centos exploit安全防护措施

CentOS系统抵御Exploit攻击的安全防护措施

1. 系统更新与补丁管理

保持系统及软件包最新是防范Exploit的基础。定期执行yum update（CentOS 7）或dnf update（CentOS 8）命令，修复已知安全漏洞；通过yum check-update --security查看安全更新，优先安装高危补丁；配置yum-cron自动更新安全补丁，确保系统持续处于最新状态。

2. 最小化安装与端口管控

安装CentOS时选择“最小化安装”，仅包含必要组件（如基础系统、SSH），避免安装无关软件（如FTP、邮件服务）；使用systemctl list-unit-files | grep enabled查看并禁用不必要服务（如bluetooth、cups）；通过netstat -antupl或ss -tulnp检查开放端口，关闭高风险端口（如Telnet的23端口、RPC的111端口），仅保留业务必需端口（如SSH的22端口、HTTP的80端口）。

3. 防火墙与访问控制

启用firewalld（推荐）或iptables配置防火墙规则：

• 使用firewall-cmd --permanent --add-service=ssh允许SSH服务，firewall-cmd --permanent --remove-service=telnet禁止Telnet；
• 限制访问源IP（如仅允许公司IP访问SSH）：firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'；
• 执行firewall-cmd --reload应用规则，阻断非法网络访问。

4. SELinux强制访问控制

启用SELinux（默认开启），编辑/etc/selinux/config将SELINUX=enforcing（强制模式）；通过semanage命令配置细粒度策略，限制进程权限（如限制Apache只能访问/var/www/html目录）；定期检查SELinux日志（/var/log/audit/audit.log），调整策略避免误拦截。

5. SSH服务安全加固

修改/etc/ssh/sshd_config文件：

• 禁止root直接登录：PermitRootLogin no；
• 限制密码错误次数：MaxAuthTries 3（最多尝试3次）；
• 使用密钥认证替代密码：生成密钥对（ssh-keygen -t rsa），将公钥添加至~/.ssh/authorized_keys，并设置PasswordAuthentication no；
• 更改默认端口：Port 2222（避免自动扫描工具探测）；
• 重启SSH服务：systemctl restart sshd使配置生效。

6. 密码策略与账户管理

设置强密码策略：编辑/etc/login.defs，调整PASS_MAX_DAYS 90（密码有效期90天）、PASS_MIN_LEN 12（最小长度12位）、PASS_WARN_AGE 7（到期前7天提醒）；使用chage命令强制用户修改密码（如chage -M 90 -W 7 username）；添加密码复杂度要求（编辑/etc/pam.d/system-auth，添加pam_pwquality.so minlen=14 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1，要求包含大小写字母、数字、特殊字符）；锁定无用账户（passwd -l adm）和空口令账户（passwd -l $(awk -F: '$2==""' /etc/shadow)）。

7. 日志监控与入侵检测

定期检查安全日志（/var/log/secure），关注异常登录（如多次失败尝试）、未授权访问（如/root目录被修改）；使用fail2ban工具自动屏蔽暴力破解IP：安装yum install fail2ban，配置/etc/fail2ban/jail.local（[sshd] enabled=true maxretry=3 bantime=300），自动封禁多次登录失败的IP；部署入侵检测系统（如Snort），实时监控网络流量，识别恶意行为。

8. 数据备份与恢复

定期备份关键数据（如/etc、/home、数据库文件），使用tar或rsync工具将备份存储至异地（如NAS、云存储）；测试备份恢复流程（如模拟系统崩溃，恢复备份数据），确保备份有效性；对于重要数据，启用增量备份（如rsync -avz --delete /source/ /backup/），减少备份时间及存储占用。

9. 文件系统与权限控制

设置合理的umask值（编辑/etc/profile，添加umask 027），确保新创建文件权限为644（属主可读写，其他用户只读）、目录权限为755（属主可读写执行，其他用户可读执行）；修改/boot/grub2/grub.cfg权限为600（chmod 600 /boot/grub2/grub.cfg），防止篡改启动项；使用chmod和chown调整文件权限（如chmod 700 /root、chown root:root /etc/shadow），限制敏感文件的访问范围。

10. 应急响应流程

当怀疑遭受Exploit攻击时，立即隔离受感染主机（断开网络），防止攻击扩散；收集证据（系统日志、网络流量记录、进程列表ps -aux），使用tcpdump捕获异常流量；修复漏洞（根据攻击类型升级内核或软件包，如针对CVE-2021-27365升级内核）；恢复系统（从干净备份还原数据，重启服务）；总结经验（优化安全策略，如加强某类端口的管控），避免类似攻击再次发生。