centos进程如何安全防护

CentOS 进程安全防护实用清单

一 身份与权限最小化

• 使用最小权限原则：为服务创建专用的系统用户（如 nginx、mysql），并设置为无交互登录（如 shell 为 /sbin/nologin），避免使用共享账号。
• 通过 sudo 精细化授权：仅允许特定用户执行特定管理命令（如重启某服务），避免直接共享 root 密码。
• 限制对关键系统进程的访问：结合 PAM access、sudoers 与 ACL 控制谁能查看、信号控制或终止进程，降低横向移动风险。
• 锁定关键账号与文件：清理不必要的特权账号，锁定或移除可疑账户；对 /etc/passwd、/etc/shadow、/etc/group 等使用 chattr +i 防篡改。
• 强化登录安全：禁用 root 远程登录，使用公钥认证，并限制可登录用户集合。

二 运行环境与进程隔离

• 启用并维持 SELinux 为 enforcing：为进程、文件、端口打上细粒度标签，缩小被攻破后的权限半径；确需调试时先切 Permissive 再回归 Enforcing。
• 精简自启与依赖：仅启用必需服务，减少攻击面；对不需要的包与服务进行最小化安装与禁用。
• 资源与异常抑制：通过 ulimit 限制进程可打开文件数与栈大小；必要时调整 oom_score_adj 保护关键进程不被 OOM Killer 误杀；对网络侧可用 iptables 限制连接速率与并发，缓解资源耗尽与滥用。
• 系统加固基线：为 GRUB 设置启动密码，防止单用户模式绕过；按需调整内核网络参数（如 ICMP 策略）。

三 网络与访问控制

• 边界防护：使用 firewalld/iptables 仅放行必要端口与来源；对管理口与业务口进行分区分域与访问控制。
• 服务暴露最小化：仅对外开放必需服务；变更默认端口并限制来源网段；对管理通道（如 SSH）强制使用密钥登录并禁用 root 登录。
• 传输加密：全链路启用 SSH/TLS/HTTPS，避免明文协议与凭据泄露。

四 监控审计与响应

• 集中日志与留存：启用并监控 rsyslog，对 /var/log/secure、/var/log/messages、audit.log 等关键日志进行集中收集与长期保留；配置日志轮转防止磁盘被占满。
• 入侵检测与基线核查：定期执行安全审计与漏洞扫描，关注异常进程、异常网络连接与可疑权限变更。
• 主动告警与处置：对关键进程设置守护与自动拉起（如 systemd 的 Restart=），并建立变更与应急流程，确保可观测、可追溯、可恢复。

五 快速加固命令示例

• 服务与自启最小化
  • 查看与禁用不需要的服务：systemctl list-unit-files --type=service；systemctl disable <svc>；systemctl enable <svc>
• 登录与 SSH 加固
  • 编辑 /etc/ssh/sshd_config：PermitRootLogin no、PasswordAuthentication no、Port 2222；重启：systemctl restart sshd
• 防火墙仅放行必要端口
  • 使用 firewalld：firewall-cmd --permanent --add-service=ssh、firewall-cmd --permanent --add-port=443/tcp、firewall-cmd --reload
• 关键文件防篡改
  • 锁定账号与关键文件：chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
• 资源与 OOM 保护
  • 会话级：ulimit -n 65535；系统级：在 /etc/security/limits.conf 设置 nofile；关键进程保护：echo -1000 > /proc/<PID>/oom_score_adj
• 审计与监控
  • 实时查看登录与进程：journalctl -f -u sshd、tail -f /var/log/secure；定期审计：yum update 或 dnf update 保持补丁最新