在CentOS上進行安全加固是一個復雜的過程����,涉及到多個方面的配置和優化����。以下是一些關鍵的安全加固措施:
賬戶安全及權限管理
- 禁用不必要的超級用戶:檢查并刪除不必要的超級用戶賬戶�����,如root以外的用戶擁有root權限�����。
- 備份重要賬戶信息:使用
cp -p /etc/passwd /etc/passwd_bak命令備份賬戶信息�。
- 鎖定或刪除不必要的賬戶:使用
passwd -l命令鎖定賬戶�,使用userdel和groupdel命令刪除不必要的賬戶����。
- 強化用戶口令:設置復雜的口令���,包含大寫字母�、小寫字母��、數字和特殊字符����,并且長度大于10位��。
- 限制密碼嘗試次數:通過
pam_tally2.so模塊限制密碼錯誤嘗試次數�。
防火墻配置
- 安裝并配置firewalld:使用
sudo yum install firewalld安裝firewalld���,并通過sudo systemctl start firewalld和sudo systemctl enable firewalld啟動并啟用防火墻��。
- 添加防火墻規則:允許必要的端口和服務通過防火墻��,如SSH(端口22)��。
SELinux配置
- 啟用SELinux:使用
getenforce命令檢查SELinux狀態�����,并通過編輯/etc/selinux/config文件將其設置為enforcing或permissive模式��。
- 限制進程權限:通過SELinux策略限制進程的權限�,提高系統安全性���。
系統配置優化
- 關閉不必要的端口:使用
iptables或firewalld服務關閉不必要的端口�����,減少攻擊面����。
- 定期更新系統:使用
yum或dnf命令定期更新系統�����,修補已知漏洞���。
文件系統保護
- 設置umask值:通過編輯
/etc/profile或用戶特定的配置文件(如/etc/bashrc)�,設置umask值為027���,以增強文件系統的安全性�。
- 保護重要文件:使用
chattr命令給關鍵系統文件(如/etc/passwd�、/etc/shadow等)添加不可更改屬性����。
日志管理和審計
- 啟用日志記錄:確保系統日志(如
/var/log/secure)記錄所有用戶的登錄和操作日志��。
- 定期審計系統:使用
ausearch等工具定期檢查系統日志��,發現異常行為并采取相應措施����。
定期更新和備份
- 定期更新系統:使用
sudo yum update命令定期更新系統和軟件包�,以獲取最新的安全修復和功能更新����。
- 數據備份:使用
tar���、rsync等工具定期備份重要數據�,以防數據丟失或被破壞�。
其他安全措施
- 使用強密碼和密鑰認證:為所有用戶賬戶設置強密碼���,并定期更換�。使用SSH密鑰認證替代密碼認證��,提高安全性�。
- 監控和日志記錄:配置系統日志記錄����,監控系統活動和潛在的安全事件�����。
- 安裝安全工具:安裝并配置安全工具��,如
fail2ban來防止暴力破解攻擊��,使用ClamAV等防病毒軟件來檢測和清除惡意軟件����。
請記住�,安全加固是一個持續的過程��,需要定期審查和更新配置以應對新的安全威脅����。
