CentOS系统安全清理指南

以下是CentOS系统安全清理指南，涵盖关键操作步骤及安全要点：

一、系统基础清理

1. 更新系统与软件包

   sudo yum update -y  # 更新系统及软件包，修复漏洞  
   sudo yum autoremove -y  # 删除无用依赖包  
   

2. 清理缓存与临时文件

   sudo yum clean all  # 清理YUM缓存  
   rm -rf /tmp/* /var/tmp/*  # 清理临时文件（谨慎操作，避免误删）  
   

3. 管理日志文件

   sudo journalctl --vacuum-time=2weeks  # 保留2周内日志，清理旧日志  
   # 手动删除/var/log下过期日志（需确认非关键日志）  
   

二、服务与权限优化

1. 禁用/删除不必要的服务

   sudo systemctl list-unit-files --type=service | grep enabled  # 查看已启用服务  
   sudo systemctl disable <服务名>  # 禁用非必要服务（如Telnet、FTP）  
   sudo systemctl stop <服务名>  # 停止正在运行的服务  
   

2. 强化用户权限管理
   • 禁用root远程登录：编辑/etc/ssh/sshd_config，设置PermitRootLogin no，并使用普通用户+sudo操作。
   • 限制sudo权限：通过visudo配置sudoers文件，仅允许特定用户执行关键命令。
   • 删除冗余用户：检查/etc/passwd，删除非必要用户（如adm、lp等），并锁定默认账户。

三、安全策略配置

1. 配置防火墙

   sudo firewall-cmd --permanent --zone=public --add-service=http --remove-service=ftp  # 开放必要端口，关闭非必要服务  
   sudo firewall-cmd --reload  # 重新加载防火墙规则  
   

2. 启用安全机制
   • SELinux：确保状态为Enforcing，配置强制访问控制策略。
   • SSH密钥认证：禁用密码登录，使用密钥对验证（编辑/etc/ssh/sshd_config，设置PasswordAuthentication no）。

四、安全工具与审计

1. 定期扫描系统漏洞

   sudo yum install lynis -y  # 安装安全审计工具  
   sudo lynis audit system  # 执行系统安全扫描，根据报告修复问题  
   

2. 监控系统活动
   • 使用auditd记录关键操作，分析异常行为。
   • 通过top/htop监控进程，识别异常资源占用。

五、注意事项

• 备份重要数据：清理前使用rsync或tar备份关键文件至外部存储。
• 测试环境验证：生产环境操作前，先在测试环境验证清理步骤，避免影响业务。
• 谨慎操作权限：避免误删系统关键文件（如/etc、/var/log），使用chattr锁定重要配置文件。

参考来源：[1,2,3,4,5,6,7,8,9,10,11]