CentOS Overlay安全设置方法

CentOS Overlay安全设置方法

一、基础环境安全配置

1. 安装必要软件包

确保系统安装fuse-overlayfs（用户态Overlay文件系统工具）和fuse（内核模块），这是Overlay文件系统正常运行的基础。使用命令：
sudo yum install fuse-overlayfs fuse -y

2. 正确挂载Overlay文件系统

• 创建专用目录：分别用于存放下层目录（lowerdir，存储基础数据）、上层目录（upperdir，存储修改内容）和工作目录（workdir，Overlay内部操作临时空间）。例如：
  sudo mkdir -p /mnt/overlay/{lower,upper,work,merged}
• 挂载命令：使用mount命令指定各目录，例如：
  sudo mount -t overlay overlay -o lowerdir=/path/to/lower,upperdir=/mnt/overlay/upper,workdir=/mnt/overlay/work /mnt/overlay/merged
• 自动挂载（可选）：将挂载信息添加到/etc/fstab，实现系统重启后自动挂载：
  echo "overlay /mnt/overlay/merged overlay defaults,lowerdir=/path/to/lower,upperdir=/mnt/overlay/upper,workdir=/mnt/overlay/work 0 0" | sudo tee -a /etc/fstab

二、权限与账户安全管理

1. 最小化权限原则

• 仅为运行Overlay文件系统的用户（如容器引擎用户）分配最小必要权限，避免使用root用户运行非必要应用。
• 限制对lowerdir、upperdir、workdir的访问权限，例如通过chmod设置目录权限为750，仅允许所有者（如docker用户）读写执行。

2. 强化账户与口令策略

• 删除非必要账户：移除系统中无用的默认账户（如adm、lp、sync），减少攻击面。
• 设置复杂口令：要求用户口令包含大写字母、小写字母、数字和特殊字符，长度超过10位。通过修改/etc/login.defs文件强制执行：
  PASS_MIN_LEN 12（设置最小长度）、PASS_REQUIRE_MIXED_CASE yes（要求大小写混合）等。
• 保护口令文件：使用chattr +i命令将/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow设为不可修改，防止恶意篡改：
  sudo chattr +i /etc/shadow

三、SELinux配置（关键安全增强）

SELinux通过**强制访问控制（MAC）**限制进程对Overlay文件系统的访问，需正确配置而非禁用：

• 开启SELinux：确保/etc/selinux/config中SELINUX=enforcing（强制模式），而非disabled。
• 调整SELinux策略：若使用Docker等容器引擎，需配置SELinux允许其使用Overlay存储驱动。例如，在/etc/sysconfig/docker中保留--selinux-enabled选项（默认开启），并通过semanage工具添加自定义策略：
  sudo semanage fcontext -a -t container_file_t "/mnt/overlay(/.*)?"
sudo restorecon -Rv /mnt/overlay（恢复上下文）

四、防火墙与网络隔离

1. 配置防火墙规则

使用firewalld（推荐）或iptables限制对Overlay相关端口和服务的访问：

• 开放必要端口：仅放行系统所需服务端口（如SSH的22端口、Web服务的80/443端口、数据库的3306端口）。
• 关闭未使用端口：禁用TCP 25（邮件传输）、UDP 161（SNMP）等未使用端口，减少攻击面。

2. 网络访问控制

• 限制NFS访问：若lowerdir位于NFS共享目录，需编辑/etc/exports文件，设置严格的访问权限（如仅允许可信IP访问）：
  /mnt/nfs/share *(ro,sync,no_root_squash)（示例：只读权限，禁止root用户挂载）
• 禁用IP转发：若系统无需作为路由器，编辑/etc/sysctl.conf设置net.ipv4.ip_forward = 0，防止IP欺骗。

五、安全审计与监控

1. 启用系统审计

使用auditd工具记录对Overlay文件系统的关键操作（如挂载、修改、删除）：

• 安装与启动：sudo yum install audit -y；sudo systemctl enable --now auditd
• 配置审计规则：编辑/etc/audit/audit.rules，添加针对Overlay目录的规则：
  -w /mnt/overlay/upper -p wa -k overlay_upper（监控upperdir的写操作）
  -w /mnt/overlay/work -p wa -k overlay_work（监控workdir的操作）
• 定期检查日志：使用ausearch工具查看审计日志，例如：
  sudo ausearch -k overlay_upper（查看upperdir相关操作日志）

2. 日志与监控工具

• 系统日志分析：使用journalctl查看系统日志，关注Overlay文件系统的错误或异常操作：
  sudo journalctl -u overlay -f（实时监控Overlay服务日志）
• 部署IDS/IPS：安装入侵检测系统（如OSSEC）或入侵防御系统（如Snort），实时监测并阻止潜在攻击。

六、系统与依赖更新

1. 定期更新系统与软件包

使用yum或dnf命令定期更新CentOS系统和相关软件包（如fuse-overlayfs、docker），修复已知安全漏洞：
sudo yum update -y

2. 内核与文件系统优化

• 升级内核：确保使用最新的稳定内核版本（通过uname -r查看），新内核包含Overlay文件系统的安全补丁。
• 使用XFS文件系统：若使用Overlay2存储驱动（推荐），需确保文件系统支持d_type参数（XFS默认支持）。可通过xfs_info /dev/sdX检查ftype值（应为1）。

七、容器特定安全措施（若使用容器）

• 限制容器资源：通过Docker的--memory、--cpu选项限制容器的CPU、内存使用，防止资源耗尽攻击。
• 使用用户命名空间：通过userns-remap功能将容器内的root用户映射到宿主机的非root用户，降低容器逃逸风险。
• 镜像安全：仅使用官方或可信来源的容器镜像，定期扫描镜像漏洞（如使用docker scan命令）。