CentOS为何被攻击

成因总览

• 生命周期与更新中断：自2021年起官方重心转向CentOS Stream，CentOS Linux 7在2024-06-30结束生命周期（EOL），这意味着长期无法获得官方安全补丁，暴露在已知漏洞下，攻击者更易得手。
• 漏洞普遍存在：既有内核/系统组件漏洞（如Dirty COW、pkexec、sudo CVE-2021-3156），也有Web 应用/中间件漏洞（如Apache Shiro反序列化、历史Awstats.pl命令注入），一旦被利用即可提权或远程执行。
• 配置与安全基线薄弱：使用默认口令/弱口令、开启不必要的服务、防火墙未启用、SSH 弱加密/KEX、NTP/ICMP等暴露面过大，都会显著降低攻击门槛。
• 供应链与第三方风险：上游依赖或镜像源被投毒、第三方软件源引入恶意包/后门，以及开源组件漏洞未及时修补，均会放大被入侵概率。
• 攻击门槛低与自动化：常见漏洞利用代码公开、扫描与蠕虫自动化传播，一旦存在暴露面，极易在短时间内被批量入侵。

典型攻击路径

• 面向公网的 Web 应用漏洞：例如Awstats.pl的configdir参数存在命令注入，攻击者可借此执行任意系统命令、写入后门、替换系统命令并清理日志，最终完全控制主机。
• 本地提权到持久化：利用pkexec或sudo类漏洞（如CVE-2021-3156）从普通用户提权至root，随后植入rootkit、创建隐蔽账号、修改登录程序（如替换login），实现长期驻留与回连。
• SSH 与加密配置弱点：支持弱密钥交换/弱加密算法的 SSH 服务易被中间人或降级攻击，配合弱口令更易被暴力破解或会话劫持。
• 供应链/第三方包投毒：引入被篡改的RPM 包或更新源，部署恶意程序或后门，绕开传统边界防护。

为何老版本与默认配置更易受攻击

• EOL 后无补丁：如CentOS Linux 7在2024-06-30后不再提供官方修复，漏洞长期暴露且可被批量武器化。
• 默认与历史遗留问题：默认账户未禁用、口令复杂度不足、不必要的服务/端口开放、防火墙未启用，都会直接扩大攻击面。
• 加密与协议栈未加固：未禁用弱 KEX/弱 Cipher，或未对SSL/TLS使用可信CA与强套件，容易被嗅探、降级或伪造。
• 日志与审计缺失：未集中与保护系统日志，入侵者能轻易清除痕迹，增加溯源难度并延长驻留时间。

防护要点

• 迁移与替代：尽快从CentOS Linux 7/8迁移至仍在维护的RHEL、Rocky Linux、AlmaLinux，并保持持续安全更新。
• 最小化暴露面：关闭不必要的端口/服务，启用firewalld/iptables，对管理口与数据库等实行来源白名单与最小权限访问。
• 加固 SSH：在**/etc/ssh/sshd_config**中仅启用强算法，例如：
  • KexAlgorithms：curve25519-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group14-sha256
  • Ciphers：aes128-ctr,aes192-ctr,aes256-ctr
    同时禁用root 直登、使用密钥登录、限制失败重试与空闲超时。
• 及时修补与漏洞治理：建立补丁流程（内核/系统组件/中间件/Web 框架），对高风险 CVE（如pkexec、sudo类）优先修复与验证。
• 供应链安全：仅使用可信镜像源/Vault 源，校验RPM GPG，对第三方仓库与容器镜像进行SBOM 与签名校验。
• 日志与入侵检测：集中采集与保护**/var/log/，启用auditd**，部署IDS/IPS与文件完整性监控（FIM），关注异常进程、登录与网络连接。