centos extract配置安全問題

CentOS Extract配置安全加固指南

1. 身份認證與權限管理

• sudo權限精細化控制：通過visudo命令編輯/etc/sudoers文件，僅為特定用戶或用戶組分配extract命令的執行權限（如username ALL=(ALL) NOPASSWD: /bin/tar -xvf *），避免root權限濫用。若需密碼保護，可移除NOPASSWD選項。
• 強化口令策略：使用pam_cracklib模塊（修改/etc/pam.d/system-auth）設置口令復雜度（至少8位，包含大小寫字母、數字和特殊字符）；配置/etc/pam.d/system-auth中的auth required pam_tally2.so deny=5 unlock_time=300，限制認證失敗5次后鎖定賬戶300秒。
• 最小權限原則：通過chmod（如chmod 700 /path/to/archive）、chown（如chown user:user /path/to/archive）和setfacl（如setfacl -m u:specificuser:r-- /path/to/archive）限制文件訪問權限，僅為必要用戶分配讀取/執行權限。

2. 系統與服務加固

• 禁用非必要服務與賬戶：刪除默認無用賬戶（如adm、lp、sync，通過userdel命令）；禁用不必要的系統服務（如xinetd若未使用，通過systemctl disable xinetd），減少攻擊面。
• 限制root直接登錄：修改/etc/ssh/sshd_config中的PermitRootLogin no，禁止root賬戶通過SSH直接登錄，改用普通用戶登錄后切換（su - username）。
• SELinux強制模式配置：啟用SELinux（setenforce 1），通過semanage工具配置針對性策略（如限制tar命令僅能解壓到指定目錄），增強系統強制訪問控制。

3. 網絡與訪問控制

• 防火墻規則配置：使用firewalld（firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept'）或iptables，僅開放必要端口（如SSH的22端口），限制對extract相關服務（如xinetd的端口）的訪問。
• 限制NFS訪問：若涉及NFS共享解壓，編輯/etc/exports文件，設置嚴格權限（如/shared *(ro,sync,no_root_squash)改為/shared 192.168.1.10(rw,sync,no_subtree_check)），僅允許可信IP訪問。

4. 數據與系統維護

• 軟件更新與補丁管理：定期運行yum update -y更新系統及tar、gzip等解壓工具，修補已知安全漏洞。
• 日志審計與監控：啟用rsyslog或auditd，定期檢查/var/log/secure（認證日志）、/var/log/messages（系統日志）中的異常記錄（如頻繁的tar解壓操作）；使用logwatch或ELK Stack進行日志分析，及時發現未授權訪問。
• 數據加密與備份：使用LUKS（cryptsetup luksFormat /dev/sdb1）加密敏感數據分區；定期通過rsync或tar+gpg（tar czvf - /path/to/data | gpg -c > data.tar.gz.gpg）備份關鍵數據，防止勒索軟件或數據丟失。

5. 特殊場景：xinetd中的extract模塊加固

若使用xinetd提供extract服務（如tftp的extract模塊），需額外配置：

• 最小權限運行：修改/etc/xinetd.d/extract中的server_uid = nobody、server_gid = nobody，降低服務運行權限；
• 限制訪問源：在/etc/xinetd.d/extract中添加only_from = 192.168.1.0/24，僅允許可信網絡訪問；
• 啟用TLS加密：若傳輸敏感數據，配置ssl選項（需生成證書），使用openssl s_client -connect server:port -showcerts驗證加密有效性。