CentOS中如何配置安全策略

以下是CentOS配置安全策略的關鍵步驟，涵蓋系統加固、訪問控制、日志監控等方面：

一、系統基礎安全加固

1. 賬戶與權限管理

   • 禁用root遠程登錄：修改/etc/ssh/sshd_config，設置PermitRootLogin no，并重啟SSH服務。
   • 刪除非必要用戶：使用userdel刪除adm、lp等默認無用賬戶。
   • 強化密碼策略：編輯/etc/login.defs，設置PASS_MIN_LEN 12等參數，啟用密碼復雜度檢查。

2. 服務與端口管理

   • 禁用不必要的服務：使用systemctl disable <服務名>關閉telnet、rsh等高風險服務。
   • 限制端口訪問：通過firewalld僅開放必要端口（如SSH 22、HTTP 80），關閉默認未使用端口。

二、防火墻配置（firewalld）

1. 基礎規則設置

   • 啟用防火墻并設置默認區域為public：

     sudo systemctl start firewalld  
     sudo firewall-cmd --set-default-zone=public  
     

   • 開放服務或端口：

     sudo firewall-cmd --permanent --add-service=http  # 開放HTTP服務  
     sudo firewall-cmd --permanent --add-port=22/tcp   # 開放SSH端口  
     sudo firewall-cmd --reload  
     

2. 高級規則（可選）

   • 限制IP訪問：添加規則僅允許特定IP訪問特定端口，例如：

     sudo firewall-cmd --permanent --add-rich-rule='rule source address="192.168.1.100" service name=http accept'  
     

三、SELinux強制訪問控制

1. 啟用與模式設置

   • 編輯/etc/selinux/config，設置SELINUX=enforcing，重啟生效。
   • 臨時切換模式：sudo setenforce 1（強制模式）或0（寬松模式）。

2. 策略配置

   • 查看當前策略上下文：ls -Z /path/to/file（查看文件安全上下文）。
   • 修改文件/目錄上下文：sudo chcon -t httpd_sys_content_t /var/www/html。
   • 自定義策略模塊（需編寫.te文件并編譯）：參考官方文檔生成規則。

四、日志與監控

1. 系統日志配置

   • 確保rsyslog服務運行：sudo systemctl enable --now rsyslog。
   • 配置日志輪轉：編輯/etc/logrotate.conf，設置日志保留天數和大小。

2. 入侵檢測工具

   • 安裝fail2ban防止暴力破解：配置/etc/fail2ban/jail.local，針對SSH等服務設置最大嘗試次數。
   • 定期掃描惡意軟件：使用clamav或rkhunter定期檢測系統異常。

五、軟件與補丁管理

1. 系統更新

   • 啟用自動更新：sudo yum install yum-cron && sudo systemctl enable --now yum-cron。
   • 手動更新安全補?。?code>sudo yum update --security。

2. 軟件源安全

   • 僅使用官方或可信的軟件倉庫，避免使用未驗證的第三方源。

參考來源