CentOS Extract配置安全加固指南
visudo命令编辑/etc/sudoers文件,仅为特定用户或用户组分配extract命令的执行权限(如username ALL=(ALL) NOPASSWD: /bin/tar -xvf *),避免root权限滥用。若需密码保护,可移除NOPASSWD选项。pam_cracklib模块(修改/etc/pam.d/system-auth)设置口令复杂度(至少8位,包含大小写字母、数字和特殊字符);配置/etc/pam.d/system-auth中的auth required pam_tally2.so deny=5 unlock_time=300,限制认证失败5次后锁定账户300秒。chmod(如chmod 700 /path/to/archive)、chown(如chown user:user /path/to/archive)和setfacl(如setfacl -m u:specificuser:r-- /path/to/archive)限制文件访问权限,仅为必要用户分配读取/执行权限。adm、lp、sync,通过userdel命令);禁用不必要的系统服务(如xinetd若未使用,通过systemctl disable xinetd),减少攻击面。/etc/ssh/sshd_config中的PermitRootLogin no,禁止root账户通过SSH直接登录,改用普通用户登录后切换(su - username)。setenforce 1),通过semanage工具配置针对性策略(如限制tar命令仅能解压到指定目录),增强系统强制访问控制。firewalld(firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="22" protocol="tcp" accept')或iptables,仅开放必要端口(如SSH的22端口),限制对extract相关服务(如xinetd的端口)的访问。/etc/exports文件,设置严格权限(如/shared *(ro,sync,no_root_squash)改为/shared 192.168.1.10(rw,sync,no_subtree_check)),仅允许可信IP访问。yum update -y更新系统及tar、gzip等解压工具,修补已知安全漏洞。rsyslog或auditd,定期检查/var/log/secure(认证日志)、/var/log/messages(系统日志)中的异常记录(如频繁的tar解压操作);使用logwatch或ELK Stack进行日志分析,及时发现未授权访问。LUKS(cryptsetup luksFormat /dev/sdb1)加密敏感数据分区;定期通过rsync或tar+gpg(tar czvf - /path/to/data | gpg -c > data.tar.gz.gpg)备份关键数据,防止勒索软件或数据丢失。若使用xinetd提供extract服务(如tftp的extract模块),需额外配置:
/etc/xinetd.d/extract中的server_uid = nobody、server_gid = nobody,降低服务运行权限;/etc/xinetd.d/extract中添加only_from = 192.168.1.0/24,仅允许可信网络访问;ssl选项(需生成证书),使用openssl s_client -connect server:port -showcerts验证加密有效性。