centos minimal安全加固

CentOS Minimal是一款精简版的操作系统，它只包含运行系统所需的最基本组件，非常适合那些希望拥有轻量级、高性能服务器的用户。然而，即使是精简版的系统，也可能存在一定的安全风险。因此，对CentOS Minimal进行安全加固是非常重要的。以下是一些基本的安全加固措施：

1. 更新系统：

• 确保系统已经升级到最新版本。
• 使用 sudo yum update -y 命令进行系统更新。

2. 配置防火墙：

• 启用并配置防火墙以限制网络流量和服务访问。
• 使用以下命令启动并配置防火墙：

  sudo systemctl start firewalld
  sudo systemctl enable firewalld
  sudo firewall-cmd --permanent --add-service=ssh
  sudo firewall-cmd --reload
  

3. 设置强密码策略：

• 编辑 /etc/security/pwquality.conf 文件，配置密码策略参数，如密码长度、复杂性要求等。
• 设置口令最长使用天数和不小于标准值900。
• 设置口令更改最小间隔天数和不小于标准值20。
• 设置口令最小长度和不小于标准值8。
• 设置口令过期提醒天数和不小于标准值7。

4. 限制root用户直接远程访问：

• 编辑 /etc/ssh/sshd_config 文件，将 PermitRootLogin 行修改为 PermitRootLogin no，禁止root用户通过SSH远程登录。

5. 配置SSH登录限制：

• 编辑 /etc/ssh/sshd_config 文件，找到 AllowUsers 行并修改为只允许特定用户通过SSH远程登录。

6. 禁用空密码账户：

• 编辑 /etc/ssh/sshd_config 文件，将 PermitEmptyPasswords 行修改为 PermitEmptyPasswords no，禁止空密码登录。

7. 配置登录超时：

• 编辑 /etc/ssh/sshd_config 文件，找到 ClientAliveInterval 和 ClientAliveCountMax 行，设置为适当的值，以确保在一段时间内无活动时自动断开连接。

8. 配置登录失败锁定：

• 编辑 /etc/pam.d/system-auth 文件，添加以下行来配置登录失败锁定：

  auth required pam_tally2.so deny=5 unlock_time=120
  

9. 检查SELinux状态：

• 使用 getenforce命令查看SELinux是否开启。
• 编辑 /etc/selinux/config 文件，修改SELINUX值为 enforcing 或者 permissive（建议改成这个模式，只记录不进行拦截），然后重启机器使修改生效。

10. 定期更新系统和软件包：

• 定期更新系统和软件包以获取最新的安全修复和功能更新。