centos exploit攻击防范

CentOS Exploit攻击防范清单

一 基础加固

• 保持系统与软件更新：定期执行yum/dnf update；启用自动安全更新（如yum-cron）以减少暴露窗口。最小化安装，关闭不需要的服务与端口，降低攻击面。
• 账户与权限：遵循最小权限原则，日常使用普通账户+sudo；清理无用/默认账户（如 adm、lp、sync 等）；设置强口令并定期更换；必要时对关键文件（如**/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow**）设置不可变属性（chattr +i）以防篡改。
• SSH安全：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no、仅允许特定用户（AllowUsers），禁用密码登录并启用SSH密钥认证；必要时更改默认端口（Port），并重启 sshd。
• 防火墙：优先使用firewalld仅放行必要服务（如 SSH/HTTP/HTTPS），或基于iptables实施“默认拒绝、仅放行已建立连接与必要端口”的策略。
• SELinux：保持Enforcing模式，按需调整策略以限制进程权限，避免以“关闭 SELinux”作为排障手段。
• 文件系统与登录：设置umask 027收紧新建文件权限；为 SSH 会话设置TMOUT自动超时；对关键目录设置最小权限与访问控制。

二 入侵检测与防护

• 防暴力破解：部署Fail2ban，对 SSH 等高频暴力登录进行自动封禁，缩短攻击者窗口。
• 入侵检测/防御：结合网络与主机侧IDS/IPS（如Snort）进行流量与行为监测，及时发现可疑活动。
• 完整性校验：使用AIDE等工具对系统关键文件做基线校验与定期比对，发现被篡改及时处置。
• 恶意代码防护：在需要场景部署ClamAV并更新病毒库，定期扫描以清除恶意软件残留。

三 日志审计与监控

• 审计与日志：启用并持久化auditd审计服务，记录关键系统调用与安全事件；集中收集与分析**/var/log/secure、journalctl**等日志，关注异常登录、提权与可疑命令执行。
• 集中化与告警：使用ELK Stack等方案进行日志聚合、可视化与阈值告警，缩短检测与响应时间。

四 网络与备份

• 网络隔离与分段：通过VLAN与ACL对不同安全域进行隔离，限制横向移动与数据外泄路径。
• 备份与恢复：制定定期备份（如 rsync/tar），并进行恢复演练验证可用性与完整性；重要备份应离线或异地存放。

五 漏洞处置与应急响应

• 修复优先级：出现新漏洞时，优先升级内核/软件包与应用；无法立即升级时，结合官方通告采取临时缓解（如关闭高风险模块/服务、限制访问来源、调整配置）并尽快回归修复。
• 事件响应流程：隔离受影响主机→取证与溯源（日志、进程、网络连接、持久化点位）→更换口令/密钥、撤销可疑凭据→修补与加固→验证恢复→复盘改进。
• 安全评估：定期开展漏洞扫描（如 OpenVAS、Nessus）与安全基线核查，持续降低残余风险。