1. 确认漏洞信息
首先需明确系统是否受特定漏洞影响,可通过查看系统版本(如cat /etc/centos-release)、查阅官方安全公告(如CentOS官方安全邮件列表、CVE数据库)或使用漏洞扫描工具(如Nexpose、OpenVAS、Nessus)识别漏洞。例如,若检测到Apache Druid的CVE-2023-25194漏洞,需确认系统是否部署了该组件及版本是否符合漏洞影响范围。
2. 备份重要数据
修复前务必备份系统配置文件(如/etc/ssh/sshd_config、/etc/sysconfig/iptables)、业务数据(如数据库文件、网站文件)及用户数据,可使用tar命令打包备份(如tar -czvf /backup/system_backup_$(date +%F).tar.gz /etc /var/www /home),防止操作失误导致数据丢失。
3. 更新系统及软件包
通过包管理工具更新系统和已安装软件包至最新版本,修复已知安全漏洞:
yum命令:sudo yum update -y(更新所有可更新软件包);dnf命令:sudo dnf update -y。sudo reboot或sudo systemctl restart sshd)以应用更改。4. 应用特定安全补丁
若漏洞无通用更新(如特定软件的CVE漏洞),需下载并安装官方提供的安全补丁。例如,修复OpenSSH漏洞时,可从官网下载最新版本的RPM包,使用rpm命令强制安装(如rpm -Uvh openssh-*.rpm --nodeps --force),安装后修改配置文件(如/etc/ssh/sshd_config)并重启服务(systemctl restart sshd)。
5. 配置防火墙限制访问
使用firewalld(推荐)或iptables配置防火墙规则,限制不必要的外部访问:
firewalld:sudo systemctl enable --now firewalld;sudo firewall-cmd --permanent --add-service=ssh;sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" port protocol="tcp" port="22" accept';sudo firewall-cmd --reload。6. 强化系统与服务安全
/etc/ssh/sshd_config,设置PermitRootLogin no(禁止root远程登录)、PasswordAuthentication no(禁用密码登录,改用密钥认证)、Port 2222(修改默认端口),保存后重启SSH服务;systemctl disable命令关闭未使用的服务(如telnet、ftp),减少攻击面;/etc/login.defs,设置PASS_MIN_LEN 12(密码最小长度12位)、PASS_WARN_AGE 7(密码过期前7天警告),并使用chage命令强制用户修改密码。7. 持续监控与定期扫描
fail2ban(防止暴力破解),配置/etc/fail2ban/jail.local启用SSH防护(enabled = true),自动封禁多次登录失败的IP;