如何优化 CentOS 的安全配置以保护系统免受潜在威胁？

CentOS是一款广泛使用的Linux发行版，以其稳定性和安全性著称，为了确保系统的安全性，需要进行一系列的安全配置，本文将详细介绍CentOS的安全配置策略，包括账号管理、用户口令设置、文件权限管理、服务管理和网络参数调整等方面。

一、账号管理

1. 禁用非必要的超级用户

通过查看/etc/passwd文件可以检测系统中具有超级用户权限的账户（user_ID=0），使用以下命令备份并锁定或解锁这些账户：

备份方法：cp -p /etc/passwd /etc/passwd_bak

锁定账户：passwd -l <用户名>

解锁账户：passwd -u <用户名>

2. 删除不必要的账户

减少系统中的默认账户，如adm, lp, sync等，以降低系统受攻击的风险，使用以下命令删除这些账户：

删除用户：userdel username

删除组：groupdel groupname

二、用户口令设置

1. 强化用户口令

设置复杂的口令，包含大写字母、小写字母、数字和特殊字符，并且长度大于10位，通过修改/etc/login.defs文件来强制执行这些要求：

PASS_MIN_LEN 10

2. 检查并强化空口令账户

如果发现有空口令账户，应立即强制设置符合规格的口令，使用以下命令检查空口令账户：

awk -F ":" '($2 == "") {print $1}' /etc/shadow

3. 保护口令文件

使用chattr命令给/etc/passwd,/etc/shadow,/etc/group, 和/etc/gshadow文件加上不可更改属性，以防止未授权访问：

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

4. 设置root账户自动注销时限

通过修改/etc/profile文件中的TMOUT参数，我们可以设置root账户的自动注销时限，以减少未授权访问的风险：

vi /etc/profile
TMOUT=300

三、限制系统操作

1. 限制su命令

我们可以通过编辑/etc/pam.d/su文件，限制只有特定组的用户才能使用su命令切换为root：

usermod –G wheel username

2. 限制普通用户的敏感操作

为了防止普通用户执行关机、重启等敏感操作，我们可以删除或修改/etc/security/console.apps下的相应程序的访问控制文件。

四、文件权限管理

1. 设置开机启动服务权限

为了确保系统的启动服务安全，我们应该设置/etc/rc.d/init.d/目录下所有文件的权限，以确保只有root用户可以操作这些服务。

2. 避免登录时显示系统信息

为了防止系统信息泄露，我们应该避免在登录时显示系统和版本信息。

五、网络参数调整

1. 限制NFS网络访问

对于使用NFS网络文件系统服务的系统，我们应该确保/etc/exports文件具有最严格的访问权限设置。

2. 阻止ping和抵御SYN攻击

通过调整系统的网络参数，如tcp_max_syn_backlog,tcp_syncookies,tcp_synack_retries和tcp_syn_retries，我们可以增加系统的安全性。

六、其他安全措施

1. 创建普通用户并禁用Root用户直接登录

建议创建普通用户并为其赋予管理权限，而非直接使用root账户，通过修改/etc/ssh/sshd_config文件，禁止root直接登录：

PermitRootLogin no

2. 设置SSH空闲超时退出

编辑/etc/ssh/sshd_config文件，设置SSH会话空闲超时时间，防止未授权人员接管会话：

ClientAliveInterval 600
ClientAliveCountMax 2

3. 确保rsyslog服务已启用

启动并启用rsyslog服务，确保日志记录服务正常运行，帮助运维人员进行审计和故障排查：

systemctl enable rsyslog
systemctl start rsyslog

七、FAQs

Q1: 如何更改CentOS系统中的用户密码？

A1: 你可以使用passwd命令来更改用户密码，要更改用户ecs-user的密码，可以使用以下命令：

passwd ecs-user

然后按照提示输入新密码。

Q2: 如何在CentOS中添加一个新的用户并赋予sudo权限？

A2: 你可以使用adduser命令来添加一个新用户，并使用usermod命令将其添加到sudo组，以下是具体步骤：

添加新用户
adduser newuser
为用户设置密码
passwd newuser
将用户添加到sudo组
usermod -aG wheel newuser

完成以上步骤后，新用户将拥有sudo权限。

小编有话说

CentOS系统的安全性需要通过多方面的配置和管理来实现，从账号管理到服务管理，每一个环节都至关重要，希望本文提供的配置策略能够帮助你打造一个更加安全的CentOS服务器，如果你有任何疑问或建议，欢迎在评论区留言讨论。