centos文件管理如何保障数据安全

CentOS 文件管理的数据安全实践

一 身份与访问控制

• 坚持最小权限原则：按职责划分用户与组，只授予完成任务所需的最低权限，避免共享高权限账号。
• 基础权限与所有权：用 chmod/chown/chgrp 设置权限与属主属组，典型安全基线为：敏感文件 600（仅属主读写）、敏感目录 700（仅属主读写执行）。
• 细粒度授权：在复杂共享场景下启用 ACL（setfacl/getfacl），为特定用户/组追加权限，突破传统 rwx 三套权限的限制。
• 默认权限控制：设置合理的 umask（如 027），确保新建文件/目录不会过度开放。
• 特殊权限谨慎用：SUID/SGID/Sticky Bit 功能强大但风险高，仅在确有必要时使用，并严格评估影响。
• 关键系统文件加固：对 /etc/passwd、/etc/shadow、/etc/group、/etc/gshadow 等使用 chattr +i 设置不可更改属性，降低被篡改风险。

二 传输与完整性校验

• 安全拷贝与移动：本地用 cp -i/-p（交互确认、保留属性），远程用 scp -r/-P 基于 SSH 加密传输；处理大量/增量数据优先 rsync。
• 完整性校验：传输或备份后使用 md5sum/sha256sum 校验，确保文件未在传输或落盘过程中被篡改。
• 自动化与幂等：在脚本中结合 -i、-p、校验和与日志记录，减少误操作与“看不见的损坏”。

三 加密与密钥管理

• 文件/归档级加密：用 GnuPG 对敏感文件进行对称或公钥加密；示例：
  • 对称加密：gpg --symmetric --cipher-algo AES256 sensitive_file.txt
  • 解密：gpg --decrypt sensitive_file.txt.gpg
• 磁盘/分区级加密：用 LUKS 加密整盘或分区，示例：
  • 初始化：cryptsetup luksFormat /dev/sdX
  • 打开：cryptsetup open /dev/sdX my_encrypted_disk
  • 格式化与挂载：mkfs.ext4 /dev/mapper/my_encrypted_disk && mount /dev/mapper/my_encrypted_disk /mnt
• 目录级加密：用 eCryptfs 对特定目录加密，示例：
  • 挂载：mount -t ecryptfs /encrypted_folder /encrypted_folder（按提示设置密码与算法）
• 密钥与口令：使用高强度口令与密钥托管（如 GPG 私钥受口令保护并妥善备份），严禁将密钥与加密数据同处存放。

四 审计监控与备份恢复

• 强制访问控制与系统加固：启用并保持 SELinux 为 Enforcing，必要时配置最小权限策略；关闭不必要的服务与端口，减少攻击面。
• 登录与命令审计：启用日志与审计服务，记录 SSH 登录与关键操作；定期用 ausearch 等工具审计异常行为。
• 文件系统审计：用 auditd 对敏感文件/目录设置监控规则，追踪读取、修改、删除等访问。
• 备份策略：制定定期与异地/离线备份，采用 rsync/tar 等工具并结合校验和验证；保留多版本与恢复演练流程，确保可恢复性。

五 常见场景与配置示例

• Web 站点目录（以 Apache 为例）：
  • 设置属主属组：chown -R apache:apache /var/www/html/your_site
  • 权限基线：目录 755、文件 644；上传目录可用 775 并将 Web 服务用户加入对应组（尽量避免 777）。
  • SELinux 上下文：
    • 只读内容：semanage fcontext -a -t httpd_sys_content_t "/var/www/html/your_site(/.*)?"
    • 可写目录：semanage fcontext -a -t httpd_sys_rw_content_t "/var/www/html/your_site/upload(/.*)?"
    • 应用：restorecon -Rv /var/www/html/your_site
• 批量修复权限（示例）：
  • 仅目录 755：find /var/www/html/your_site -type d -exec chmod 755 {} \;
  • 仅文件 644：find /var/www/html/your_site -type f -exec chmod 644 {} \;
• 安全传输与校验：
  • 远程拷贝：scp -r -P 2222 project/ user@host:/backup/project-$(date +%F)
  • 完整性：sha256sum project.tar.gz && sha256sum -c project.tar.gz.sha256
• 加密与解密：
  • GPG 对称加密：gpg --symmetric --cipher-algo AES256 project.tar.gz
  • GPG 解密：gpg --decrypt project.tar.gz.gpg > project.tar.gz
• 目录级加密（eCryptfs）：
  • 初始化与挂载：mount -t ecryptfs /encrypted /encrypted（按需选择密码与算法）
  • 卸载：umount /encrypted
• 审计敏感文件：
  • 添加规则：auditctl -w /var/www/conf/ -p wa -k web_conf_access
  • 查询：ausearch -k web_conf_access