1. 系统与软件安全维护
定期更新系统和软件包是基础安全措施,可使用yum update(或CentOS 8及以上的dnf update)命令修复已知漏洞,确保系统处于最新安全状态。禁用不必要的服务(如FTP、邮件服务等),通过systemctl disable <服务名>命令停止非必需服务,减少攻击面。
2. 防火墙与网络访问控制
使用firewalld(CentOS 7及以上默认工具)配置防火墙规则,仅开放必要端口(如HTTP的80端口、HTTPS的443端口),通过firewall-cmd --permanent --zone=public --add-service=http添加允许的服务,再用firewall-cmd --reload生效。结合TCP Wrappers(/etc/hosts.allow和/etc/hosts.deny)限制IP访问,例如在hosts.allow中添加sshd: 192.168.1.0/24允许指定网段访问SSH。
3. SELinux强制访问控制
启用SELinux(Security-Enhanced Linux)以增强系统强制访问控制,通过setenforce 1临时开启(getenforce查看状态),修改/etc/selinux/config中的SELINUX=enforcing永久生效。根据业务需求调整SELinux策略(如semanage port -a -t http_port_t -p tcp 8080添加自定义端口),避免因策略过严影响正常业务。
4. 用户与权限精细化管理
遵循“最小权限原则”分配用户权限,避免授予普通用户root权限。禁用root远程登录,修改/etc/ssh/sshd_config中的PermitRootLogin no,使用systemctl restart sshd生效。设置强密码策略,修改/etc/login.defs中的PASS_MIN_LEN 10(密码长度≥10位),并要求包含大小写字母、数字和特殊字符。使用chattr +i命令锁定关键文件(如/etc/passwd、/etc/shadow),防止未授权修改。
5. SSH安全配置强化
修改SSH默认端口(如Port 2222)以降低暴力破解风险,禁用密码登录(PasswordAuthentication no),启用密钥认证(将公钥添加至~/.ssh/authorized_keys)。使用fail2ban工具防范暴力破解,安装后配置/etc/fail2ban/jail.local,设置maxretry=3(允许尝试3次),自动封禁恶意IP。
6. 数据加密保护
对敏感数据进行加密存储,使用LUKS(Linux Unified Key Setup)加密磁盘分区:安装cryptsetup工具,执行cryptsetup luksFormat /dev/sdX(/dev/sdX为目标分区),cryptsetup luksOpen /dev/sdX my_encrypted_partition打开分区,格式化并挂载(mkfs.ext4 /dev/mapper/my_encrypted_partition,mount /dev/mapper/my_encrypted_partition /mnt)。加密传输数据可使用OpenSSL工具,通过openssl rsautl -encrypt -in input.txt -inkey public.key -pubin -out encrypted.txt加密文件,openssl rsautl -decrypt -in encrypted.txt -inkey private.key -out output.txt解密。
7. 安全审计与监控
启用auditd服务进行系统审计,安装后执行auditctl -e 1开启,配置/etc/audit/audit.rules规则(如-w /etc/passwd -p wa -k passwd_changes监控/etc/passwd的修改),通过ausearch命令查看审计日志。定期检查/var/log/secure(SSH登录日志)、/var/log/messages(系统日志)等文件,及时发现异常活动(如频繁登录失败)。
8. 备份与恢复策略
制定定期备份计划,使用rsync(增量备份)、tar(全量备份)工具备份重要数据(如/etc、/home、数据库文件),将备份存储至异地(如云存储)以防本地灾难。测试备份可恢复性,确保在数据丢失或勒索软件攻击时能快速恢复。
9. 其他安全措施
安装防病毒软件(如ClamAV),执行yum install clamav clamav-update安装,定期更新病毒库(freshclam)并扫描系统(clamscan -r /)。定期进行漏洞扫描,使用nmap(nmap -sV -O <目标IP>)或Nessus工具检测系统漏洞,及时修复高风险问题。禁用Ctrl+Alt+Delete重启组合键(修改/etc/inittab,注释ca::ctrlaltdel:/sbin/shutdown -t3 -r now),防止误操作或恶意重启。