CentOS Trigger安全加固指南
“CentOS Trigger”通常指CentOS系统中用于自动化任务执行的触发机制(如数据库触发器、脚本触发器或系统监控触发器)。由于缺乏针对“CentOS Trigger”的专门安全规范,以下基于CentOS系统安全的通用最佳实践,覆盖账户、权限、网络、系统配置等关键环节,可有效提升Trigger及相关系统的安全性:
/etc/passwd文件识别具有root权限的账户(如adm、lp等),使用usermod -L锁定闲置账户,减少潜在攻击入口。/etc/login.defs文件,设置密码复杂度要求(至少10位,包含大小写字母、数字和特殊字符),并启用密码过期机制(如PASS_MAX_DAYS 90)。sync、shutdown),避免未使用的账户被恶意利用。/etc/pam.d/su文件,添加auth required pam_wheel.so use_uid,仅允许wheel组用户使用su切换至root,降低权限提升风险。firewalld(推荐)或iptables配置规则,仅开放Trigger服务所需的端口(如SSH的22端口、数据库的3306端口),拒绝其他无关流量。例如:firewall-cmd --permanent --add-service=ssh && firewall-cmd --reload。/etc/ssh/sshd_config文件,设置PermitRootLogin no,禁止root用户通过SSH远程登录,强制使用普通用户+su/sudo的方式提升权限。/etc/ssh/sshd_config中添加AllowUsers your_username(替换为实际用户名),仅允许指定IP或用户通过SSH连接,防止暴力破解。yum update -y命令定期更新CentOS系统和所有已安装的软件包,及时修复已知安全漏洞(如内核漏洞、服务漏洞)。systemctl list-unit-files --type=service查看所有服务,禁用未使用的服务(如telnet、ftp、cups),使用systemctl disable service_name命令关闭,减少潜在的攻击向量。ssh-keygen -t rsa生成密钥,ssh-copy-id user@host复制公钥至服务器),替代密码登录,避免密码泄露风险。auditd工具(yum install audit -y),配置审计规则监控关键文件(如/etc/passwd、/etc/shadow、Trigger脚本路径)的访问和修改,例如:auditctl -w /path/to/trigger_script.sh -p wa -k trigger_script_changes,记录所有写入或修改操作。logrotate(/etc/logrotate.conf)定期压缩和归档系统日志(如/var/log/messages、/var/log/secure),防止日志文件过大占用磁盘空间,同时保留历史记录以便溯源。rsyslog或journalctl收集系统日志,设置告警规则(如通过邮件或短信通知管理员),及时响应异常登录、未授权访问等安全事件。chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow命令将口令文件设为不可修改,防止恶意篡改(如修改密码哈希值)。gpg、openssl)加密存储,避免明文泄露。tar、rsync或专业备份工具(如Bacula)备份Trigger脚本、配置文件及数据库,将备份存储至离线介质(如外部硬盘)或异地云存储,防止数据丢失。以上措施覆盖了CentOS Trigger安全的常见风险点,需根据实际环境(如Trigger的具体用途、网络架构)调整策略,并定期进行安全评估(如漏洞扫描、渗透测试),确保系统持续安全。