CentOS 系统禁用不安全协议和服务指南

作为IT工程师，禁用不安全的协议和服务是强化CentOS系统安全的重要步骤。以下是详细的配置方案：

1. 禁用不安全的SSH协议

编辑SSH配置文件：

sudo vi /etc/ssh/sshd_config

进行以下修改：

Protocol 2
PermitRootLogin no
X11Forwarding no
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 0

然后重启SSH服务：

sudo systemctl restart sshd

2. 禁用Telnet服务

sudo yum remove telnet-server telnet -y

3. 禁用FTP服务

sudo yum remove vsftpd ftp -y

4. 禁用不安全的网络协议

编辑/etc/sysctl.conf文件：

sudo vi /etc/sysctl.conf

添加以下内容：

# 禁用IP转发
net.ipv4.ip_forward = 0

# 禁用ICMP重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0

# 启用SYN Cookie保护
net.ipv4.tcp_syncookies = 1

应用更改：

sudo sysctl -p

5. 禁用不安全的RPC服务

sudo systemctl disable rpcbind
sudo systemctl stop rpcbind

6. 禁用NIS服务

sudo yum remove ypserv -y

7. 配置防火墙规则

使用firewalld禁用不必要端口：

sudo firewall-cmd --permanent --remove-service={telnet,ftp,rpc-bind}
sudo firewall-cmd --reload

8. 禁用不安全的NFS服务（如不需要）

sudo systemctl disable nfs
sudo systemctl stop nfs

9. 禁用SMB/CIFS服务（如不需要）

sudo systemctl disable smb
sudo systemctl stop smb

10. 定期检查服务状态

使用以下命令检查运行中的服务：

sudo netstat -tulnp
sudo systemctl list-unit-files --type=service | grep enabled

11. 使用SELinux增强安全性

确保SELinux处于强制模式：

sudo setenforce 1
sudo vi /etc/selinux/config

确保配置为：

SELINUX=enforcing

12. 定期更新系统

sudo yum update -y

验证步骤

1. 使用nmap扫描系统开放端口：

sudo yum install nmap -y
nmap -sT -O localhost

2. 检查SSH配置：

ssh -v localhost

3. 验证防火墙规则：

sudo firewall-cmd --list-all

通过以上步骤，您可以有效禁用CentOS系统中的不安全协议和服务，显著提高系统安全性。建议在实施前在测试环境中验证配置，并确保不会影响必要的业务功能。