centos stream8如何提升系统安全性

CentOS Stream 8 系统安全加固清单

一 基础与账户安全

• 保持系统处于最新安全状态：执行dnf update -y；按需安装EPEL扩展源（如需要第三方安全工具）。
• 创建专用运维账户并加入wheel组，使用sudo执行管理命令，避免直接以root日常登录。
• 强化口令策略：口令应包含大小写字母、数字、特殊字符且长度≥10位；排查并处理空口令账户。
• 保护关键口令文件：对**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**设置不可更改属性（如：chattr +i），防止非授权篡改。
• 会话安全：设置TMOUT=300（在**/etc/profile或/etc/bashrc中），空闲5分钟自动注销；禁用Ctrl+Alt+Delete**物理重启以降风险。

二 服务与网络防护

• 启用并持久化firewalld：仅放行必需服务/端口（如SSH 22/TCP），变更后执行firewall-cmd --reload使规则生效。
• 停用并禁用不必要的系统服务，仅保留业务必需服务，减少攻击面。
• 加固SSH：禁止root远程登录（PermitRootLogin no）、禁用空密码（PermitEmptyPasswords no）、限制可登录用户（AllowUsers），并建议改用密钥认证替代口令。
• 部署fail2ban自动封禁暴力破解来源，配合防火墙形成多层防护。

三 权限与系统完整性

• 精细化sudo授权：通过visudo仅授予必要命令的最小权限，避免滥用ALL权限。
• 严格文件与目录权限：使用chmod/chown按最小权限原则配置；对关键配置与日志目录设置root属主与受限访问。
• 保持SELinux为enforcing模式，必要时通过策略与日志进行合规放行，避免直接关闭。
• 限制root登录终端：编辑**/etc/securetty**，仅允许从受控终端登录。

四 网络与内核参数加固

• 在**/etc/sysctl.conf**中启用关键安全与抗攻击参数（示例）：
  • 连接与半开连接控制：net.ipv4.tcp_max_syn_backlog=65536、net.core.netdev_max_backlog=65536
  • 文件句柄与资源上限：fs.file-max=2097152、fs.nr_open=2097152
  • TCP保活（降低僵尸连接）：net.ipv4.tcp_keepalive_time=600、net.ipv4.tcp_keepalive_probes=3、net.ipv4.tcp_keepalive_intvl=15
• 应用配置后执行sysctl -p使其生效。

五 持续运维与合规

• 建立定期安全更新机制（如每周巡检并执行dnf update），对内核与关键组件变更安排维护窗口与回滚预案。
• 启用自动安全更新（如配置dnf-automatic仅下载并安装安全更新），减少暴露时间窗口。
• 制定备份与恢复策略（配置、数据与证书分区分级备份），并定期演练恢复流程。
• 启用日志集中与审计：保留**/var/log/关键日志，配置journald持久化与远程日志收集，结合auditd**对关键文件与命令进行审计。
• 变更遵循“最小权限、最小暴露、可回滚”原则，所有加固操作先在测试环境验证，再分批上线。