文件系統是CentOS系統安全的核心層級,需通過掛載配置、權限管理、加密保護、審計監控等多維度措施強化防護,以下是具體方案:
避免加載高風險或不必要的文件系統(如CramFS、freevxfs、jffs2、hfs、squashfs、udf、FAT等),減少潛在攻擊面。配置方法:創建/etc/modprobe.d/CIS.conf
文件,添加blacklist <文件系統名>
指令;通過modprobe -n -v <文件系統名>
驗證是否禁止載入,用lsmod | grep <文件系統名>
確認未加載。
對臨時目錄(/tmp、/var/tmp)、共享內存目錄(/dev/shm)及可移動介質(U盤、移動硬盤)等分區,啟用nodev
(禁止特殊設備文件)、nosuid
(禁止setuid權限)、noexec
(禁止執行二進制文件)選項,防止惡意代碼通過掛載點執行。配置方法:編輯/etc/fstab
文件,在對應分區掛載項添加nodev,nosuid,noexec
;執行mount -o remount,<選項> <目錄>
重新掛載,用mount | grep <目錄>
驗證生效。
通過chattr
命令設置文件系統屬性,防止關鍵文件被篡改或刪除:
i
屬性(不可修改、重命名、刪除);a
屬性(僅允許追加內容,禁止修改/刪除)。chattr +i /bin
、chattr +a /var/log/messages
;用lsattr <文件/目錄>
驗證屬性是否生效。chmod
限制文件訪問權限(如普通文件設為644
,目錄設為755
),避免過度授權;用chown
確保文件所有者正確(如系統文件歸root所有)。777
或文件設為666
。/etc/profile
或用戶配置文件(如~/.bashrc
)設置umask 027
,默認創建的文件權限為644
(rw-r–r–),目錄為755
(rwxr-xr-x),減少不必要的寫權限。SELinux通過**強制訪問控制(MAC)**限制進程權限,彌補傳統權限模型的不足。配置方法:
getenforce
(Enforcing為啟用,Permissive為寬松模式);/etc/selinux/config
文件,設置SELINUX=enforcing
;semanage
、setsebool
等命令調整SELinux策略(如允許Apache訪問特定目錄)。使用**LUKS(Linux Unified Key Setup)**對敏感分區(如/home、/var)或邏輯卷進行加密,確保數據在存儲時的機密性。配置步驟:
cryptsetup
工具:yum install cryptsetup
;cryptsetup luksFormat /dev/sdX
(替換為目標分區);cryptsetup luksOpen /dev/sdX encrypted_home
;mkfs.ext4 /dev/mapper/encrypted_home
、mount /dev/mapper/encrypted_home /home
。rsyslog
和auditd
服務,記錄文件訪問、修改等操作(如/var/log/secure
記錄登錄日志,/var/log/audit/audit.log
記錄審計事件);ausearch
、aureport
工具分析審計日志,及時發現異常行為(如未經授權的文件修改);lynis
、OpenVAS
等工具掃描文件系統漏洞,修復已知風險。制定定期備份計劃,使用tar
、rsync
、Bacula
等工具備份重要數據(如/etc、/home、/var),存儲到異地或離線介質(如磁帶、NAS);測試備份的可恢復性,確保數據丟失或系統損壞時能快速恢復。
以上措施需結合系統實際環境調整,形成“配置-監控-審計”的閉環管理,持續提升CentOS文件系統的安全性。