CentOS加固

一、系统安全防线

1、防火墙设置：

iptables（CentOS6及更早版本）：

启动命令：service iptables start

停止命令：service iptables stop

查看状态：service iptables status

重启命令：service iptables restart

清除策略：iptables F

设置默认策略为拒绝所有传入连接，允许本地回环接口和已建立的连接。

       iptables P INPUT DROP
       iptables A INPUT i lo j ACCEPT
       iptables A INPUT m state state ESTABLISHED,RELATED j ACCEPT

firewalld（CentOS7及更高版本）：

启动命令：systemctl start firewalld

关闭命令：systemctl stop firewalld

重启命令：systemctl restart firewalld

查看状态：systemctl status firewalld

设置开机自启：systemctl enable firewalld

配置规则以允许特定端口（如SSH）：

       firewallcmd permanent addport=22/tcp
       firewallcmd reload

TCPWrappers程序管控：

确保仅允许特定网络访问特定服务，编辑/etc/hosts.allow和/etc/hosts.deny文件。

2、SELinux：

启动命令：systemctl start selinux

关闭命令：systemctl stop selinux

查看状态：sestatus

临时调整到宽容模式：setenforce 0

永久关闭SELinux：编辑/etc/selinux/config文件，将SELINUX=enforcing改为SELINUX=disabled

二、身份鉴别与访问控制

1、密码策略：

设置密码复杂度和过期时间，编辑/etc/login.defs：

     PASS_MAX_DAYS 90
     PASS_MIN_DAYS 0
     PASS_WARN_AGE 7

使用chage命令修改用户密码策略。

2、空口令账户检查：

查找空口令账户：awk F: '($2=="") && ($3!=0) {print $1}' /etc/shadow

锁定或解锁账户：passwd l|u [username]

3、root权限管理：

禁止root用户直接登录SSH，编辑/etc/ssh/sshd_config：

     PermitRootLogin no

限制su到root的用户，编辑/etc/pam.d/su：

     auth required pam_wheel.so group=admin

4、SSH安全加固：

更改默认端口：编辑/etc/ssh/sshd_config中的Port参数。

禁用root登录和空密码登录，设置最大认证次数。

允许特定用户或用户组登录，通过AllowUsers或AllowGroups指令。

启用公钥认证并禁用密码认证。

三、日志与监控

1、日志记录：

确保系统日志记录全面，包括登录日志、SSH日志等。

定期检查日志文件，如/var/log/secure、/var/log/messages等。

2、入侵检测：

安装并配置入侵检测系统（IDS），如AIDE（Advanced Intrusion Detection Environment）。

定期扫描系统文件完整性。

四、资源控制与最小化安装

1、最小化安装：

仅安装必要的软件包和服务，减少攻击面。

使用yum或dnf的命令行工具进行软件管理。

2、资源限制：

使用ulimit命令限制用户进程的资源使用量，如CPU、内存等。

配置系统资源的硬限制和软限制，编辑/etc/security/limits.conf文件。

五、备份与恢复

1、备份策略：

定期备份重要数据和配置文件，使用tar、rsync等工具。

备份验证，确保备份数据的完整性和可恢复性。

存储备份于安全位置，如异地机房或云存储。

2、恢复演练：

定期进行恢复演练，确保在紧急情况下能迅速恢复系统。

记录恢复步骤和注意事项。

六、常见问题解答（FAQs）

Q1: 如何更改SSH默认端口？

A1: 编辑/etc/ssh/sshd_config文件，找到Port参数并设置为新的端口号，然后重启SSH服务。

Q2: 如何禁止root用户远程登录SSH？

A2: 编辑/etc/ssh/sshd_config文件，添加或修改PermitRootLogin no参数，然后重启SSH服务。

Q3: SELinux是什么，如何临时关闭它？

A3: SELinux是SecurityEnhanced Linux的缩写，是一种强制访问控制机制，临时关闭SELinux可以使用命令setenforce 0。

Q4: 如何限制特定用户的最大进程数？

A4: 编辑/etc/security/limits.conf文件，添加类似* hard nproc 100的行来限制所有用户的最大进程数，或指定特定用户。

CentOS加固是一个持续的过程，需要管理员根据系统的实际使用情况和安全需求不断调整和完善，通过实施上述加固措施，可以显著提升CentOS系统的安全性，降低被攻击的风险，管理员也应保持对最新安全动态的关注，及时更新系统补丁和安全策略。