CentOS中如何配置安全策略

以下是CentOS配置安全策略的关键步骤，涵盖系统加固、访问控制、日志监控等方面：

一、系统基础安全加固

1. 账户与权限管理

   • 禁用root远程登录：修改/etc/ssh/sshd_config，设置PermitRootLogin no，并重启SSH服务。
   • 删除非必要用户：使用userdel删除adm、lp等默认无用账户。
   • 强化密码策略：编辑/etc/login.defs，设置PASS_MIN_LEN 12等参数，启用密码复杂度检查。

2. 服务与端口管理

   • 禁用不必要的服务：使用systemctl disable <服务名>关闭telnet、rsh等高风险服务。
   • 限制端口访问：通过firewalld仅开放必要端口（如SSH 22、HTTP 80），关闭默认未使用端口。

二、防火墙配置（firewalld）

1. 基础规则设置

   • 启用防火墙并设置默认区域为public：

     sudo systemctl start firewalld  
     sudo firewall-cmd --set-default-zone=public  
     

   • 开放服务或端口：

     sudo firewall-cmd --permanent --add-service=http  # 开放HTTP服务  
     sudo firewall-cmd --permanent --add-port=22/tcp   # 开放SSH端口  
     sudo firewall-cmd --reload  
     

2. 高级规则（可选）

   • 限制IP访问：添加规则仅允许特定IP访问特定端口，例如：

     sudo firewall-cmd --permanent --add-rich-rule='rule source address="192.168.1.100" service name=http accept'  
     

三、SELinux强制访问控制

1. 启用与模式设置

   • 编辑/etc/selinux/config，设置SELINUX=enforcing，重启生效。
   • 临时切换模式：sudo setenforce 1（强制模式）或0（宽松模式）。

2. 策略配置

   • 查看当前策略上下文：ls -Z /path/to/file（查看文件安全上下文）。
   • 修改文件/目录上下文：sudo chcon -t httpd_sys_content_t /var/www/html。
   • 自定义策略模块（需编写.te文件并编译）：参考官方文档生成规则。

四、日志与监控

1. 系统日志配置

   • 确保rsyslog服务运行：sudo systemctl enable --now rsyslog。
   • 配置日志轮转：编辑/etc/logrotate.conf，设置日志保留天数和大小。

2. 入侵检测工具

   • 安装fail2ban防止暴力破解：配置/etc/fail2ban/jail.local，针对SSH等服务设置最大尝试次数。
   • 定期扫描恶意软件：使用clamav或rkhunter定期检测系统异常。

五、软件与补丁管理

1. 系统更新

   • 启用自动更新：sudo yum install yum-cron && sudo systemctl enable --now yum-cron。
   • 手动更新安全补丁：sudo yum update --security。

2. 软件源安全

   • 仅使用官方或可信的软件仓库，避免使用未验证的第三方源。

参考来源