1. 账户权限与访问控制
/etc/passwd文件识别并锁定(如usermod -L)或删除adm、lp、sync等默认非必需超级用户账户,减少系统潜在攻击入口。/etc/login.defs文件,设置口令复杂度要求(包含大写字母、小写字母、数字、特殊字符,长度≥10位),并通过chage命令强制用户定期更新口令。/etc/pam.d/su文件,添加auth required pam_wheel.so use_uid配置,仅允许wheel组用户使用su切换至root,避免普通用户滥用特权。cmatrix命令,即使程序存在漏洞,也能限制攻击者获取的系统权限。2. 系统服务与软件安全
yum update -y命令定期升级CentOS系统内核、cmatrix及相关软件包,及时修复已知安全漏洞(如cmatrix的缓冲区溢出问题)。systemctl list-unit-files --type=service查看自启服务列表,使用systemctl disable 服务名禁用不必要的服务(如telnet、ftp),减少系统暴露的攻击面。3. 网络与访问安全
firewalld(推荐)或iptables限制对服务器的访问。例如,仅允许可信IP地址访问SSH(端口22)、HTTP(端口80)等服务,通过firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept'添加规则,并执行firewall-cmd --reload生效。/etc/ssh/sshd_config中的PasswordAuthentication no),配置SSH密钥对(ssh-keygen -t rsa生成密钥,ssh-copy-id user@server复制公钥),防止密码暴力破解。4. 日志与监控措施
rsyslog服务(默认开启)记录系统活动,通过/etc/rsyslog.conf配置日志存储路径(如/var/log/messages、/var/log/secure),定期检查日志中的异常登录(如lastb查看失败登录)、未授权访问等行为。auditd(yum install audit -y)并配置审计规则(如监控/etc/passwd、/root目录的修改:auditctl -w /etc/passwd -p wa -k passwd_change),跟踪关键文件的访问和变更,及时发现潜在的安全事件。5. cmatrix特定安全优化
-u参数调整刷新延迟(如cmatrix -u 2,延迟2毫秒),或使用-l参数启用Linux模式(更轻量),减少资源占用。-s参数让cmatrix在第一次按键时退出,避免无人值守时持续运行(防止掩盖系统告警或异常信息)。yum install cmatrix)或可信软件源(如EPEL)安装cmatrix,避免从第三方网站下载未经验证的二进制文件(防止植入恶意代码)。