CentOS 安全防护实用清单
一 基础加固
awk -F: '($2=="")' /etc/shadow 查空口令;awk -F: '($3==0)' /etc/passwd 查 UID 为 0 的账号。PASS_MAX_DAYS 90、PASS_MIN_DAYS 0、PASS_WARN_AGE 7;用 chage 为用户设置周期与到期;通过 PAM 的 pam_pwquality.so 强制复杂度(如最小长度14、各类字符各至少1个)。auth required pam_wheel.so group=wheel,仅允许 wheel 组成员 su 到 root。TMOUT=600(在 /etc/profile 或 /etc/bashrc),统一 umask 027。systemctl disable <svc> 禁用,用 netstat -tulpen 或 ss -tulpen 检查开放端口。chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow。echo "fs.suid_dumpable = 0" >> /etc/sysctl.conf 并在 /etc/security/limits.conf 加入 hard core 0。二 网络与 SSH 安全
systemctl enable --now firewalld;按需放行端口/服务:firewall-cmd --permanent --add-service=ssh && firewall-cmd --reload;仅开放必要端口(如 22/80/443),尽量以“服务”为单位放行。PermitRootLogin no。PasswordAuthentication no,PubkeyAuthentication yes,妥善保管私钥并设置 600 权限。Protocol 2,MaxAuthTries 3;可用 AllowUsers <user>@<ip> 限制可登录用户与来源。三 补丁更新与自动化
yum update -y 获取内核与软件包修复。update_cmd=security、apply_updates=yes,并启用邮件通知。四 日志审计与入侵防护
auditctl -w /var/log/lastlog -p wa -k logins。ausearch、journalctl -xe、tail -f /var/log/secure 发现异常登录与提权行为。五 备份恢复与应急响应
netstat -tulpen、ss -s、ps auxf),定位入侵路径与持久化点,清理恶意文件与计划任务。
