CentOS C++配置安全設置指南
sudo yum update -y,修復操作系統及依賴庫的已知漏洞,降低被攻擊風險。firewalld(推薦)或iptables限制不必要的網絡訪問。例如,開放HTTP/HTTPS端口并默認拒絕其他流量:sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
sudo setenforce 1 # 臨時啟用
sudo sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config # 永久生效
audit2allow工具分析日志并生成自定義策略模塊,解決SELinux攔截的合法操作問題。-fstack-protector-strong:啟用強棧保護,防止棧溢出攻擊;-D_FORTIFY_SOURCE=2:啟用源代碼級緩沖區溢出檢測;-Wall -Wextra:開啟所有警告信息,提前發現潛在問題;-O2:優化代碼性能的同時保持安全性(避免-Ofast可能帶來的未定義行為)。
示例命令:g++ -o myapp myapp.cpp -fstack-protector-strong -D_FORTIFY_SOURCE=2 -Wall -Wextra
clang-tidy、cppcheck等工具掃描代碼,識別未初始化變量、內存泄漏、SQL注入等安全問題:clang-tidy your_code.cpp -- -std=c++17
cppcheck --enable=all your_code.cpp
Valgrind檢測內存錯誤(如越界訪問、內存泄漏):valgrind --leak-check=full ./myapp
#include <regex>
bool isValidInput(const std::string& input) {
std::regex pattern("^[a-zA-Z0-9]+$");
return std::regex_match(input, pattern);
}
std::vector、std::string)替代C風格數組,避免手動new/delete導致的內存泄漏或越界;使用智能指針(如std::unique_ptr、std::shared_ptr)自動管理內存生命周期。strcpy、sprintf等不安全函數,替換為strncpy、snprintf等帶長度限制的版本,防止緩沖區溢出:char dest[10];
strncpy(dest, src, sizeof(dest) - 1);
dest[sizeof(dest) - 1] = '\0'; // 手動添加終止符
root權限執行非必要操作(如文件寫入系統目錄),降低權限提升風險。myappuser)運行C++程序,避免以root身份啟動:sudo useradd -r -s /sbin/nologin myappuser # 創建無登錄權限的系統用戶
sudo chown myappuser:myappuser /path/to/myapp # 更改程序所有者
sudo chmod 755 /path/to/myapp # 設置合理權限
sudo -u myappuser ./myapp以專用用戶身份運行程序。rsyslog記錄程序運行日志,便于排查安全事件;使用Prometheus+Grafana監控系統資源(CPU、內存、磁盤)和程序行為(如異常進程創建、網絡連接),及時發現異常:sudo yum install rsyslog -y
sudo systemctl enable rsyslog
sudo systemctl start rsyslog
/var/log/messages、/var/log/secure)和程序日志,分析異常行為(如頻繁的登錄失敗、未授權的文件訪問);使用OpenVAS、Nessus等工具進行漏洞掃描,修復發現的安全問題。
