centos进程安全防护怎么做

CentOS 进程安全防护清单

一 身份与权限最小化

• 以非 root运行服务，按需通过 sudo 授权；禁用或锁定不必要的超级账户，排查 UID 为 0 的账户：cat /etc/passwd | awk -F: '{print $1,$3}' | grep ' 0$'；必要时使用 passwd -l <用户> 锁定、usermod -s /sbin/nologin <用户> 禁止登录。
• 清理或禁用不必要的服务与端口，仅保留业务必需项，降低被滥用的风险。
• 强化 SSH：禁用 root 远程登录、启用公钥认证、限制可登录来源网段。
• 保护关键文件：chattr +i /etc/passwd /etc/shadow /etc/sudoers 防止被篡改；仅使用受信任软件源并及时更新。
• 启用 SELinux（建议 Enforcing），用 sestatus 查看状态，必要时进行策略调优以约束进程权限。

二 资源与运行隔离

• 通过 cgroups/systemd 为关键服务设置 CPU、内存、IO 限额，避免单进程耗尽资源或被滥用。
• 配置用户/进程资源上限：编辑 /etc/security/limits.conf（示例：* soft nofile 4096、* hard nofile 65536、* hard nproc 4096），新登录会话生效；当前会话可用 ulimit -n 4096 临时调整。
• 内核参数加固（写入 /etc/sysctl.conf 并执行 sysctl -p）：
  • 网络：net.ipv4.conf.all.accept_source_route=0、net.ipv4.conf.all.send_redirects=0、net.ipv4.conf.all.accept_redirects=0、net.ipv4.conf.all.secure_redirects=0、net.ipv4.ip_forward=0
  • 内存：vm.overcommit_memory=2、vm.swappiness=10
• 控制 OOM 风险：对关键进程写入较小负值到 /proc//oom_score_adj（如 -100），降低被 OOM Killer 选中概率。
• 限制并发与抗 DoS：用 iptables 限制单源并发连接数、启用 SYN Cookie；按需设置用户级并发限制。

三 可执行文件与提权风险控制

• 严控 SUID/SGID 程序：定期巡检并清理不必要的 SUID/SGID 可执行文件（示例：find / -perm -4000 -o -perm -2000 -type f 2>/dev/null），仅保留 passwd 等确有必要的程序。
• 最小权限运行：为服务创建专用系统用户（无登录 shell、最小属主/属组与权限），避免使用 root 直接启动。
• 精细访问控制：对敏感目录使用 ACL（setfacl/getfacl）实现用户/组粒度的访问限制。
• 强制访问控制：保持 SELinux Enforcing，对偏离默认策略的行为进行最小化的策略放行。

四 网络与入口防护

• 启用并配置 firewalld：systemctl enable --now firewalld；仅放行必要服务/端口（如 firewall-cmd --add-service=ssh --permanent && firewall-cmd --reload）。
• 限制暴露面：关闭未使用的服务（如 telnet/ftp），减少被入侵后横向移动与恶意进程注入的机会。
• 加密通信：远程管理使用 SSH，对外服务启用 TLS/HTTPS，避免凭据与数据在明文通道传输。

五 监控审计与响应

• 持续监控与告警：使用 ps/top、日志审计工具与自定义脚本，关注异常进程名、父子关系、启动参数、网络连接与资源占用。
• 日志管理：集中采集与轮转关键日志（如 secure、messages、audit.log），防止日志被占满或篡改。
• 入侵处置：对可疑进程使用 kill <pid> 优雅终止，必要时 kill -9 <pid>；结合 firewalld 封禁来源 IP，并保留现场取证信息。
• 备份恢复：建立自动化备份与离线/异地存储策略，确保被入侵后可快速恢复业务。
• 安全维护：定期更新系统与软件包、进行漏洞扫描与安全审计，及时修补弱点。