centos filesystem安全性如何保障

CentOS 文件系统安全性保障

一 权限与访问控制

• 按最小权限原则配置：用 chmod/chown/chgrp 设置文件与目录的 rwx，对系统目录（如 /bin /sbin /usr /boot /lib）保持系统默认的安全权限，避免对“其他用户”开放写/执行。对共享目录按需使用 ACL（setfacl/getfacl） 精确授权，避免把“其他人”权限放宽。谨慎使用 SUID/SGID/Sticky Bit，仅对确有必要的系统二进制与协作目录使用，降低提权与误删风险。统一并设置安全的 umask（如 027），确保新建文件/目录默认权限不过度开放。对关键系统文件（如 /etc/passwd /etc/shadow /etc/group /etc/gshadow）设置不可变属性 chattr +i，防止被未授权篡改。以上措施能显著降低越权访问与篡改的可能性。

二 挂载选项与分区策略

• 对临时与共享目录（如 /tmp /var/tmp /dev/shm 及可移动介质）启用挂载选项：nodev（禁止设备文件）/nosuid（禁止 setuid）/noexec（禁止执行），阻断通过设备文件、提权二进制或脚本在临时目录执行的路径。示例：编辑 /etc/fstab 为相应挂载点追加选项，并执行 mount -o remount,noexec,nosuid,nodev <目录> 生效。对业务数据分区采用独立分区与合适的挂载选项，减少“一损俱损”的风险。对含敏感数据的分区或磁盘，使用 LUKS 进行磁盘/分区级加密：如 cryptsetup luksFormat /dev/sdX → cryptsetup luksOpen → mkfs.ext4 /dev/mapper/ → mount，并在 /etc/fstab 配置开机映射与挂载；如需加密特定目录，可考虑 EncFS/eCryptfs 方案。加密会带来一定性能开销，需结合业务与恢复流程评估。

三 完整性保护与系统加固

• 启用 SELinux 强制访问控制（建议保持 enforcing），对关键目录与进程设置正确的 type/bool，减少被攻破后的横向移动空间。保护 引导加载器：将 /boot/grub2/grub.cfg 等文件权限设为 root:root 600/og-rwx，防止引导参数被篡改；为 rescue/emergency 模式启用 sulogin，确保单用户恢复也需要认证。限制核心转储：在 /etc/security/limits.conf 设置 hard core 0，并在 /etc/sysctl.conf 设置 fs.suid_dumpable=0，降低敏感信息通过 core 文件泄露的风险。按需禁用不必要的文件系统模块（如 cramfs/freevxfs/jffs2/hfs/hfsplus/squashfs/udf/FAT 等），减少攻击面。保持系统与软件**及时更新（yum update）**并启用 RPM GPG 签名校验（gpgcheck=1），防止恶意包与篡改的更新源进入系统。

四 审计与监控

• 启用并集中管理日志：确保 /var/log/messages /var/log/secure /var/log/cron 等关键日志正常采集与轮转，必要时引入 ELK 等方案进行集中分析与告警。配置 auditd 审计关键文件与目录（如 /etc/passwd /etc/shadow /var/log/ 等）的读写与属性变更，便于事后取证与异常追踪。对关键目录（如 /var/www /home）定期执行权限与 ACL 审计，清理过期授权；对系统账户与 sudoers 配置进行周期性核查，确保仅最小集用户具备提权能力。

五 快速加固清单