centos虛擬機安全設置

CentOS虛擬機安全設置關鍵步驟

1. 賬戶安全及權限管理

• 禁用不必要的超級用戶：通過/etc/passwd文件檢測并鎖定非必要的超級賬戶（如adm、lp、sync等），防止未授權訪問。
• 強化用戶口令策略：設置復雜口令（包含大寫字母、小寫字母、數字和特殊字符，長度≥10位），可通過修改/etc/login.defs文件強制執行。
• 保護口令文件：使用chattr +i命令給/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow等文件添加不可更改屬性，防止非法修改。
• 設置root自動注銷：修改/etc/profile文件中的TMOUT參數（如TMOUT=300），設置root賬戶無操作5分鐘后自動注銷。

2. 防火墻配置

• 啟用FirewallD服務：使用systemctl start firewalld啟動防火墻，systemctl enable firewalld設置開機自啟。
• 配置區域與規則：默認使用public區域，通過firewall-cmd --zone=public --add-port=22/tcp --permanent開放必要端口（如SSH的22端口），firewall-cmd --reload應用更改。
• 限制訪問源：可通過--add-source參數限制允許訪問的IP段（如firewall-cmd --zone=public --add-source=192.168.1.0/24 --permanent），減少非法訪問風險。

3. 服務和端口管理

• 關閉不必要的服務：使用systemctl disable命令禁用不需要的服務（如acpid、autofs、bluetooth等），減少系統漏洞和攻擊面。
• 限制開機啟動項：通過systemctl disable 服務名禁止非必要服務開機自啟，降低系統啟動時的潛在風險。

4. SSH服務安全加固

• 修改SSH配置文件：編輯/etc/ssh/sshd_config，設置PermitRootLogin no禁止root用戶直接登錄，Protocol 2強制使用SSH2協議（更安全）。
• 限制登錄用戶：通過AllowUsers參數指定允許登錄的用戶（如AllowUsers admin），或通過AllowGroups限制用戶組。
• 修改SSH端口：將默認的22端口修改為高位端口（如Port 2222），降低被掃描攻擊的概率（需同步修改防火墻規則放行新端口）。

5. SELinux配置

• 啟用SELinux：使用setenforce 1臨時啟用（重啟后失效），修改/etc/selinux/config文件中的SELINUX=enforcing永久啟用（需重啟系統）。
• 調整SELinux策略：若遇到權限問題，使用audit2allow工具生成自定義策略（如grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mypolicy），而非直接禁用SELinux。

6. 文件系統安全

• 設置umask值：修改/etc/profile或用戶配置文件（如~/.bashrc），設置umask 027，使新創建的文件屬主擁有讀寫執行權限（7），同組用戶擁有讀和執行權限（5），其他用戶無權限（0）。
• 保護關鍵文件：使用chattr +i命令鎖定/etc/passwd、/etc/shadow、/etc/fstab等關鍵系統文件，防止未授權修改（需用chattr -i解鎖）。

7. 日志管理與審計

• 啟用日志記錄：確保/var/log/secure（SSH登錄日志）、/var/log/messages（系統日志）等日志文件正常記錄用戶操作和系統事件。
• 定期審計日志：使用ausearch、last、who等工具定期檢查日志，關注異常登錄（如頻繁失敗的密碼嘗試）、未授權訪問等行為，及時響應安全事件。

8. 軟件更新與備份

• 定期更新系統：使用yum update命令更新系統和軟件包，修復已知漏洞；可配置yum-cron工具實現自動更新。
• 備份重要數據：使用tar、rsync等工具定期備份關鍵數據（如/etc、/home、數據庫文件），建議采用異地存儲或云存儲，防止數據丟失或被破壞。

9. 虛擬化環境額外安全措施

• 宿主機安全配置：確保宿主機安裝最新版本的VirtualBox/VMware，定期更新補??；配置虛擬網絡隔離（如NAT模式），限制虛擬機之間的直接訪問。
• 虛擬機快照：定期使用VirtualBox的快照功能保存虛擬機狀態，便于在遭受攻擊或系統故障時快速恢復。