CentOS Dropped后如何优化系统

CentOS 被入侵或停服后的安全优化与加固清单

一 事件处置与系统基线

• 隔离与取证：立即将服务器从生产网络或云平台安全组/VPC中隔离，保留现场；优先备份关键日志与业务数据，再做清理与加固，避免“边运行边清理”导致证据丢失或二次入侵。
• 账户与登录审计：排查隐藏账户与弱口令，使用命令查看近期登录与成功登录记录，及时禁用/删除可疑账户。示例：last、less /var/log/secure | grep 'Accepted'。
• 进程与端口排查：定位异常进程与非法监听端口，追溯可执行文件路径并清理。示例：netstat -antp、ps -ef、top、ls -l /proc/$PID/exe。
• 持久化与计划任务：检查异常启动项与定时任务，清理后门。示例：systemctl list-unit-files --type=service --state=enabled、/etc/crontab、/etc/cron.*。
• 应用与第三方组件：限制应用账户的文件系统权限，尽量以非 root运行；同步升级修复Web/数据库/中间件等组件的已知漏洞。
• 加固原则：遵循最小化安装、最小权限与默认拒绝策略，后续按需添加服务与规则。

二 系统更新与内核安全

• 全量更新与重启：执行yum check-update查看可用更新，使用yum update升级；根据更新内容重启相关服务或整机，确保新内核/库生效。
• 针对性补丁与内核升级：针对特定CVE安装官方或可信源补丁；必要时通过如ELRepo等可信渠道升级内核，修复已知漏洞。
• 验证与持续维护：更新后用yum list updates确认无待更新包；建立周期性补丁与漏洞扫描机制，持续降低暴露面。

三 身份鉴别与访问控制

• 账户清理与强密码：清理无用/默认账户，设置复杂密码（长度≥10位，包含大小写字母、数字与特殊字符）；在/etc/login.defs与/etc/pam.d/中配置密码最小长度、复杂度、重用限制与有效期。示例：PASS_MIN_LEN 10、remember=5、PASS_MAX_DAYS 90、PASS_MIN_DAYS 7。
• 禁用 root 直连 SSH：创建具备sudo权限的普通用户，编辑/etc/ssh/sshd_config设置PermitRootLogin no，优先使用SSH 密钥认证，必要时修改默认端口并同步更新云平台安全组/防火墙放行规则。
• 登录安全参数：限制失败尝试与空闲超时，降低暴力破解与会话劫持风险。示例：MaxAuthTries 4、LoginGraceTime 20、ClientAliveInterval 600、ClientAliveCountMax 3。
• 精细化访问控制：结合/etc/hosts.allow与/etc/hosts.deny或云安全组，限制管理端口（如SSH 22/自定义端口）的源 IP 访问。

四 网络与内核防护

• 边界防护：启用并配置firewalld或iptables，遵循“默认拒绝、按需放行”，仅开放80/443/SSH自定义端口等必要流量；云环境同步收紧安全组入站规则。
• 内核网络参数优化（抗 SYN Flood 等）：在/etc/sysctl.conf中调优并sysctl -p使能，示例：net.ipv4.tcp_max_syn_backlog=1024、net.core.somaxconn=1024、net.ipv4.tcp_synack_retries=2、net.ipv4.tcp_syncookies=1；同时调整应用监听队列（如 Apache 的ListenBacklog）。
• 连接速率限制：使用iptables对SYN新建连接进行限速与惩罚性丢弃，缓解洪泛流量影响。示例：新建syn-flood链并限制速率后REJECT超额流量。

五 日志审计、完整性校验与备份恢复

• 日志与审计：确保rsyslog/auditd运行，集中采集与轮转/var/log/secure、/var/log/messages等关键日志；使用ausearch等工具审计特权操作与敏感文件访问，便于快速发现异常。
• 文件完整性监控：部署AIDE建立关键系统文件与配置基线，定期校验并告警篡改行为，及时发现后门与隐蔽持久化。
• SELinux 强化：保持SELinux enforcing模式，遇到服务异常优先用audit2allow等工具生成最小必要策略，而非直接关闭。
• 备份与演练：对系统与关键数据执行定期备份（如tar/rsync到隔离存储），并进行恢复演练验证可用性与完整性；将补丁、加固与备份纳入变更流程与值班巡检。