CentOS 下 LibreOffice 宏病毒防范指南
一 核心防护策略
- 将宏安全级别提升到高/非常高:路径为工具 → 选项 → LibreOffice → 安全 → 宏安全,仅在明确需要时临时降低。对来自未知来源的文档一律不启用宏。
- 及时升级 LibreOffice:修复了可被用于欺骗已签名文档的漏洞(如 CVE-2021-25635,影响 LibreOffice 7.0.5/7.1.1 之前版本),以及通过宏 URL 执行任意脚本的高危漏洞(CVE-2025-1080,已在 24.8.5/25.2.1 修复)。建议至少升级至上述修复版本或更高版本。
- 限制宏来源:优先仅运行数字签名的宏;在“宏安全”中将执行策略收紧到“仅允许已签名宏”,并仅将可信发布者加入信任列表。
- 部署并实时更新ClamAV等防病毒软件,启用定时/实时扫描,重点对文档目录与邮件下载目录进行监控。
- 保持系统与软件补丁更新(CentOS 通过 yum/dnf、LibreOffice 通过官方仓库或 RPM 包),减少被利用的攻击面。
- 强化安全意识:不打开来历不明的附件/链接,不启用不明文档中的宏,对外来文档先在隔离环境或只读模式检查。
二 加固配置步骤
- 升级 LibreOffice(示例):
- 查看版本:
libreoffice --version
- 优先使用发行版仓库更新;若仓库版本滞后,从官网下载 RPM 包升级,或启用 Flatpak 官方运行时。
- 配置宏安全:
- 打开工具 → 选项 → LibreOffice → 安全 → 宏安全,将安全级别设为高/非常高;在“受信任的宏开发者/证书”中仅添加可验证的发布者。
- 配置 ClamAV:
- 安装:
sudo yum install clamav clamd -y
- 更新病毒库:
sudo freshclam(建议加入定时任务)
- 手动扫描:
clamscan -r --infected --log=/var/log/clamscan.log /home /tmp /var/www
- 按需启用
clamd 守护进程与 on-access 扫描(生产环境谨慎评估性能影响)。
- 办公流程建议:
- 对外来文档默认不启用宏;需要宏时,先由安全人员审查或在隔离环境验证后再启用。
- 对必须启用宏的业务文档,要求强制签名并集中管控信任证书。
三 检测与处置
- 日常检测:
- 使用 ClamAV 定期全盘/定向扫描,关注日志中的宏相关告警(如 OLE/Office 宏特征)。
- 对可疑文档,先在只读/隔离环境中打开,不启用宏,使用杀软或沙箱分析其行为。
- 发现异常时的处置:
- 立即断网并隔离受感染主机/账号,防止横向传播。
- 使用最新病毒库进行全盘查杀,清理可疑宏与临时文件;必要时重装 LibreOffice 以清除残留。
- 回溯邮件/IM/网盘下载记录,通知相关方;对同来源文档进行批量排查。
- 恢复前从干净备份还原,并复核备份介质未被二次感染。
四 常见误区与注意事项
- 认为 Linux 环境“天然免疫”宏病毒:宏攻击主要针对文档中的脚本引擎,与操作系统无关,Linux 上的 LibreOffice 同样需要加固。
- 过度依赖“已签名/可信列表”:历史上存在签名文档被欺骗的漏洞(如 CVE-2021-25635),在老旧版本中可信列表并不可靠,必须配合高安全级别与及时升级。
- 忽视宏的自动执行路径:宏可通过事件(如“打开文档”)或控件触发,切勿为了“方便”而降低安全级别;确需自动化的场景,应改为受签名脚本 + 最小权限并隔离运行。
五 版本与配置基线建议
| 项目 |
建议 |
| LibreOffice 版本 |
至少:7.0.5/7.1.1(修复签名欺骗类问题);更佳:≥24.8.5/25.2.1(修复 CVE-2025-1080) |
| 宏安全级别 |
高/非常高;仅对已签名宏放行 |
| 宏来源策略 |
仅信任内部/可验证发布者证书;定期审计信任列表 |
| 防病毒 |
ClamAV 安装并自动更新,启用定时/按需扫描 |
| 系统与安全 |
CentOS 与安全组件及时更新;最小权限与最小暴露面原则 |
以上基线可显著降低宏相关风险,并提升对新型攻击(如通过宏 URL 的脚本执行)的抵御能力。