clean all）清除YUM/DNF下载的缓存文件，释放/var/cache/yum或/var/cache/dnf空间。
4. 删除旧内核：使用sudo package-cleanup --oldkernels --count=1保留最新1个内核，避免旧内核占用空间且可能存在的漏洞。

三、日志与临时文件安全管理

1. 日志文件清理：
   • 截断大日志（如超过50MB且超过7天）：find /var/log -type f -name "*.log" -size +50M -mtime +7 -exec truncate -s 0 {} \;；
   • 删除旧日志（超过30天）：find /var/log -type f -name "*.log" -mtime +30 -exec rm -f {} \;；
   • 用logrotate工具（sudo logrotate /etc/logrotate.conf）配置自动轮转（如保留7天日志、压缩旧日志），避免日志无限增长。
2. 临时文件清理：
   • 清理/tmp和/var/tmp目录：sudo rm -rf /tmp/* /var/tmp/*（注意：/tmp通常重启后清空，但手动清理更及时）；
   • 用systemd-tmpfiles工具（sudo systemd-tmpfiles --clean）按系统配置清理临时文件；
   • 设置定时任务（如每天凌晨2点执行）：编辑crontab -e添加0 2 * * * find /tmp -type f -mtime +7 -exec rm -f {} \;，实现自动化。

四、用户与服务管理强化

1. 检查多余用户：运行cut -d: -f1 /etc/passwd | grep -vE '^root|daemon|bin|sys|sync|games|man|lp|mail|news|uucp|proxy|www-data|backup|list|irc|gnats|nobody|systemd-network|systemd-resolve|messagebus|polkitd|sshd|httpd|nginx'，识别非必要用户（如测试账户），用sudo userdel -r username彻底删除（-r选项同时删除家目录和邮件池）。
2. 禁用无用服务：
   • 列出所有服务：systemctl list-unit-files --type=service；
   • 禁用并停止不需要服务（如telnet、cups）：sudo systemctl disable service_name && sudo systemctl stop service_name，减少攻击面。

五、安全工具与配置加固

1. 使用安全扫描工具：安装lynis（sudo yum install lynis -y）运行sudo lynis audit system，检测系统漏洞（如弱密码、未授权服务）并提供修复建议。
2. 强化SSH访问：
   • 修改SSH端口（sudo vi /etc/ssh/sshd_config，将Port 22改为其他端口，如Port 2222）；
   • 禁用密码登录（设置PasswordAuthentication no），仅允许密钥认证（PubkeyAuthentication yes）；
   • 重启SSH服务：sudo systemctl restart sshd，降低暴力破解风险。
3. 配置SELinux：确保SELinux处于enforcing模式（sudo setenforce 1），编辑/etc/selinux/config将SELINUX=disabled改为SELINUX=enforcing，增强系统访问控制。
4. 配置防火墙：
   • 使用firewalld（推荐）：sudo firewall-cmd --permanent --zone=public --add-service=http --add-service=https，仅开放必要端口，然后sudo firewall-cmd --reload；
   • 或用iptables：添加规则sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT（允许HTTP），保存规则（sudo service iptables save）。

六、其他安全清理建议

1. 清理Swap分区：若Swap分区占用过高，可关闭（sudo swapoff -a）、删除（如LV分区用lvremove /dev/centos/swap），并修改/etc/fstab注释Swap挂载，减少潜在攻击入口。
2. 清理浏览器与应用缓存：定期清理浏览器缓存（如Chrome的chrome://settings/clearBrowserData），以及应用缓存（如Apache的/var/cache/httpd、MySQL的/var/lib/mysql），释放空间并保护隐私。

通过以上步骤，可有效清理CentOS系统中的冗余文件、降低安全风险，同时保持系统性能。需定期（如每月）执行清理任务，并监控系统日志（tail -f /var/log/secure）及时发现异常。