CentOS文件管理安全策略
小樊
47
2026-01-10 03:47:58
CentOS文件管理安全策略
一 身份与访问控制
- 坚持最小权限原则:仅授予完成工作所需的最低权限,优先使用sudo精细授权,避免共享root密码。
- 清理与收敛账号:禁用或删除无用/共享账号,锁定长期不用的账号;定期检查空口令与UID=0的账号,确保仅root拥有UID 0。
- 口令与登录策略:通过**/etc/login.defs设置密码生命周期(如PASS_MAX_DAYS 90**、PASS_WARN_AGE 7),结合chage强制周期更换;为SSH启用密钥认证、禁用root直登,必要时限制可登录用户(如AllowUsers),并配合fail2ban抑制暴力破解。
- 远程管理加固:仅开放必要端口,使用firewalld实施“默认拒绝、按需放行”,并对管理口设置来源网段限制。
二 文件与目录权限基线
- 权限模型与默认掩码:以rwx与属主/属组/其他为基础,结合umask 027收紧新建文件/目录的默认权限;对交互式会话设置TMOUT=180减少会话暴露。
- 关键文件与目录:对**/etc/shadow、/etc/passwd、/etc/gshadow等仅赋予必要权限,必要时用chattr +i**设置不可变属性防止被篡改(变更前评估系统影响)。
- 只读的正确做法:文件只读用444,目录只读且可遍历用555;注意“删除/重命名”由父目录写权限决定,只读文件仍可能被删除或覆盖(同名重建)。
- 递归与精确控制:目录递归修改用chmod -R谨慎操作;对共享目录用ACL实现多主体细粒度授权(如:setfacl -m u:alice:rwx /data;getfacl 校验)。
- 特殊权限位:仅在明确需求时使用SUID/SGID/Sticky Bit;例如**/tmp应设置1777**(Sticky)以防越权删除。
三 文件系统与挂载安全
- 关键临时目录加固:对**/tmp、/var/tmp、/dev/shm及可移动介质分区设置挂载选项nodev、nosuid、noexec**,降低设备挂载、提权与执行风险;变更后执行**mount -o remount,…**并校验。
- 包与更新可信:确保yum/dnf仓库配置正确并全局启用gpgcheck=1,防止安装被篡改的RPM包;定期执行yum/dnf update与check-update。
- 引导与单用户防护:限制**/boot/grub2/grub.cfg与/boot/grub2/user.cfg权限为root:root,og-rwx**;为rescue.service/emergency.service配置ExecStart=/sbin/sulogin,确保单用户恢复需要认证。
- 核心转储限制:在**/etc/security/limits.conf设置hard core 0**,并在**/etc/sysctl.conf设置fs.suid_dumpable=0**,避免敏感信息通过core文件泄露。
四 SELinux强制访问控制
- 启用与模式:保持SELinux=enforcing(/etc/selinux/config),必要时用setenforce 0/1在Permissive/Enforcing间切换进行验证。
- 上下文与布尔:用ls -Z / ps -Z查看主体/客体上下文;目录默认上下文用semanage fcontext与restorecon -R修复;服务特例通过setsebool -P调整布尔值(如HTTP/FTP相关)。
- 排错方法:遇到“权限拒绝”时,按“服务配置 → 传统权限 → SELinux上下文/布尔”的顺序排查;利用**/var/log/audit/audit.log配合audit2why/audit2allow**定位并生成策略模块。
五 审计、完整性保护与持续运维
- 日志与审计:启用并集中rsyslog/journald,对**/var/log/secure、/var/log/messages、/var/log/cron等关键日志实施轮转与留存**;高安全场景部署auditd记录文件访问/系统调用,便于取证。
- 完整性校验:使用AIDE/Tripwire对**/etc、/bin、/sbin、/usr/bin**等关键目录建立基线并定期校验,及时发现未授权变更。
- 变更与复核:对权限与ACL变更采用“变更申请 → 最小权限评估 → 变更实施 → 复核与留痕”流程;例行开展季度权限审计与配置基线核查,对异常登录、权限漂移与策略告警进行闭环处置。
