1. 確認漏洞信息
首先需明確系統是否受特定漏洞影響��,可通過查看系統版本(如cat /etc/centos-release)��、查閱官方安全公告(如CentOS官方安全郵件列表��、CVE數據庫)或使用漏洞掃描工具(如Nexpose�����、OpenVAS����、Nessus)識別漏洞���。例如�����,若檢測到Apache Druid的CVE-2023-25194漏洞�,需確認系統是否部署了該組件及版本是否符合漏洞影響范圍���。
2. 備份重要數據
修復前務必備份系統配置文件(如/etc/ssh/sshd_config���、/etc/sysconfig/iptables)���、業務數據(如數據庫文件����、網站文件)及用戶數據�,可使用tar命令打包備份(如tar -czvf /backup/system_backup_$(date +%F).tar.gz /etc /var/www /home)�,防止操作失誤導致數據丟失����。
3. 更新系統及軟件包
通過包管理工具更新系統和已安裝軟件包至最新版本�����,修復已知安全漏洞:
- CentOS 7:使用
yum命令:sudo yum update -y(更新所有可更新軟件包)���;
- CentOS 8及以上:使用
dnf命令:sudo dnf update -y�����。
更新后需重啟系統或相關服務(如sudo reboot或sudo systemctl restart sshd)以應用更改�����。
4. 應用特定安全補丁
若漏洞無通用更新(如特定軟件的CVE漏洞)��,需下載并安裝官方提供的安全補丁�����。例如�,修復OpenSSH漏洞時�,可從官網下載最新版本的RPM包����,使用rpm命令強制安裝(如rpm -Uvh openssh-*.rpm --nodeps --force)��,安裝后修改配置文件(如/etc/ssh/sshd_config)并重啟服務(systemctl restart sshd)�����。
5. 配置防火墻限制訪問
使用firewalld(推薦)或iptables配置防火墻規則�,限制不必要的外部訪問:
- 啟用
firewalld:sudo systemctl enable --now firewalld���;
- 開放必要端口(如SSH的22端口):
sudo firewall-cmd --permanent --add-service=ssh����;
- 限制訪問源(如僅允許公司IP訪問SSH):
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept'����;
- 重新加載防火墻規則:
sudo firewall-cmd --reload����。
6. 強化系統與服務安全
- 修改SSH配置:編輯
/etc/ssh/sshd_config����,設置PermitRootLogin no(禁止root遠程登錄)����、PasswordAuthentication no(禁用密碼登錄�����,改用密鑰認證)�、Port 2222(修改默認端口)�����,保存后重啟SSH服務��;
- 禁用不必要的服務:使用
systemctl disable命令關閉未使用的服務(如telnet����、ftp)�����,減少攻擊面��;
- 強化密碼策略:編輯
/etc/login.defs��,設置PASS_MIN_LEN 12(密碼最小長度12位)����、PASS_WARN_AGE 7(密碼過期前7天警告)����,并使用chage命令強制用戶修改密碼��。
7. 持續監控與定期掃描
- 安裝安全監控工具:如
fail2ban(防止暴力破解)��,配置/etc/fail2ban/jail.local啟用SSH防護(enabled = true)�����,自動封禁多次登錄失敗的IP�����;
- 定期漏洞掃描:每周使用OpenVAS或Nessus掃描系統���,生成漏洞報告并及時修復新發現的漏洞��;
- 關注安全公告:訂閱CentOS安全郵件列表(如centos-announce)���,及時獲取最新安全補丁信息�����。
