CentOS安全防护有哪些实用技巧

CentOS 安全防护实用技巧

一 基线与补丁管理

• 保持系统与软件包为最新，优先通过官方仓库更新；先检查可更新列表，再执行升级，最后清理缓存，并在变更窗口内验证业务状态与是否需要重启。示例：sudo dnf check-update && sudo dnf update && sudo dnf clean all（或 yum）。生产环境建议先在测试环境验证，再滚动升级。
• 建立可回滚的变更流程：更新前备份关键数据与配置，更新后核对内核版本（uname -r）与服务状态，必要时安排重启窗口。
• 对关键系统启用自动安全更新（如 yum-cron/dnf-automatic），仅自动安装安全补丁，减少暴露时间。

二 身份与访问控制

• 执行最小权限原则：日常使用普通账户，通过 sudo 授权；仅将必要用户加入 wheel 组以允许 su 到 root，编辑 /etc/pam.d/su 启用 pam_wheel.so 限制。
• 强化口令策略：在 /etc/login.defs 设置如 PASS_MAX_DAYS 90、PASS_MIN_LEN 9、PASS_WARN_AGE 7；使用 pam_pwquality 强制复杂度，并定期清理长期未用账户。
• 保护关键文件：对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 设置不可变属性（chattr +i），降低被篡改风险。

三 网络与防火墙

• 以“默认拒绝、按需放行”为原则，优先使用 firewalld（CentOS 7+ 默认）：启用服务、设置默认区域、仅开放必要服务/端口，并对管理口按源地址精细化放行。示例：
  • 启动与持久化：sudo systemctl start firewalld && sudo systemctl enable firewalld
  • 放行 Web 与仅内网 SSH：
    • sudo firewall-cmd --zone=public --add-service=http --permanent
    • sudo firewall-cmd --zone=public --add-service=https --permanent
    • sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept' --permanent
    • sudo firewall-cmd --reload
• 若使用 iptables，采用“清空-设默认拒绝-放行回环与已建立连接-按需开放端口”的顺序，并注意规则持久化保存。

四 SSH 远程访问加固

• 禁用 root 远程登录：在 /etc/ssh/sshd_config 设置 PermitRootLogin no。
• 采用密钥认证并禁用密码登录：PasswordAuthentication no，将客户端公钥写入 ~/.ssh/authorized_keys。
• 限制可登录用户/组：使用 AllowUsers 或 AllowGroups 白名单控制。
• 修改默认端口并配合防火墙与 fail2ban 降低暴力破解风险；设置会话保活 ClientAliveInterval/ClientAliveCountMax 清理僵死会话。

五 服务最小化、SELinux、日志审计与备份

• 服务最小化：列出并禁用不需要的自启服务（systemctl list-unit-files --state=enabled；systemctl disable --now <svc>），减少攻击面。
• 强制访问控制：保持 SELinux 为 enforcing，必要时通过策略或布尔值适配业务，而非直接关闭。
• 日志与审计：启用并集中 rsyslog，开启 auditd 记录关键系统调用与文件访问；对关键文件部署 AIDE/Tripwire 做完整性校验。
• 入侵防护与恶意代码扫描：部署 fail2ban 自动封禁暴力来源；在需要时安装 ClamAV 并更新病毒库进行定期扫描。
• 备份与演练：制定定期全量/增量与异地备份策略，定期验证可恢复性，确保灾难场景下可快速回滚。