CentOS服务器安全加固步骤详解 从零开始构建安全可靠的服务器环境 系统管理员必备的安全配置与防护措施指南

威震华夏关云长

引言

CentOS是许多企业和组织首选的服务器操作系统，因其稳定性、安全性和兼容性而受到广泛欢迎。然而，即使是最安全的操作系统也需要适当的配置和维护才能确保其安全性。本文将详细介绍如何从零开始构建一个安全可靠的CentOS服务器环境，包括系统管理员必备的安全配置与防护措施。

初始系统安装与配置

最小化安装

在安装CentOS服务器时，应始终选择最小化安装选项。这可以减少不必要的软件包和服务，从而减少潜在的攻击面。

2. # 在安装过程中选择"Minimal Install"选项

复制代码

磁盘分区

合理的磁盘分区策略可以提高系统的安全性和稳定性。建议至少创建以下分区：

• /boot：启动分区，至少500MB
• /：根分区，根据服务器用途分配足够空间
• /home：用户数据分区
• /tmp：临时文件分区
• /var：变量数据分区，特别是如果服务器将运行数据库或Web服务
• swap：交换分区，大小通常是RAM的1-2倍

2. # 示例分区方案
3. /boot    500MB
4. /        20GB
5. /home    10GB
6. /tmp     5GB
7. /var     20GB
8. swap     8GB (假设系统有4GB RAM)

复制代码

网络配置

安装完成后，应立即配置网络设置，确保服务器能够连接到互联网以下载更新和安全补丁。

2. # 编辑网络配置文件
3. vi /etc/sysconfig/network-scripts/ifcfg-eth0
5. # 示例配置
6. DEVICE=eth0
7. BOOTPROTO=static
8. ONBOOT=yes
9. IPADDR=192.168.1.100
10. NETMASK=255.255.255.0
11. GATEWAY=192.168.1.1
12. DNS1=8.8.8.8
13. DNS2=8.8.4.4
15. # 重启网络服务
16. systemctl restart network

复制代码

系统更新与补丁管理

初始系统更新

安装完成后，应立即更新系统到最新版本，以修复已知的安全漏洞。

2. # 更新系统
3. yum update -y
5. # 如果可用，安装EPEL仓库
6. yum install epel-release -y

复制代码

自动更新配置

配置系统自动安装安全更新，以确保系统始终保持最新状态。

2. # 安装yum-cron包
3. yum install yum-cron -y
5. # 编辑yum-cron配置
6. vi /etc/yum/yum-cron.conf
8. # 确保以下设置正确
9. apply_updates = yes
10. update_cmd = security
11. update_messages = yes
12. download_updates = yes
13. emit_via = email
14. email_from = root@localhost
15. email_to = admin@example.com
17. # 启用并启动yum-cron服务
18. systemctl enable yum-cron
19. systemctl start yum-cron

复制代码

定期手动检查更新

尽管配置了自动更新，但仍应定期手动检查和安装更新，特别是对于关键系统。

2. # 检查可用更新
3. yum check-update
5. # 安装所有可用更新
6. yum update -y
8. # 仅安装安全更新
9. yum update --security -y

复制代码

用户账户安全配置

禁用root远程登录

为了提高安全性，应禁用root账户的远程SSH登录，使用普通用户登录后通过sudo执行特权命令。

2. # 创建一个新的管理员用户
3. useradd admin
4. passwd admin
6. # 将新用户添加到wheel组，使其能够使用sudo
7. usermod -aG wheel admin
9. # 编辑SSH配置文件，禁用root远程登录
10. vi /etc/ssh/sshd_config
12. # 找到并修改以下行
13. PermitRootLogin no
15. # 重启SSH服务
16. systemctl restart sshd

复制代码

强密码策略

配置强密码策略，要求用户使用复杂密码。

2. # 安装libpwquality包
3. yum install libpwquality -y
5. # 编辑密码质量配置文件
6. vi /etc/security/pwquality.conf
8. # 修改或添加以下设置
9. minlen = 12
10. minclass = 4
11. dcredit = -1
12. ucredit = -1
13. lcredit = -1
14. ocredit = -1
15. maxrepeat = 3
16. maxclassrepeat = 3
17. gecoscheck = 1
18. dictcheck = 1
19. usercheck = 1
20. enforce_for_root

复制代码

密码老化策略

配置密码老化策略，强制用户定期更改密码。

2. # 编辑登录配置文件
3. vi /etc/login.defs
5. # 修改或添加以下设置
6. PASS_MAX_DAYS   90
7. PASS_MIN_DAYS   7
8. PASS_WARN_AGE   14

复制代码

用户会话超时

配置用户会话超时，自动终止空闲会话。

2. # 编辑profile文件
3. vi /etc/profile
5. # 添加以下设置
6. TMOUT=600
7. readonly TMOUT
8. export TMOUT
10. # 使设置立即生效
11. source /etc/profile

复制代码

限制su命令

限制能够使用su命令切换到root用户的用户组。

2. # 编辑PAM配置文件
3. vi /etc/pam.d/su
5. # 取消以下行的注释
6. auth           required        pam_wheel.so use_uid

复制代码

SSH安全配置

更改SSH默认端口

更改SSH默认端口可以减少自动化攻击的风险。

2. # 编辑SSH配置文件
3. vi /etc/ssh/sshd_config
5. # 修改端口设置
6. Port 2222
8. # 重启SSH服务
9. systemctl restart sshd

复制代码

禁用密码认证，启用密钥认证

禁用密码认证，只允许使用SSH密钥进行认证，可以大大提高安全性。

2. # 在本地计算机上生成SSH密钥对
3. ssh-keygen -t rsa -b 4096
5. # 将公钥复制到服务器
6. ssh-copy-id -i ~/.ssh/id_rsa.pub admin@server_ip -p 2222
8. # 编辑SSH配置文件
9. vi /etc/ssh/sshd_config
11. # 修改或添加以下设置
12. PasswordAuthentication no
13. PubkeyAuthentication yes
14. ChallengeResponseAuthentication no
16. # 重启SSH服务
17. systemctl restart sshd

复制代码

限制SSH用户访问

限制哪些用户可以通过SSH访问服务器。

2. # 编辑SSH配置文件
3. vi /etc/ssh/sshd_config
5. # 添加允许或拒绝的用户
6. AllowUsers admin user1 user2
7. # 或者
8. DenyUsers root user3 user4
10. # 重启SSH服务
11. systemctl restart sshd

复制代码

使用SSH封装工具

使用如fail2ban等工具来防止暴力破解攻击。

2. # 安装EPEL仓库（如果尚未安装）
3. yum install epel-release -y
5. # 安装fail2ban
6. yum install fail2ban -y
8. # 创建fail2ban配置文件
9. cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
11. # 编辑fail2ban配置
12. vi /etc/fail2ban/jail.local
14. # 修改SSH监狱设置
15. [sshd]
16. enabled = true
17. port = 2222
18. findtime = 600
19. bantime = 3600
20. maxretry = 3
22. # 启动并启用fail2ban服务
23. systemctl start fail2ban
24. systemctl enable fail2ban

复制代码

防火墙配置

启用firewalld

CentOS 7及更高版本默认使用firewalld作为防火墙管理工具。

2. # 启动并启用firewalld
3. systemctl start firewalld
4. systemctl enable firewalld
6. # 检查firewalld状态
7. firewall-cmd --state

复制代码

配置防火墙规则

根据服务器用途配置适当的防火墙规则。

2. # 查看当前区域和活动区域
3. firewall-cmd --get-active-zones
4. firewall-cmd --get-default-zone
6. # 设置默认区域
7. firewall-cmd --set-default-zone=public
9. # 开放必要的端口（例如SSH、HTTP、HTTPS）
10. firewall-cmd --permanent --add-port=2222/tcp
11. firewall-cmd --permanent --add-service=http
12. firewall-cmd --permanent --add-service=https
14. # 重新加载防火墙配置
15. firewall-cmd --reload
17. # 查看开放的端口和服务
18. firewall-cmd --list-ports
19. firewall-cmd --list-services

复制代码

限制特定IP访问

限制特定服务只能被特定IP访问。

2. # 创建富规则以限制SSH访问
3. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
5. # 拒绝所有其他SSH连接尝试
6. firewall-cmd --permanent --remove-service=ssh
8. # 重新加载防火墙配置
9. firewall-cmd --reload

复制代码

配置端口转发

如果需要配置端口转发。

2. # 添加端口转发规则（例如将80端口转发到8080）
3. firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
5. # 重新加载防火墙配置
6. firewall-cmd --reload

复制代码

服务安全加固

禁用不必要的服务

禁用不必要的服务可以减少攻击面。

2. # 查看所有启用的服务
3. systemctl list-unit-files | grep enabled
5. # 禁用不必要的服务
6. systemctl disable postfix
7. systemctl disable telnet.socket
8. systemctl disable rsh.socket
9. systemctl disable rlogin.socket
10. systemctl disable ntalk
11. systemctl disable ypbind

复制代码

SELinux配置

SELinux（Security-Enhanced Linux）是一个强制访问控制（MAC）系统，可以提供额外的安全层。

2. # 检查SELinux状态
3. sestatus
5. # 如果SELinux被禁用，编辑配置文件启用它
6. vi /etc/selinux/config
8. # 修改以下行
9. SELINUX=enforcing
11. # 重启系统以应用更改
12. reboot

复制代码

服务特定安全配置

根据服务器上运行的服务，进行特定的安全配置。

2. # 对于Apache
3. yum install httpd -y
5. # 编辑Apache配置文件
6. vi /etc/httpd/conf/httpd.conf
8. # 修改或添加以下设置
9. ServerTokens Prod
10. ServerSignature Off
11. TraceEnable Off
13. # 启动并启用Apache
14. systemctl start httpd
15. systemctl enable httpd
17. # 对于Nginx
18. yum install nginx -y
20. # 编辑Nginx配置文件
21. vi /etc/nginx/nginx.conf
23. # 修改或添加以下设置
24. server_tokens off;
26. # 启动并启用Nginx
27. systemctl start nginx
28. systemctl enable nginx

复制代码

2. # 安装MariaDB
3. yum install mariadb-server mariadb -y
5. # 启动并启用MariaDB
6. systemctl start mariadb
7. systemctl enable mariadb
9. # 运行安全安装脚本
10. mysql_secure_installation
12. # 编辑MariaDB配置文件
13. vi /etc/my.cnf
15. # 添加以下设置
16. [mysqld]
17. skip-networking
18. bind-address = 127.0.0.1
19. local-infile=0
21. # 重启MariaDB
22. systemctl restart mariadb

复制代码

2. # 安装vsftpd
3. yum install vsftpd -y
5. # 编辑vsftpd配置文件
6. vi /etc/vsftpd/vsftpd.conf
8. # 修改或添加以下设置
9. anonymous_enable=NO
10. local_enable=YES
11. write_enable=YES
12. chroot_local_user=YES
13. allow_writeable_chroot=YES
14. pasv_min_port=40000
15. pasv_max_port=50000
17. # 启动并启用vsftpd
18. systemctl start vsftpd
19. systemctl enable vsftpd
21. # 配置防火墙规则
22. firewall-cmd --permanent --add-service=ftp
23. firewall-cmd --permanent --add-port=40000-50000/tcp
24. firewall-cmd --reload

复制代码

文件系统安全

文件权限设置

正确设置文件权限可以防止未授权访问。

2. # 设置关键目录的权限
3. chmod 700 /root
4. chmod 750 /home
5. chmod 755 /var/www/html
6. chmod 644 /etc/passwd
7. chmod 600 /etc/shadow
8. chmod 644 /etc/group
9. chmod 600 /etc/gshadow
11. # 查找并修复权限不正确的文件
12. find / -type f -name "*.sh" -exec chmod 750 {} \;
13. find / -type f -name "*.php" -exec chmod 640 {} \;

复制代码

禁用挂载SUID/SGID二进制文件

SUID和SGID位允许用户以文件所有者或组的权限执行文件，这可能带来安全风险。

2. # 查找所有SUID文件
3. find / -type f -perm -4000 -ls
5. # 查找所有SGID文件
6. find / -type f -perm -2000 -ls
8. # 禁用不必要的SUID/SGID文件
9. chmod a-s /path/to/file

复制代码

配置文件系统挂载选项

使用安全的挂载选项来增强文件系统安全性。

2. # 编辑fstab文件
3. vi /etc/fstab
5. # 修改挂载选项，添加noexec、nodev和nosuid
6. /dev/sda1   /boot   ext4    defaults,noexec,nodev,nosuid   0   0
7. /dev/sda2   /tmp    ext4    defaults,noexec,nodev,nosuid   0   0
8. /dev/sda3   /var    ext4    defaults,nodev,nosuid   0   0

复制代码

使用文件系统加密

对敏感数据使用文件系统加密。

2. # 安装cryptsetup
3. yum install cryptsetup -y
5. # 创建加密分区
6. cryptsetup luksFormat /dev/sdb1
8. # 打开加密分区
9. cryptsetup open /dev/sdb1 encrypted_data
11. # 格式化加密分区
12. mkfs.ext4 /dev/mapper/encrypted_data
14. # 挂载加密分区
15. mount /dev/mapper/encrypted_data /mnt/encrypted_data

复制代码

系统监控与日志管理

配置集中式日志管理

配置集中式日志管理可以帮助管理员更好地监控和分析系统活动。

2. # 安装rsyslog
3. yum install rsyslog -y
5. # 编辑rsyslog配置文件
6. vi /etc/rsyslog.conf
8. # 添加以下设置以启用远程日志接收
9. $ModLoad imtcp
10. $InputTCPServerRun 514
12. # 启动并启用rsyslog
13. systemctl start rsyslog
14. systemctl enable rsyslog
16. # 配置防火墙规则
17. firewall-cmd --permanent --add-port=514/tcp
18. firewall-cmd --reload

复制代码

安装和配置日志分析工具

安装和配置日志分析工具，如logwatch或ELK Stack。

2. # 安装logwatch
3. yum install logwatch -y
5. # 配置logwatch
6. cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf
8. # 编辑logwatch配置
9. vi /etc/logwatch/conf/logwatch.conf
11. # 修改以下设置
12. Output = mail
13. Format = html
14. MailTo = admin@example.com
15. Detail = High
17. # 设置每日运行logwatch
18. echo "0 0 * * * /usr/sbin/logwatch" > /etc/cron.daily/00logwatch

复制代码

配置系统审计

配置系统审计以跟踪关键系统活动。

2. # 安装auditd
3. yum install audit -y
5. # 启动并启用auditd
6. systemctl start auditd
7. systemctl enable auditd
9. # 编辑审计规则
10. vi /etc/audit/rules.d/audit.rules
12. # 添加以下规则
13. -w /etc/passwd -p wa -k identity
14. -w /etc/shadow -p wa -k identity
15. -w /etc/group -p wa -k identity
16. -w /etc/sudoers -p wa -k identity
17. -w /var/log/audit/ -p wa -k audit_log
18. -w /etc/ssh/sshd_config -p wa -k sshd_config
19. -a always,exit -F arch=b64 -S sethostname -k hostname_change
20. -a always,exit -F arch=b64 -S rename,unlink,unlinkat,rmdir -k delete
22. # 重新加载审计规则
23. auditctl -R /etc/audit/rules.d/audit.rules

复制代码

配置系统资源监控

配置系统资源监控工具，如Nagios、Zabbix或Prometheus。

2. # 安装Zabbix
3. yum install zabbix-server-mysql zabbix-web-mysql zabbix-agent -y
5. # 配置Zabbix数据库
6. mysql -u root -p
7. CREATE DATABASE zabbix CHARACTER SET utf8 COLLATE utf8_bin;
8. GRANT ALL PRIVILEGES ON zabbix.* TO zabbix@localhost IDENTIFIED BY 'password';
9. FLUSH PRIVILEGES;
10. EXIT;
12. # 导入Zabbix数据库模式
13. zcat /usr/share/doc/zabbix-server-mysql*/create.sql.gz | mysql -uzabbix -p zabbix
15. # 编辑Zabbix服务器配置
16. vi /etc/zabbix/zabbix_server.conf
18. # 修改以下设置
19. DBHost=localhost
20. DBName=zabbix
21. DBUser=zabbix
22. DBPassword=password
24. # 启动并启用Zabbix服务
25. systemctl start zabbix-server zabbix-agent httpd
26. systemctl enable zabbix-server zabbix-agent httpd

复制代码

入侵检测与防御

安装和配置AIDE（高级入侵检测环境）

AIDE是一个文件完整性检查工具，可以帮助检测未授权的文件更改。

2. # 安装AIDE
3. yum install aide -y
5. # 初始化AIDE数据库
6. aide --init
8. # 重命名数据库文件
9. mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
11. # 配置AIDE检查
12. vi /etc/aide.conf
14. # 添加要监控的文件和目录
15. /etc   p+i+n+u+g+s+b+sha256
16. /var   p+i+n+u+g+s+b+sha256
17. /usr   p+i+n+u+g+s+b+sha256
18. /root  p+i+n+u+g+s+b+sha256
19. /boot  p+i+n+u+g+s+b+sha256
21. # 设置每日AIDE检查
22. echo "0 0 * * * /usr/sbin/aide --check" > /etc/cron.daily/aide

复制代码

安装和配置Rootkit Hunter

Rootkit Hunter是一个扫描rootkit、后门和本地漏洞的工具。

2. # 安装EPEL仓库（如果尚未安装）
3. yum install epel-release -y
5. # 安装Rootkit Hunter
6. yum install rkhunter -y
8. # 更新Rootkit Hunter数据库
9. rkhunter --update
10. rkhunter --propupd
12. # 配置Rootkit Hunter
13. vi /etc/rkhunter.conf
15. # 修改以下设置
16. MAIL-ON-WARNING=admin@example.com
17. ALLOW_SSH_ROOT_USER=no
18. ENABLE_TESTS=all
20. # 运行Rootkit Hunter扫描
21. rkhunter --checkall
23. # 设置每日Rootkit Hunter扫描
24. echo "0 0 * * * /usr/bin/rkhunter --checkall --cronjob" > /etc/cron.daily/rkhunter

复制代码

安装和配置OSSEC

OSSEC是一个开源的主机入侵检测系统，提供日志分析、文件完整性检查、rootkit检测等功能。

2. # 安装必要的依赖
3. yum install gcc make httpd php mysql-server php-mysql -y
5. # 下载并解压OSSEC
6. cd /opt
7. wget https://github.com/ossec/ossec-hids/archive/3.6.0.tar.gz
8. tar -xvzf 3.6.0.tar.gz
9. cd ossec-hids-3.6.0
11. # 编译并安装OSSEC
12. ./install
14. # 配置OSSEC
15. vi /var/ossec/etc/ossec.conf
17. # 修改以下设置
18. <global>
19.   <email_notification>yes</email_notification>
20.   <email_to>admin@example.com</email_to>
21.   <smtp_server>smtp.example.com</smtp_server>
22.   <email_from>ossec@example.com</email_from>
23. </global>
25. # 启动OSSEC
26. /var/ossec/bin/ossec-control start
28. # 设置OSSEC开机自启
29. echo "/var/ossec/bin/ossec-control start" >> /etc/rc.local
30. chmod +x /etc/rc.local

复制代码

配置端口扫描检测

配置工具来检测和阻止端口扫描活动。

2. # 安装psad（端口扫描攻击检测器）
3. yum install psad -y
5. # 配置psad
6. vi /etc/psad/psad.conf
8. # 修改以下设置
9. EMAIL_ADDRESSES admin@example.com;
10. HOSTNAME server.example.com;
11. ENABLE_AUTO_IDS Y;
12. IPTABLES_BLOCK_METHOD Y;
14. # 启动并启用psad
15. systemctl start psad
16. systemctl enable psad
18. # 配置iptables规则以记录数据包
19. iptables -A INPUT -j LOG
20. iptables -A FORWARD -j LOG
22. # 保存iptables规则
23. service iptables save

复制代码

备份与恢复策略

配置定期备份

配置定期备份系统配置和重要数据。

2. # 安装rsync
3. yum install rsync -y
5. # 创建备份脚本
6. vi /usr/local/bin/backup.sh
8. # 添加以下内容
9. #!/bin/bash
11. # 定义备份目录
12. BACKUP_DIR="/backup"
13. DATE=$(date +%Y%m%d)
15. # 创建备份目录
16. mkdir -p $BACKUP_DIR/$DATE
18. # 备份系统配置
19. rsync -a --exclude=/proc --exclude=/sys --exclude=/dev --exclude=/tmp --exclude=/backup / $BACKUP_DIR/$DATE/system/
21. # 备份重要数据目录
22. rsync -a /etc $BACKUP_DIR/$DATE/config/
23. rsync -a /home $BACKUP_DIR/$DATE/home/
24. rsync -a /var/www $BACKUP_DIR/$DATE/www/
26. # 压缩备份
27. tar -czf $BACKUP_DIR/$DATE.tar.gz -C $BACKUP_DIR $DATE
29. # 删除未压缩的备份
30. rm -rf $BACKUP_DIR/$DATE
32. # 保留最近30天的备份
33. find $BACKUP_DIR -name "*.tar.gz" -type f -mtime +30 -delete
35. # 使脚本可执行
36. chmod +x /usr/local/bin/backup.sh
38. # 设置每日备份
39. echo "0 2 * * * /usr/local/bin/backup.sh" > /etc/cron.daily/backup

复制代码

配置远程备份

配置远程备份以防止本地灾难。

2. # 安装rsync和sshpass
3. yum install rsync sshpass -y
5. # 创建远程备份脚本
6. vi /usr/local/bin/remote_backup.sh
8. # 添加以下内容
9. #!/bin/bash
11. # 定义变量
12. BACKUP_DIR="/backup"
13. REMOTE_USER="backupuser"
14. REMOTE_HOST="backup.example.com"
15. REMOTE_DIR="/backups/server"
16. SSH_PASS="password"
17. DATE=$(date +%Y%m%d)
19. # 创建备份目录
20. mkdir -p $BACKUP_DIR/$DATE
22. # 备份系统配置
23. rsync -a --exclude=/proc --exclude=/sys --exclude=/dev --exclude=/tmp --exclude=/backup / $BACKUP_DIR/$DATE/system/
25. # 备份重要数据目录
26. rsync -a /etc $BACKUP_DIR/$DATE/config/
27. rsync -a /home $BACKUP_DIR/$DATE/home/
28. rsync -a /var/www $BACKUP_DIR/$DATE/www/
30. # 压缩备份
31. tar -czf $BACKUP_DIR/$DATE.tar.gz -C $BACKUP_DIR $DATE
33. # 使用rsync传输到远程服务器
34. sshpass -p $SSH_PASS rsync -avz $BACKUP_DIR/$DATE.tar.gz $REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR/
36. # 删除本地备份
37. rm -rf $BACKUP_DIR/$DATE
38. rm -f $BACKUP_DIR/$DATE.tar.gz
40. # 使脚本可执行
41. chmod +x /usr/local/bin/remote_backup.sh
43. # 设置每周远程备份
44. echo "0 3 * * 0 /usr/local/bin/remote_backup.sh" > /etc/cron.weekly/remote_backup

复制代码

配置数据库备份

为数据库配置专门的备份策略。

2. # 创建MySQL/MariaDB备份脚本
3. vi /usr/local/bin/mysql_backup.sh
5. # 添加以下内容
6. #!/bin/bash
8. # 定义变量
9. BACKUP_DIR="/backup/mysql"
10. DATE=$(date +%Y%m%d)
11. MYSQL_USER="root"
12. MYSQL_PASS="password"
14. # 创建备份目录
15. mkdir -p $BACKUP_DIR/$DATE
17. # 备份所有数据库
18. mysqldump --user=$MYSQL_USER --password=$MYSQL_PASS --all-databases | gzip > $BACKUP_DIR/$DATE/all_databases.sql.gz
20. # 或者单独备份每个数据库
21. for DB in $(mysql -e "SHOW DATABASES;" -u$MYSQL_USER -p$MYSQL_PASS | grep -Ev "(Database|information_schema|performance_schema|mysql)")
22. do
23.     mysqldump --user=$MYSQL_USER --password=$MYSQL_PASS --databases $DB | gzip > $BACKUP_DIR/$DATE/$DB.sql.gz
24. done
26. # 保留最近7天的备份
27. find $BACKUP_DIR -name "*.sql.gz" -type f -mtime +7 -delete
29. # 使脚本可执行
30. chmod +x /usr/local/bin/mysql_backup.sh
32. # 设置每日数据库备份
33. echo "0 1 * * * /usr/local/bin/mysql_backup.sh" > /etc/cron.daily/mysql_backup

复制代码

测试恢复流程

定期测试备份恢复流程，确保备份可用。

2. # 创建恢复测试脚本
3. vi /usr/local/bin/test_restore.sh
5. # 添加以下内容
6. #!/bin/bash
8. # 定义变量
9. BACKUP_DIR="/backup"
10. TEST_DIR="/tmp/restore_test"
11. LATEST_BACKUP=$(ls -t $BACKUP_DIR/*.tar.gz | head -n1)
13. # 创建测试目录
14. mkdir -p $TEST_DIR
16. # 解压最新备份
17. tar -xzf $LATEST_BACKUP -C $TEST_DIR
19. # 检查关键文件是否存在
20. if [ -f "$TEST_DIR/etc/passwd" ] && [ -f "$TEST_DIR/etc/shadow" ] && [ -f "$TEST_DIR/etc/group" ]; then
21.     echo "Backup restore test successful"
22. else
23.     echo "Backup restore test failed"
24. fi
26. # 清理测试目录
27. rm -rf $TEST_DIR
29. # 使脚本可执行
30. chmod +x /usr/local/bin/test_restore.sh
32. # 设置每周恢复测试
33. echo "0 4 * * 6 /usr/local/bin/test_restore.sh" > /etc/cron.weekly/test_restore

复制代码

安全审计与合规性

配置安全审计工具

配置工具来审计系统安全配置和合规性。

2. # 安装OpenSCAP
3. yum install openscap-scanner scap-security-guide -y
5. # 运行安全扫描
6. oscap xccdf eval --profile stig-rhel7-server-upstream --results-arf results.xml /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml
8. # 生成HTML报告
9. oscap xccdf generate report results.xml > report.html
11. # 或者使用Lynis
12. yum install lynis -y
14. # 运行Lynis审计
15. lynis audit system
17. # 查看报告
18. less /var/log/lynis-report.dat

复制代码

配置日志审计

配置工具来审计系统日志，检测异常活动。

2. # 安装GoAccess
3. yum install goaccess -y
5. # 分析Apache访问日志
6. goaccess /var/log/httpd/access_log -c
8. # 或者分析Nginx访问日志
9. goaccess /var/log/nginx/access.log -c
11. # 配置GoAccess生成HTML报告
12. goaccess /var/log/httpd/access_log -o /var/www/html/report.html --real-time-html --daemon

复制代码

配置漏洞扫描

配置工具来定期扫描系统漏洞。

2. # 安装OpenVAS（需要先安装Atomic仓库）
3. wget -q -O - https://www.atomicorp.com/installers/atomic | sh
4. yum install openvas -y
6. # 初始化OpenVAS
7. openvas-setup
9. # 配置OpenVAS扫描
10. # 使用Web界面访问 https://server_ip:9392

复制代码

配置合规性检查

配置工具来检查系统是否符合特定合规性标准。

2. # 使用CIS-CAT进行合规性检查
3. # 下载CIS-CAT
4. wget https://downloads.cisecurity.org/tools/CIS-CAT-Pro-Assessed-v4.0.0.zip
5. unzip CIS-CAT-Pro-Assessed-v4.0.0.zip
7. # 运行CIS-CAT扫描
8. cd CIS-CAT-Pro-Assessed-v4.0.0
9. ./CIS-CAT.sh -r "CIS CentOS Linux 7 Benchmark" -b xccdf_org.cisecurity.benchmarks_benchmark_XCCDF-1-2_2.1.0.0_CIS_CentOS_Linux_7_Benchmark_v2.1.0-xccdf.xml -l results.html
11. # 查看结果
12. cat results.html

复制代码

总结

CentOS服务器安全加固是一个持续的过程，需要系统管理员不断关注和更新。本文详细介绍了从零开始构建安全可靠的CentOS服务器环境的步骤，包括系统管理员必备的安全配置与防护措施。

通过实施这些措施，可以显著提高服务器的安全性，减少潜在的攻击面，并保护关键数据和系统资源。然而，安全不仅仅是技术问题，还需要制定适当的安全策略和流程，定期进行安全审计和漏洞扫描，以及保持对最新安全威胁的了解。

记住，安全是一个持续的过程，而不是一次性的任务。定期更新系统、监控日志、检查配置和进行安全审计是确保服务器长期安全运行的关键。

最后，没有绝对安全的系统，但通过实施本文中描述的措施，可以大大提高CentOS服务器的安全性，并建立一个强大的安全基础，以应对不断变化的威胁环境。

版权声明

1、转载或引用本网站内容(CentOS服务器安全加固步骤详解 从零开始构建安全可靠的服务器环境 系统管理员必备的安全配置与防护措施指南)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://pixtech.cc/thread-40132-1-1.html