117笔记问答CentOS Minimal是一款精简版的操作系统,它只包含运行系统所需的最基本组件,非常适合那些希望拥有轻量级、高性能服务器的用户。然而,即使是精简版的系统,也可能存在一定的安全风险。因此,对CentOS Minimal进行安全加固是非常重要的。以下是一些基本的安全加固措施:
账户安全及权限
- 禁用非必要的超级用户:通过查看
/etc/passwd文件,检测并锁定不必要的超级账户。 - 删除不必要的账号和组:删除系统默认的额外账户和组,如
adm、lp、sync等,以减少系统被攻击的风险。 - 强化用户口令:设置复杂的口令,包含大写字母、小写字母、数字和特殊字符,并且长度大于10位。可以通过修改
/etc/login.defs文件来强制执行这些要求。 - 保护口令文件:使用
chattr命令给/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow文件加上不可更改属性,以防止未授权访问。
网络配置
- 配置网卡:确保系统启动时自动启动网卡,并设置正确的IP地址、子网掩码、网关和DNS。
- 禁用
ctrlaltdelete重启命令:通过修改/etc/inittab文件来禁用该组合键。
防火墙配置
- 使用
firewalld管理防火墙规则:- 安装
firewalld:sudo yum install firewalld - 启动
firewalld服务:sudo systemctl start firewalld - 设置
firewalld服务开机自启:sudo systemctl enable firewalld - 添加新的服务或端口到某个区域:
sudo firewall-cmd --zonepublic --add-service http --permanent - 删除某个服务或端口:
sudo firewall-cmd --zonepublic --remove-service http --permanent - 重新加载防火墙配置:
sudo firewall-cmd --reload
- 安装
SELinux配置
- 禁用SELinux:通过修改
/etc/selinux/config文件将其设置为disabled,以减少SELinux带来的安全风险。
SSH配置
- 更改SSH默认端口:避免使用22号标准端口,以减少被自动扫描到的风险。
- 禁止root用户直接登录SSH:确保SSH登录的安全性。
其他安全设置
- 设置root账户自动注销时限:通过修改
/etc/profile文件中的TMOUT参数来减少未授权访问的风险。 - 删除或修改
/etc/security/console.apps下的相应程序的访问控制文件:防止普通用户执行敏感操作。
定期更新系统和软件包
- 定期更新系统和软件包:以修复已知漏洞和安全问题。使用以下命令更新系统:
sudo yum update -y
通过上述步骤,您可以显著提高CentOS Minimal系统的安全性,减少受到网络攻击的风险。