1. 文件系统加密:防止未授权访问
使用LUKS(Linux Unified Key Setup)对磁盘分区或逻辑卷进行加密,是CentOS中最常用的文件系统级加密方案。操作步骤包括:安装cryptsetup工具;对目标分区执行cryptsetup luksFormat初始化加密(需设置强密码);通过cryptsetup luksOpen打开加密分区并映射为虚拟设备;格式化虚拟设备(如mkfs.ext4);挂载至指定目录。此外,还可结合LVM(逻辑卷管理)实现更灵活的加密架构(如加密物理卷后创建卷组和逻辑卷)。为提升便利性,可编辑/etc/crypttab(定义自动解密规则)和/etc/fstab(实现开机自动挂载)文件。
2. SELinux:强制访问控制增强安全性
SELinux(Security-Enhanced Linux)是CentOS内置的强制访问控制(MAC)系统,通过策略规则限制进程对文件、目录等资源的访问权限,弥补传统DAC(自主访问控制)的不足。启用SELinux的方法:编辑/etc/selinux/config文件,将SELINUX设置为enforcing(强制模式);使用restorecon命令恢复文件默认SELinux上下文;通过setsebool调整布尔值(如允许Apache访问用户家目录)。定期检查SELinux日志(/var/log/audit/audit.log)可及时发现并处理违规访问行为。
3. 文件权限与属性管理:精细化访问控制
通过chmod(修改文件权限)、chown(修改文件所有者/组)、chgrp(修改文件所属组)命令,严格控制用户对敏感文件(如/etc/shadow、数据库文件)和目录(如/root、/var/log)的访问权限。例如,将敏感文件权限设置为600(仅所有者可读写),目录权限设置为750(所有者可读写执行,组用户可读执行)。对于需要更精细控制的场景,可使用setfacl命令设置访问控制列表(ACL),为特定用户或组分配额外权限(如允许某用户读写/data/project目录)。
4. 备份与恢复策略:应对数据丢失风险
制定全面的备份策略是数据安全的最后一道防线,包括:
/etc、/home、数据库),使用tar(tar -cvpzf backup.tar.gz --exclude=/proc --exclude=/sys /)、rsync(rsync -aAXv / /backup/full)等工具,排除临时目录(如/tmp、/dev)以减少备份体积;rsync --incremental或tar --listed-incremental备份自上次备份以来变化的数据,节省存储空间和时间;crontab设置定时任务(如每天凌晨2点执行增量备份);将备份数据存储在异地(如云存储、外部硬盘),遵循3-2-1备份原则(3份备份、2种介质、1份异地);tar -tvf backup.tar.gz)和可恢复性(如在测试环境中恢复备份)。5. 审计与监控:及时发现异常行为
使用auditd(Linux审计守护进程)监控关键文件和目录的访问、修改行为,生成详细的审计日志(存储于/var/log/audit/audit.log)。配置审计规则的方法:使用auditctl命令(如auditctl -w /etc/passwd -p wa -k passwd_changes,监控/etc/passwd的写和属性变更);或编辑/etc/audit/rules.d/audit.rules文件添加永久规则。通过ausearch(ausearch -k passwd_changes)或aureport(aureport -f)命令分析日志,及时发现未授权访问或篡改行为。
6. 网络与系统安全配置:降低外部攻击风险
firewalld或iptables配置防火墙规则,仅允许必需的网络流量通过(如开放SSH端口22、HTTP端口80),拒绝其他不必要的端口;/etc/ssh/sshd_config,设置PermitRootLogin no);使用密钥认证代替密码认证(生成SSH密钥对并将公钥添加至~/.ssh/authorized_keys);限制SSH端口(如修改为Port 2222)并仅允许特定IP访问;yum groupinstall "Minimal Install"),减少潜在的安全漏洞;yum update命令更新系统和软件包,修补已知安全漏洞。