总体判断
“from scratch”通常指从官方最小化安装开始、只安装必需组件,并逐项进行安全加固的做法。只要在安装后立即完成关键安全配置并保持持续维护,这种方式的安全性可以很高;相反,若仅完成最小化安装而不做加固,风险仍然显著。核心在于:最小化暴露面、最小权限、纵深防御与持续运维。
从零开始的安全基线清单
- 最小化安装与按需添加:仅安装必需软件包,避免未知漏洞与冗余服务带来的攻击面。
- 账户与认证:设置强密码策略(长度≥10–15位,含大小写、数字与特殊字符),禁用或删除不必要的账户与组;通过 PAM/pam_pwquality 强制复杂度与定期更换;清理离职与测试账号。
- SSH 安全:禁用 root 直连,使用普通用户 + sudo 提权;优先采用SSH 密钥认证并可禁用密码登录;必要时修改默认端口并结合 AllowUsers 白名单。
- 防火墙:启用 firewalld,遵循“默认拒绝、按需放行”,仅开放必要端口(如 22/80/443)。
- SELinux:保持 enforcing 模式,利用策略限制进程越权,配合 audit 日志进行策略调优。
- 系统与软件更新:定期执行 yum/dnf update 及时修复漏洞。
- 日志与审计:集中管理与轮转关键日志(如登录失败、sudo 提升),对异常进行告警与追溯。
- 文件完整性:使用 AIDE 建立关键文件基线,监测篡改与后门。
- 登录超时与会话安全:设置 TMOUT 自动注销,限制 root 会话时长。
- 反暴力破解:结合 Fail2ban 自动封禁恶意 IP。
以上要点能显著提升系统抗攻击能力,建议作为上线前的必做清单逐项落实。
常见误区与风险
- 误以为“最小化安装=安全”:未加固的服务、弱口令、开放端口同样会被快速利用。
- 关闭 SELinux:会丧失内核级强制访问控制,显著扩大被攻陷后的影响范围。
- 长期使用默认配置:如保留测试账户、默认端口、宽松的 sudo 规则等,都会增加被入侵概率。
- 忽视日志与监控:没有审计与告警,难以及时发现入侵与横向移动。
- 补丁滞后:未及时更新内核与软件包,容易被已知漏洞批量利用。
这些风险在实践中非常常见,需通过制度化巡检与自动化手段规避。
面向生产环境的加固顺序建议
- 安装与分区:选择Minimal Install,按业务需要进行分区与权限最小化。
- 账户与 sudo:创建普通管理员,禁用 root 直连 SSH,配置最小权限的 sudoers。
- 远程访问:启用 SSH 密钥、禁用密码登录,必要时更改端口并配置 AllowUsers。
- 边界防护:启动 firewalld,仅放行 22/80/443 等必要端口。
- 安全增强:启用 SELinux enforcing,按需调优策略与审计。
- 更新与基线:执行系统更新,部署 AIDE 基线并定期校验。
- 监控与响应:集中日志、设置告警,部署 Fail2ban 缓解暴力破解。
- 备份与演练:建立离线与异地备份,定期验证恢复流程与演练应急。
按此顺序可在较短周期内构建可验证的安全基线,并便于持续改进。