CentOS環境下的安全策略有哪些

CentOS環境下的安全策略

1. 賬戶與權限管理

• 禁用非必要超級用戶：通過cat /etc/passwd | awk -F: '{print $1, $3}' | grep ' 0$'檢測UID=0的非root用戶，使用passwd -l <用戶名>鎖定或修改shell為/sbin/nologin禁止登錄。
• 刪除不必要賬號：移除默認閑置賬號（如adm、lp、sync等），使用userdel <用戶名>、groupdel <組名>清理，降低攻擊面。
• 強化口令策略：修改/etc/login.defs設置PASS_MIN_LEN 10（密碼最小長度），要求包含大小寫字母、數字和特殊字符；檢查空口令賬戶awk -F: '($2 == "") {print $1}' /etc/shadow并強制設置密碼。
• 保護口令文件：使用chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow設置不可更改屬性，防止未授權修改。
• 限制su命令：編輯/etc/pam.d/su添加auth required pam_wheel.so use_uid，僅允許wheel組成員使用su切換root，降低權限濫用風險。

2. 防火墻配置

• 啟用firewalld：CentOS 7+默認使用firewalld，通過systemctl start firewalld && systemctl enable firewalld啟動并設為開機自啟。
• 設置默認區域策略：將默認區域改為drop（拒絕所有未明確允許的流量），使用firewall-cmd --set-default-zone=drop，僅開放必要端口（如SSH 22、HTTP 80）。
• 最小化開放端口：僅允許業務必需的服務端口，如firewall-cmd --zone=public --add-port=22/tcp --permanent（SSH），--reload生效；避免開放高危端口（如3389、135）。
• 使用rich規則精細化控制：通過firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' port port=22 protocol='tcp' accept"限制特定IP訪問關鍵服務，提升安全性。
• 配置日志記錄：啟用防火墻日志firewall-cmd --set-log-denied=xml，通過journalctl -u firewalld或/var/log/messages監控異常流量，及時發現攻擊行為。

3. SELinux安全增強

• 啟用SELinux：通過sestatus檢查狀態（需顯示enforcing），修改/etc/selinux/config中SELINUX=enforcing并重啟，確保強制訪問控制生效。
• 配置正確上下文：使用ls -Z查看文件/進程上下文，semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"定義持久化規則，restorecon -Rv /var/www/html應用，確保服務進程僅能訪問授權資源。
• 處理AVC拒絕：通過ausearch -m avc -ts today查看SELinux拒絕日志，使用audit2allow -M mypolicy生成自定義策略（最小化權限），semodule -i mypolicy.pp加載，解決服務運行時的權限問題。
• 遵循最小權限原則：將服務運行在專有域（如httpd_t而非unconfined_t），避免過度授權；定期審查SELinux策略，禁用不必要的布爾值（如setsebool -P httpd_can_network_connect=0）。

4. SSH服務安全

• 禁用root遠程登錄：編輯/etc/ssh/sshd_config，設置PermitRootLogin no，防止root賬戶被暴力破解。
• 使用密鑰認證：生成SSH密鑰對（ssh-keygen -t rsa），將公鑰復制到服務器ssh-copy-id user@ip，修改/etc/ssh/sshd_config設置PasswordAuthentication no，替代密碼認證，提升登錄安全性。
• 限制登錄用戶：在/etc/ssh/sshd_config中添加AllowUsers <username1> <username2>，僅允許指定用戶通過SSH登錄，減少攻擊入口。
• 修改SSH端口：將默認22端口改為高位端口（如Port 2222），降低自動化掃描攻擊概率；需同步修改防火墻規則允許新端口。

5. 系統更新與補丁管理

• 定期更新系統：使用yum update -y或dnf update -y定期更新操作系統及軟件包，修復已知安全漏洞（如內核、OpenSSL漏洞）。
• 訂閱安全公告：關注CentOS官方安全公告（如centos-announce郵件列表），及時獲取高危漏洞補丁，避免延遲修復導致系統暴露。

6. 日志與監控

• 啟用auditd審計：安裝auditd（yum install auditd -y），啟動并設為開機自啟（systemctl start auditd && systemctl enable auditd），記錄用戶操作（如sudo使用）、文件修改等關鍵事件。
• 監控關鍵日志：定期檢查/var/log/secure（認證日志）、/var/log/messages（系統日志）、/var/log/audit/audit.log（審計日志），使用grep "Failed password" /var/log/secure查找暴力破解嘗試，及時響應異常。
• 使用監控工具：部署ELK Stack（Elasticsearch+Logstash+Kibana）或Prometheus+Grafana集中收集、分析日志，設置告警規則（如頻繁登錄失?。?，提升監控效率。

7. 其他安全措施

• 禁用ctrl+alt+delete重啟：編輯/etc/inittab，注釋ca::ctrlaltdel:/sbin/shutdown -t3 -r now行，防止物理接觸或誤操作導致系統意外重啟。
• 設置登錄超時：修改/etc/profile，添加TMOUT=300（300秒無操作自動注銷），減少未授權訪問風險；需執行source /etc/profile激活。
• 備份關鍵數據：定期備份系統配置（/etc）、數據庫（如MySQL的/var/lib/mysql）、用戶數據（/home）到異地或云存儲，使用rsync或tar工具，確保數據可恢復。
• 使用安全工具：部署Fail2Ban（yum install fail2ban -y）防止SSH暴力破解，通過clamav（yum install clamav -y）掃描惡意軟件，提升系統整體安全性。