CentOS系统安全配置防御维度

转载 于 2025-07-14 07:05:47 发布 · 35 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzU2OTYyODY4NA==&mid=2247500349&idx=1&sn=a5e82bb610fe66d7e9878ab3b8d189d7&chksm=fd5a4641b15a8fb3f4432de3f5791d33e393cb480c9507ed1347e7ddfbd38b130974c046d0d6&scene=126&sessionid=0
文章标签:

#centos #系统安全 #linux #运维 #服务器

安全部署防御维度都有哪些

    CentOS 系统安全配置的主要意图是构建一个防御性架构,通过多层次防护措施降低系统被攻击的风险,确保数据和服务的安全性、完整性和可用性。具体意图可分为以下核心方面:

1. 最小化攻击面

  • • 意图:减少系统暴露的潜在漏洞

  • • 实现方式

    • • 关闭非必要服务(如 avahi-daemoncups

    • • 卸载无用软件包

    • • 限制网络开放端口(通过防火墙规则)

    • • 禁用不必要的协议(如 ICMP 响应)

2. 身份认证加固

  • • 意图:防止未授权访问

  • • 实现方式

    • • 强制复杂密码策略(长度、字符类型)

    • • 禁用 root 远程登录

    • • 启用 SSH 密钥认证

    • • 配置账户锁定机制(如 fail2ban

3. 权限控制

  • • 意图:遵循最小权限原则

  • • 实现方式

    • • 严格设置文件/目录权限(如 /etc/passwd 只读)

    • • 清理 SUID/SGID 危险文件

    • • 通过 SELinux 实施强制访问控制(MAC)

    • • 配置合理的 umask 默认值

4. 入侵检测与防御

  • • 意图:实时监控和阻断恶意行为

  • • 实现方式

    • • 启用审计服务(auditd)记录关键操作

    • • 部署 fail2ban 防暴力破解

    • • 定期扫描 rootkit(rkhunterchkrootkit

    • • 内核级防护(如 ASLR 内存随机化)

5. 数据保护

  • • 意图:防止敏感信息泄露或篡改

  • • 实现方式

    • • 监控系统关键文件(如 /etc/shadow 的修改)

    • • 加密通信(SSH 强加密算法)

    • • 日志集中存储(防删除篡改)

6. 合规性要求

  • • 意图:满足安全标准(如等保、ISO27001)

  • • 实现方式

    • • 密码复杂度符合政策要求

    • • 留存审计日志(满足事后追溯)

    • • 定期漏洞扫描(如 lynis 自动化检查)

7. 持续性安全维护

  • • 意图:建立长期安全运维机制

  • • 实现方式

    • • 自动安全更新(yum-cron

    • • 定期安全检查任务(通过 cron 调度)

    • • 内核参数优化(如防 SYN 洪水攻击)

关键安全理念体现

  • • 纵深防御:不依赖单一防护层(网络+主机+应用)

  • • 默认拒绝:白名单机制(如防火墙只放行必要端口)

  • • 零信任:即使内部访问也需验证(如 SSH 密钥)

ℹ️ 注意:安全配置需平衡安全性与可用性。过度限制可能导致服务异常,建议在生产环境部署前进行充分测试。

具体配置如下

一、系统更新与补丁管理

  1. 1. 定期更新系统

sudo yum update -y
sudo yum upgrade -y

  1. 2. 启用自动安全更新

sudo yum install yum-cron -y
sudo systemctl enable yum-cron
sudo systemctl start yum-cron

配置 /etc/yum/yum-cron.conf 设置自动更新策略

二、账户与认证安全

  1. 1. 密码策略配置

sudo vi /etc/login.defs

修改以下参数:

PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 12
PASS_WARN_AGE 14

  1. 2. 安装并配置 pam_pwquality

sudo yum install libpwquality -y
sudo vi /etc/security/pwquality.conf

添加/修改:

minlen = 12
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1

  1. 3. 限制root远程登录

sudo vi /etc/ssh/sshd_config

修改:

PermitRootLogin no

三、SSH安全加固

  1. 1. 修改SSH默认端口

sudo vi /etc/ssh/sshd_config

修改:

Port 2222  # 改为非标准端口

  1. 2. 启用密钥认证,禁用密码认证

PubkeyAuthentication yes
PasswordAuthentication no

  1. 3. 限制SSH访问IP

AllowUsers user@192.168.1.*

  1. 4. 配置SSH超时

ClientAliveInterval 300
ClientAliveCountMax 0

  1. 5. 重启SSH服务

sudo systemctl restart sshd

四、防火墙配置

  1. 1. 启用firewalld

sudo systemctl enable firewalld
sudo systemctl start firewalld

  1. 2. 基本规则配置

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=2222/tcp  # 如果修改了SSH端口
sudo firewall-cmd --reload

  1. 3. 限制ICMP

sudo firewall-cmd --permanent --add-icmp-block=echo-reply
sudo firewall-cmd --permanent --add-icmp-block=echo-request

五、SELinux配置

  1. 1. 检查SELinux状态

sestatus

  1. 2. 配置为强制模式

sudo vi /etc/selinux/config

确保:

SELINUX=enforcing

六、文件系统安全

  1. 1. 关键目录权限设置

sudo chmod 700 /boot /usr/src /lib/modules /etc/sysconfig/network-scripts
sudo chmod 750 /var/log

  1. 2. 设置umask

sudo vi /etc/profile

添加:

umask 027

  1. 3. 禁用不必要的SUID/SGID

find / -perm /4000 -type f -exec ls -la {} \; 2>/dev/null
find / -perm /2000 -type f -exec ls -la {} \; 2>/dev/null

七、服务与进程安全

  1. 1. 禁用不必要的服务

sudo systemctl disable avahi-daemon cups bluetooth
sudo systemctl stop avahi-daemon cups bluetooth

  1. 2. 检查监听端口

sudo netstat -tulnp
sudo ss -tulnp

八、日志与监控

  1. 1. 启用审计服务

sudo yum install audit -y
sudo systemctl enable auditd
sudo systemctl start auditd

  1. 2. 配置审计规则

sudo vi /etc/audit/audit.rules

添加:

-w /etc/passwd -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity

  1. 3. 安装并配置fail2ban

sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

九、内核参数加固

  1. 1. 修改sysctl配置

sudo vi /etc/sysctl.conf

添加:

net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.default.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.accept_redirects=0
net.ipv6.conf.all.accept_redirects=0
net.ipv4.tcp_syncookies=1
kernel.exec-shield=1
kernel.randomize_va_space=2

  1. 2. 应用配置

sudo sysctl -p

十、定期安全检查

  1. 1. 安装安全检查工具

sudo yum install rkhunter chkrootkit lynis -y

  1. 2. 定期扫描

sudo rkhunter --check
sudo chkrootkit
sudo lynis audit system

  1. 3. 设置cron任务定期检查

sudo crontab -e

添加:

0 3 * * * /usr/bin/rkhunter --check --cronjob

    通过以上全面的安全配置,可以显著提高CentOS系统的安全性。根据实际环境需求,可能需要调整某些配置项。建议在实施前在测试环境验证,并确保有完整的备份和回滚方案。

不想错过文章内容?读完请点一下“在看图片,加个关注”,您的支持是我创作的动力

期待您的一键三连支持(点赞、在看、分享~)

博客
这些VLAN ID不能随便用,你知道吗?
08-12 235
在网络配置中,某些VLAN ID具有特殊用途或被系统保留,如果随意使用这些VLAN,可能导致网络功能异常甚至瘫痪。在网络配置中,某些VLAN ID具有特殊用途或被系统保留,如果随意使用这些VLAN,可能导致网络功能异常甚至瘫痪。‌:用于指定没有VLAN标记的流量,在虚拟化环境中可能用于解除VLAN绑定。‌:虽然这些老式网络协议已很少使用,但使用这些VLAN可能导致兼容性问题。‌:不同业务应使用不同VLAN进行隔离,避免使用默认VLAN 1。‌:建议使用VLAN 2-1001范围内的ID作为业务VLAN。
博客
NAT server之服务器映射(端口映射)--华为篇
08-06 32
上面提到过服务器属于内网里面,本身地址是私网的,是无法被公网访问到,那这个时候公网的访问端能够访问的就是出口路由器的公网IP,服务器映射(端口映射)它的功能就是把出口公网IP地址对应的某个端口号,映射到内网某个地址的端口号上面来,这样当公网终端访出口路由器的公网IP某个端口号的时候,出口路由器就会把它转发给内网服务器,实现资源的访问,这里顺便说一下,不同路由器厂商对于技术的称呼不太一样,有叫端口映射的,有叫服务器映射的,指的都是这个功能。
博客
服务器的常见六种业务部署类型,千字长文介绍!
08-05 331
用于处理 HTTP/HTTPS 请求,向客户端(如浏览器)返回静态或动态内容的软件/硬件系统,是互联网服务的直接入口。通过 CGI、FastCGI 或模块(如 PHP-FPM)调用后端程序(如 Python、Java)生成动态页面。处理电子邮件收发、存储、路由的专用系统,基于 SMTP(发送)、POP3/IMAP(接收)协议实现通信。客户端与目标服务器间的中间层,负责请求转发、响应拦截,分正向代理(代表客户端)和反向代理(代表服务器)。负载均衡(Nginx 分发请求)、SSL 终结、缓存静态资源加速访问。
博客
22张图带你了解IP地址有什么作用
08-04 28
不同楼就相当于网络号,有不同的标识,而同一栋楼的有很多住户,每个住户的门牌号都是不一样的,不会有重复,这样就方便定位了。,那么数据通信A与B之间其实是可以直接通信的,有可能B的数据发送了广播报文的,导致A收到了,同样A发送的某些数据包,B也收到了,对于这样的场景,可能客户为了安全性就会选择去其他运营商购买,并且要求独立的网段,这问题对于运营商来说就头疼了,一个C内网段最少也有254个地址,一个公司有又不需要购买这么多,一部分给A,一个部分给B呢,又说不安全,空着吧,又浪费了。
博客
收藏!企业遭遇勒索病毒攻击?这份应急响应实战指南请收好!(文末赠书)
08-01 33
想象一下,周一早上你刚到办公室,打开电脑却发现桌面变成了一片"血红色",所有文件都无法打开,屏幕上赫然显示着"Your files have been encrypted!据统计,勒索病毒已成为企业面临的头号网络威胁,平均每11秒就有一个企业遭受攻击。通过以上实战命令,我们掌握了勒索病毒应急响应的核心技术。四、样本分析:恶意代码检测。五、内存取证:高级分析技术。六、系统加固:防护命令实战。七、监控告警:自动化脚本。
博客
小心!“赚钱路由器” 背后的坑
07-31 479
当邻居也想看同一部剧时,不用再去遥远的服务器下载,直接从你手机里取数据 —— 这就是 PCDN 的核心逻辑:把每个用户的设备变成小型 “数据中转站”。最近不少网友反映,家里的宽带突然变卡,联系运营商维修后才发现 —— 罪魁祸首竟是那个号称 “能赚电费” 的路由器。:传统 CDN 需要租用运营商的机房和高价带宽,PCDN 却把 “节点” 建在用户家里,直接让运营商少了一块肥肉。就像网友调侃的:“你用着运营商的网,帮别人赚运营商的钱,还占用运营商的资源 —— 这不被封杀才怪!简单说就是 “共享带宽赚钱”
博客
揭秘 Linux 网卡混杂模式:想学就看这篇指南
07-30 51
经常在技术论坛看到有人问:“开启网卡混杂模式算不算黑客行为?混杂模式只是 Linux 网卡的一种工作状态,就像手机的 “飞行模式” 一样,关键在于怎么用。用途场景:混杂模式常用于网络抓包(如 Wireshark、tcpdump)、网络监控或入侵检测系统(IDS)。网络管理工具(如 Netplan、NetworkManager)通常不支持直接配置混杂模式。通过上述步骤,您可以灵活地管理网卡的混杂模式。在混杂模式下,网卡会捕获所有经过网络的流量(而不仅是目标为本机的数据包)。确认要设置的网卡名称(如。
博客
11款网络监控工具网络监控工具哪家强?各自优势对比,有免费工具,并附下载链接!
07-29 909
硬件健康监控 → Observium:自动识别设备传感器,运维省心。传感器模型灵活:预置500+传感器(如带宽、CPU、Ping),拖拽式仪表盘搭建。Grafana 提供 90+ 数据源支持,可定制动态仪表盘(如实时流量热力图、集群健康雷达图)。集成网络设备、服务器、应用性能(APM)、流量分析(NetFlow)于一体。免费版(100传感器)+ 付费版(按传感器数量阶梯计价,$1600/年起)。按节点/功能模块收费,入门版超$3000,大型部署可达数十万美元。
博客
火绒安全软件能保护windows么
07-28 527
火绒安全软件是一款中国本土开发的免费安全软件,主打“轻量、干净、无广告”,在用户口碑中表现良好。• 对安全性要求极高的用户,建议搭配Windows Defender或国际杀软(如卡巴斯基免费版)使用。• 企业用户建议考虑更专业的端点防护方案(如奇安信、深信服等国产企业级产品)。• 内存占用小(通常<50MB),对系统性能影响极低,适合老旧电脑。
博客
Windows系统入侵痕迹自查指南
07-25 81
当怀疑 Windows 系统可能被入侵时,需要从多个方向进行排查,以发现攻击者的活动痕迹。用户账户、登录日志、进程服务、文件系统、注册表、网络连接、日志完整性。查看是否有异常端口开放(如 4444、5555 等常见后门端口)。(微软 Sysinternals 工具):检查所有自启动项。• 来自异常 IP 的登录(如国外 IP)。查看是否有异常 IP 连接(如境外 IP)。• 大量失败的登录尝试(可能为暴力破解)。异常小(如几 KB),可能被清理。(内存取证):分析内存中的恶意进程。
博客
【案例实战】系统信息安全与管理
07-24 35
以上是本次实战的任务描述和要求,下面我将分析本次实战的操作过程,这是整个实战内容的第3部分,其他2部分后面会进行分享,希望对大家有一定的帮助。包括了实战环境说明、系统安装与配置、DNS配置、CA配置、https配置、mysql服务配置、WordPress站点搭建、NFS服务配置、(解释:每分钟执行一次,每次执行脚本后休眠 20 秒,再执行,共 3 次,实现 “每分钟检查 3 次”)通过另一终端尝试 SSH 登录,输入错误密码 3 次,确认被拒绝。:监控 “写操作(w)” 和 “属性修改(a)”
博客
一款有意思的监控平台,工匠之心,独具风格,眼前一亮!
07-23 48
这些设计也符合日常运维工作的处理流程,比如“告警确认”功能,当告警发生了,我们首先需要“确认”,就是“我知道了,别在发告警了”平台便不会再推送这个告警,只计算“持续时间”。从“基础配置管理”开始,按照设计逻辑,一步一步的往下走即可,对使用者非常友好,每个功能,都是有引导步骤,操作非常好友,大大降低了平台的使用难度,能够节约很多学习时间。.如果嫌阿里云,腾讯云的贵,这个就很Nice了,支持集群拨测,具备拨测的基础功能,满足一般网站的监测,足够用了。学习成本,实施成本,后期维护成本,都很低。
博客
交换机能替代路由器吗?
07-22 392
若PC1(192.168.1.10)与PC2(192.168.2.20)在不同子网,交换机因无法识别IP路由规则,导致通信完全中断 ‌。路由器提供多样化的广域网接口(如光纤、ADSL),支持PPPoE拨号等协议;高效处理不同VLAN或子网间的通信(如VLAN 10与VLAN 20互访),性能优于传统路由器。家庭宽带中,将手机/电脑的私有IP(如192.168.1.10)转换为公网IP访问互联网。‌跨网段路由数据包,连接不同网络(如局域网与互联网)‌。‌,无法过滤恶意流量,网络安全风险高 ‌。
博客
网络协议,生活具象化比喻,看一次笑一次
07-22 46
不想错过文章内容?读完请点一下“在看”,加个“关注”,您的支持是我创作的动力期待您的一键三连支持(点赞、在看、分享~)
博客
Windows系统这些关键目录,你最好需要知道一点!
07-18 114
Windows 操作系统中包含许多重要的系统目录,这些目录存放了操作系统、程序文件、用户数据以及临时文件等。隐藏目录:许多系统目录默认隐藏,需在文件资源管理器中启用“显示隐藏的文件/文件夹”。(Windows Side-by-Side):存储系统组件的多个版本,用于兼容性。Windows 系统的核心目录,包含系统文件、驱动程序、DLL 库等。存储所有用户共享的应用程序数据(如软件配置、缓存等)。所有用户共享的公共文件夹(如共享文档、桌面等)。:低权限程序数据(如浏览器临时文件)。
博客
CentOS7止维护满一年,国产操作系统到底怎么样了呢?
07-17 1089
深度优化内核性能,提供热补丁升级(Live Patching),减少业务中断风险。兼容CentOS生态,提供迁移工具链(如chameleon),支持一键式应用迁移。类macOS界面设计,预装Wine兼容层支持Windows应用(如微信、WPS)。银河麒麟面向军民融合场景,支持高可用集群和国产中间件(如金蝶、达梦数据库)。开源社区治理,支持鲲鹏、飞腾等国产CPU架构,通过公安部等保四级认证。麟V10强化安全隔离机制(如强制访问控制),适配龙芯、申威等国产芯片。
博客
实际中,出口路由器是如何对接到互联网的(DHCP方式)
07-16 71
很多书籍或者视频里面会把互联网用很多设备来进行模拟,但是实际中,我们通常作为企业网的部署与搭建,从运营商那边购买了宽带线路,不管是用PPPOE、DHCP、专线哪种对接方式,运营商都会把数据打通,至于他们是如何打通以及内网怎么运作的,作为我们来说是不需要去关心的,同样的,运营商那边把宽带拉到对应点位后,测试没问题,他们安排的师傅就会跟企业的IT负责人验收好,然后就走人了,他们也不会去关心你企业网内部是如何运作的,这个就是现实中的情况。(实际中我们打开网页就是需要DNS,这里模拟的更加真实)
博客
交换机的堆叠、集群、链路聚合的作用和区别是什么?
07-15 347
交换机堆叠(Stacking)、集群(Clustering)和链路聚合(Link Aggregation)是提升网络性能、可靠性和可管理性的核心技术,但其设计目标、实现方式和适用场景存在本质差异。将多个物理端口绑定为单一逻辑端口(如Eth-Trunk),成倍提升链路带宽(例如4条千兆链路聚合为4Gbps)。多台高端交换机(如框式设备)通过高速互联(如40G光纤)组成逻辑系统,独立运行但协同转发。办公楼每层部署1台接入交换机,通过堆叠统一管理,支持跨设备链路聚合(如MLAG)。
博客
我整理的Wireshark实战技巧,网络问题秒解决!
07-11 125
Wireshark 作为网络分析的瑞士军刀,其强大之处不仅在于功能丰富,更在于它让我们能够"看见"网络通信的每一个细节。从基础的过滤器开始,逐步深入到协议分析和安全检测,相信你也能成为网络分析高手!解决:Edit → Preferences → Protocols → HTTP → 设置字符编码为 UTF-8。这时候,Wireshark 就成了我们的"火眼金睛",能够透视网络流量的每一个细节。
博客
HW-2025防守技战法写作全攻略
07-10 552
每年HW行动,蓝队兄弟们熬夜守防线、封IP、加策略,忙得团团转,但事后复盘时却发现:同样的攻击手法反复中招,相似的漏洞反复被突破。技战法不仅是“事件复盘报告”,更是将零星防御经验转化为可复用、可传承的战术资产,直接提升团队攻防效率。团队协作:攻击者是“军团”,防守者需共享技战法(如建立企业内部“防御战术百科”)。答案藏在“技战法”里——红队有“攻击战术库”,蓝队更需要“防御技战法”!注意:区分“临时措施”和“长期策略”,技战法需聚焦可复用的防御逻辑。今天你写的每一篇技战法,都是明天少熬的一夜、少丢的一分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值