服务器centos安全设置怎么做?centos服务器安全加固最佳实践

服务器CentOS安全设置的核心原则是:最小权限、纵深防御、持续监控、及时响应。
在Linux服务器安全防护中,CentOS作为企业级稳定发行版,其默认配置远未达到生产环境安全标准,以下从系统初始化、访问控制、服务加固、日志审计四大维度,提供可落地、可验证的安全加固方案。


系统初始化:筑牢第一道防线

  1. 禁用root远程登录
    编辑 /etc/ssh/sshd_config,设置 PermitRootLogin no,重启SSH服务生效。
  2. 创建受限管理员账户
    useradd -m -G wheel adminuser
    passwd adminuser

    确保 /etc/sudoers.d/wheelwheel 组具有sudo权限(默认启用)。

  3. 关闭非必要服务
    执行 systemctl list-units --type=service --state=running,逐项评估:

    • 禁用 cups.service(打印服务)
    • 禁用 bluetooth.service(蓝牙服务)
    • 禁用 postfix.service(邮件服务,除非必需)

访问控制:实施最小权限原则

  1. SSH密钥认证替代密码
    • 生成密钥对:ssh-keygen -t ed25519 -C "admin@company"
    • 上传公钥至 ~/.ssh/authorized_keys
    • /etc/ssh/sshd_config 中设置:
      PasswordAuthentication no  
      PubkeyAuthentication yes  
  2. 配置防火墙白名单
    使用firewalld(CentOS 8+默认):

    firewall-cmd --permanent --add-service=ssh  
    firewall-cmd --permanent --add-source=192.168.1.0/24  # 仅放行内网  
    firewall-cmd --reload  

    生产环境必须限制仅允许运维IP访问SSH(22端口)和业务端口(如80/443)

  3. 文件系统权限加固
    • 限制 /etc/passwd/etc/shadow 修改权限:chmod 644 /etc/passwd && chmod 400 /etc/shadow
    • 定期扫描高权限文件:find / -perm -4000 -type f 2>/dev/null

服务加固:消除默认配置风险

  1. SSH深度加固
    /etc/ssh/sshd_config 中追加:

    MaxAuthTries 3  
    Protocol 2  
    LoginGraceTime 60  
    AllowUsers adminuser deployuser  # 仅允许指定用户  
  2. 禁用不安全协议
    • 编辑 /etc/vsftpd/vsftpd.conf(若启用FTP):
      anonymous_enable=NO  
      local_enable=YES  
      ssl_enable=YES  
      require_ssl_reuse=NO  
    • 优先使用SFTP替代FTP
  3. 内核参数安全强化
    编辑 /etc/sysctl.conf,添加:

    net.ipv4.conf.all.rp_filter=1  
    net.ipv4.conf.default.rp_filter=1  
    net.ipv4.tcp_syncookies=1  
    kernel.yama.ptrace_scope=1  

    执行 sysctl -p 生效。


日志审计:实现行为可追溯

  1. 启用审计日志(auditd)
    yum install -y audit  
    systemctl enable --now auditd  

    添加关键监控规则至 /etc/audit/rules.d/audit.rules

    -w /etc/passwd -p wa -k identity  
    -w /etc/shadow -p wa -k identity  
    -w /etc/sudoers -p wa -k sudoers  
  2. 集中日志管理
    配置 rsyslog 将安全日志转发至中央服务器:

    # /etc/rsyslog.conf  
    authpriv. @10.0.0.10:514  
  3. 定期安全扫描
    使用OpenSCAP工具:

    yum install -y scap-security-guide  
    oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard \
    --report /tmp/report.html /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml  

相关问答

Q:CentOS 7与CentOS 8在安全设置上有何关键差异?
A:CentOS 8默认使用firewalld替代iptables,且auditd规则更严格;CentOS 7需手动安装auditd并配置规则,内核参数(如kernel.yama.ptrace_scope)在CentOS 8中默认启用,而CentOS 7需显式配置。

Q:如何验证SSH加固是否生效?
A:使用非授权用户尝试登录:ssh -o PubkeyAuthentication=no -o PasswordAuthentication=yes user@server,应返回“Permission denied”;同时检查/var/log/secure中无密码尝试记录。

服务器CentOS安全设置需结合业务场景动态调整,建议每季度执行一次全面审计。
您在实际运维中遇到过哪些CentOS安全陷阱?欢迎在评论区分享您的解决方案!

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/176461.html

(0)
小布大模型app下载值得吗?小布大模型app下载安全吗、好用吗、有风险吗
上一篇 2026年4月18日 16:54
OPPO AI大模型适配难在哪?OPPO手机AI大模型适配现状及挑战
下一篇 2026年4月18日 16:54

相关推荐

  • ajax.js文件怎么用?ajax.js文件报错怎么解决

    ajax.js 并非一个标准的官方库文件,而是开发者在项目中封装的用于处理异步 HTTP 请求的工具模块,其核心价值在于通过局部刷新技术提升用户体验并降低服务器负载,在 2026 年的前端开发语境下,虽然 Fetch API 和 Axios 占据了主流市场,但许多遗留系统、特定框架底层或轻量级项目中依然广泛存在……

    2026年6月8日
    3500
  • AI通用文字识别哪个好用?免费OCR识别软件推荐

    AI通用文字识别技术已成为数字化转型的核心引擎,通过深度学习算法实现了对复杂场景、多语言及手写体的高精度解析,彻底解决了非结构化数据向结构化信息转化的效率瓶颈,这项技术不仅超越了传统的光学字符识别(OCR),更融合了语义理解与版面分析能力,为金融、医疗、档案管理等高精度需求领域提供了坚实的数据基础,技术内核内与……

    2026年2月22日
    12600
  • 虚拟主机测评,实测体验与数据对比,虚拟主机哪个好用?

    2026年虚拟主机测评结论:对于个人博客及中小型展示型网站,推荐选择配备NVMe SSD且支持HTTP/3协议的国内高防BGP主机,性价比最高;若涉及跨境业务或高并发交易,则必须部署海外独立IP或云服务器集群,单纯虚拟主机已无法满足低延迟需求,随着2026年Web技术标准的迭代,虚拟主机市场发生了结构性变化,传……

    2026年5月16日
    5000
  • RackNerd洛杉矶VPS值得入手吗?美国VPS推荐

    RackNerd洛杉矶VPS凭借$52.49/年的极致性价比、4核4.5G内存及20TB大流量配置,是2026年搭建高并发应用、跨境业务及媒体服务的理想入门级选择,尤其适合对带宽和存储有明确需求的用户,在云服务器市场日益内卷的当下,寻找一款既稳定又具备极高性价比的主机产品并非易事,RackNerd作为老牌IDC……

    2026年6月29日
    1100
  • 香港数脉科技VPS测评,实测体验与数据对比,香港VPS哪个好用?

    香港数脉科技VPS凭借低延迟、高稳定性及合规的BGP线路,在2026年跨境建站与数据备份场景中表现优异,综合性价比优于同类低端产品,但需注意其海外节点对国内直连速度的限制,核心性能实测:延迟、丢包与带宽表现在2026年的网络环境下,VPS的性能评估已从单纯的CPU跑分转向全链路稳定性监测,数脉科技(Shuma……

    2026年5月13日
    4900
  • AIoT消毒灯使用方法,AIoT消毒灯怎么使用?

    正确掌握AIoT消毒灯使用方法,是实现高效、安全、智能化环境消杀的核心关键,与传统紫外线灯相比,AIoT消毒灯融合了物联网技术与人工智能算法,其核心价值不仅在于杀菌,更在于通过智能感应、远程控制与自动化逻辑,彻底杜绝人工操作失误带来的安全隐患,用户必须建立“智能联动、人机分离、科学规划”的操作意识,才能最大化发……

    2026年3月12日
    10900
  • ASPURL是什么?| 网站开发参数解析

    ASPURL来路是指通过服务器端路由规则(如ASP.NET MVC或Core中的路由系统),将用户或搜索引擎请求的原始URL路径,映射到实际处理该请求的控制器和操作方法的机制,它并非真实物理文件路径,而是应用程序逻辑层定义的、对搜索引擎更友好的“虚拟路径”,能显著提升网站结构的可读性与SEO表现,核心价值在于将……

    2026年2月8日
    12950
  • AI中台双12优惠活动有哪些?双12优惠活动怎么参加

    企业在数字化转型深水区,构建AI能力不再是单一技术的堆砌,而是需要系统化、工程化的基础设施支撑,核心结论在于:抓住此次AI中台双12优惠活动,是企业以最低成本搭建智能化底座、实现数据资产变现的最佳窗口期,这不仅是采购成本的降低,更是战略落地效率的质变, 战略卡位:为何此时入手AI中台是明智之选当前市场环境下,企……

    2026年3月9日
    10600
  • ajax例子js怎么写?ajax异步请求实例教程

    AJAX的核心在于利用JavaScript的XMLHttpRequest对象或Fetch API,在不刷新整个页面的情况下与服务器交换数据并更新局部网页内容,从而实现无刷新交互体验,在现代Web开发中,我们早已告别了那个点击按钮就要等待页面白屏重载的时代,用户期望的是丝滑的交互,就像操作原生App一样流畅,AJ……

    2026年5月30日
    3400
  • AIoT用什么编程语言?AIoT开发首选语言是什么

    AIoT(人工智能物联网)的开发语言选择并非单一维度的考量,而是基于“端-边-云”协同架构的综合决策,核心结论非常明确:C/C++ 是嵌入式与硬件底层的绝对霸主,Python 是AI算法与云端开发的首选,而JavaScript/TypeScript 则在Web可视化和跨平台应用层占据重要地位, 一个成熟的AIo……

    2026年3月20日
    11900

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注