# 更新系统所有软件包
yum update -y
# 安装自动更新工具
yum install yum-cron -y
# 配置自动更新
vi /etc/yum/yum-cron.conf
设置apply_updates = yes并启用服务:
systemctl enable yum-cron
systemctl start yum-cron
# 查看所有已安装服务
systemctl list-unit-files --type=service
# 禁用不必要的服务(示例)
systemctl disable bluetooth.service
systemctl disable cups.service
# 创建管理用户
useradd admin
passwd admin
# 禁止root远程登录
vi /etc/ssh/sshd_config
修改PermitRootLogin no并重启SSH服务:
systemctl restart sshd
# 查看当前规则
firewall-cmd --list-all
# 只开放必要端口(示例)
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload
# 启用防火墙
systemctl enable firewalld
systemctl start firewalld
vi /etc/ssh/sshd_config
建议修改以下参数:
Port 2222 # 修改默认端口
Protocol 2 # 仅使用SSHv2
PermitEmptyPasswords no # 禁止空密码
MaxAuthTries 3 # 最大尝试次数
ClientAliveInterval 300 # 超时断开
ClientAliveCountMax 0
AllowUsers admin # 只允许特定用户
vi /etc/hosts.allow
添加允许访问的服务:
sshd: 192.168.1.0/24
yum install epel-release -y
yum install fail2ban -y
# 配置SSH防护
vi /etc/fail2ban/jail.local
添加内容:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 3600
# 查看状态
sestatus
# 设置为强制模式
vi /etc/selinux/config
修改为:
SELINUX=enforcing
SELINUXTYPE=targeted
yum install audit -y
# 启动审计服务
systemctl enable auditd
systemctl start auditd
# 配置审计规则
vi /etc/audit/audit.rules
# 安装Logstash转发器(需先配置ELK服务器)
yum install logstash -y
# 安装sysstat
yum install sysstat -y
# 启用服务
systemctl enable sysstat
systemctl start sysstat
vi /etc/httpd/conf/httpd.conf
建议修改:
ServerTokens Prod
ServerSignature Off
TraceEnable Off
vi /etc/nginx/nginx.conf
添加安全头:
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
安全扫描:定期使用工具如Lynis进行扫描
yum install lynis -y
lynis audit system
密码策略:
vi /etc/login.defs
修改:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 8
PASS_WARN_AGE 14
定期备份:设置自动化备份策略
通过以上多层次的安全防护措施,可以显著提升CentOS系统的安全性,有效抵御常见的网络攻击。建议定期审查安全配置并根据最新的安全威胁进行调整。