CentOS系統安全清理指南

以下是CentOS系統安全清理指南，涵蓋關鍵操作步驟及安全要點：

一、系統基礎清理

1. 更新系統與軟件包

   sudo yum update -y  # 更新系統及軟件包，修復漏洞  
   sudo yum autoremove -y  # 刪除無用依賴包  
   

2. 清理緩存與臨時文件

   sudo yum clean all  # 清理YUM緩存  
   rm -rf /tmp/* /var/tmp/*  # 清理臨時文件（謹慎操作，避免誤刪）  
   

3. 管理日志文件

   sudo journalctl --vacuum-time=2weeks  # 保留2周內日志，清理舊日志  
   # 手動刪除/var/log下過期日志（需確認非關鍵日志）  
   

二、服務與權限優化

1. 禁用/刪除不必要的服務

   sudo systemctl list-unit-files --type=service | grep enabled  # 查看已啟用服務  
   sudo systemctl disable <服務名>  # 禁用非必要服務（如Telnet、FTP）  
   sudo systemctl stop <服務名>  # 停止正在運行的服務  
   

2. 強化用戶權限管理
   • 禁用root遠程登錄：編輯/etc/ssh/sshd_config，設置PermitRootLogin no，并使用普通用戶+sudo操作。
   • 限制sudo權限：通過visudo配置sudoers文件，僅允許特定用戶執行關鍵命令。
   • 刪除冗余用戶：檢查/etc/passwd，刪除非必要用戶（如adm、lp等），并鎖定默認賬戶。

三、安全策略配置

1. 配置防火墻

   sudo firewall-cmd --permanent --zone=public --add-service=http --remove-service=ftp  # 開放必要端口，關閉非必要服務  
   sudo firewall-cmd --reload  # 重新加載防火墻規則  
   

2. 啟用安全機制
   • SELinux：確保狀態為Enforcing，配置強制訪問控制策略。
   • SSH密鑰認證：禁用密碼登錄，使用密鑰對驗證（編輯/etc/ssh/sshd_config，設置PasswordAuthentication no）。

四、安全工具與審計

1. 定期掃描系統漏洞

   sudo yum install lynis -y  # 安裝安全審計工具  
   sudo lynis audit system  # 執行系統安全掃描，根據報告修復問題  
   

2. 監控系統活動
   • 使用auditd記錄關鍵操作，分析異常行為。
   • 通過top/htop監控進程，識別異常資源占用。

五、注意事項

• 備份重要數據：清理前使用rsync或tar備份關鍵文件至外部存儲。
• 測試環境驗證：生產環境操作前，先在測試環境驗證清理步驟，避免影響業務。
• 謹慎操作權限：避免誤刪系統關鍵文件（如/etc、/var/log），使用chattr鎖定重要配置文件。

參考來源：[1,2,3,4,5,6,7,8,9,10,11]