1. 验证修复有效性
修复后需通过系统日志分析(如/var/log/secure查看登录异常)、漏洞扫描工具(如Nessus、OpenVAS)或渗透测试确认漏洞已彻底修复。例如,针对CVE漏洞,可使用对应CVE编号的检测脚本验证系统是否仍存在风险。
2. 强化系统基础安全配置
yum update安装最新安全补丁,启用EPEL仓库获取额外安全软件包;firewalld限制入站流量,仅开放必要端口(如HTTP 80、HTTPS 443),并通过--permanent参数保存规则;/etc/selinux/config中的SELINUX设置为enforcing,并通过setenforce 1立即生效,增强强制访问控制。3. 优化用户与权限管理
awk -F: '$2==""' /etc/shadow),锁定无用账号(userdel或passwd -l);/etc/ssh/sshd_config,设置PermitRootLogin no(禁用root直接登录)、PasswordAuthentication no(启用密钥认证)、MaxAuthTries 3(限制密码尝试次数),并通过systemctl restart sshd生效;/etc/login.defs设置密码有效期(PASS_MAX_DAYS 90、PASS_WARN_AGE 7),使用pam_pwquality.so增强密码复杂度(如minlen=14、包含大小写字母/数字/特殊字符)。4. 部署安全监控与审计
auditd(yum install audit),配置/etc/audit/audit.rules记录关键事件(如登录/注销-w /var/log/lastlog -p wa -k logins、核心转储-a always,exit -F arch=b64 -S execve),并通过systemctl enable/start auditd启动服务;logrotate(vi /etc/logrotate.conf)设置日志轮转,防止日志文件过大;定期检查/var/log/messages、/var/log/secure等日志,识别异常行为。5. 安装与配置安全工具
fail2ban(yum install fail2ban),配置/etc/fail2ban/jail.local限制暴力破解(如SSH端口[sshd] enabled = true maxretry = 3 bantime = 300),防止非法登录;yum install clamav clamav-update),定期更新病毒库(freshclam)并扫描系统(clamscan -r /),检测恶意软件。6. 定期备份与恢复演练
rsync、tar或专业备份工具(如Veeam)定期备份重要数据(如/etc、/home、数据库文件),存储到异地或云存储;7. 持续安全维护
centos-announce)或CVE数据库,第一时间获取漏洞信息并修复;