CentOS 防范 Exploit 的实用方案
一 核心原则
二 加固清单与关键命令
| 目标 | 关键措施 | 常用命令示例 |
|---|---|---|
| 系统与补丁 | 定期/自动更新 | sudo yum update -y;sudo systemctl enable --now yum-cron |
| 防火墙 | 仅放行必要端口/服务 | sudo firewall-cmd --permanent --zone=public --add-service=ssh;sudo firewall-cmd --reload |
| SSH 安全 | 禁用 root、密钥登录、限制来源 | 编辑 /etc/ssh/sshd_config:PermitRootLogin no;PasswordAuthentication no;AllowUsers youruser;必要时 Port 2222;重启:sudo systemctl restart sshd |
| 权限与账户 | 最小权限、禁用不必要账户 | 使用 sudo;审查 /etc/passwd、lastlog、faillog;锁定/删除无用账户 |
| SELinux | 强制访问控制 | sudo setenforce 1;/etc/selinux/config 中 SELINUX=enforcing |
| 日志与审计 | 记录关键事件与系统调用 | sudo systemctl enable --now auditd;查看:sudo ausearch / sudo journalctl -u sshd |
| 入侵防护 | 阻断暴力破解与异常行为 | sudo yum install -y fail2ban;sudo systemctl enable --now fail2ban |
| 恶意代码防护 | 主机侧查杀 | sudo yum install -y clamav clamav-updates;sudo freshclam;sudo clamscan -r / |
| 备份与恢复 | 定期备份、可验证可恢复 | rsync/tar 定时备份;定期做恢复演练与校验 |
| 漏洞扫描与审计 | 发现与整改薄弱点 | 定期使用 OpenVAS/Nessus、Lynis 扫描并修复问题 |
三 处置已遭入侵的步骤
四 持续运维与架构建议