快捷導(dǎo)航

CentOS服務(wù)器安全配置最全攻略分享

更新時(shí)間：2025年06月17日 09:01:56 作者：朱公子的Note

在2025年的數(shù)字時(shí)代,服務(wù)器是企業(yè)和個(gè)人數(shù)據(jù)的核心堡壘,而CentOS作為Linux服務(wù)器的“常青樹”,以其穩(wěn)定性和開源特性廣受青睞,然而,開放性也讓它成為黑客覬覦的目標(biāo),所以本文為你獻(xiàn)上一份最全面的CentOS服務(wù)器安全配置攻略,從基礎(chǔ)到高級(jí),需要的朋友可以參考下

引言

在2025年的數(shù)字時(shí)代，服務(wù)器是企業(yè)和個(gè)人數(shù)據(jù)的核心堡壘，而CentOS作為Linux服務(wù)器的“常青樹”，以其穩(wěn)定性和開源特性廣受青睞。然而，開放性也讓它成為黑客覬覦的目標(biāo)。一次未受保護(hù)的服務(wù)器漏洞，可能導(dǎo)致數(shù)據(jù)泄露、業(yè)務(wù)中斷甚至巨額損失！如何將你的CentOS服務(wù)器打造成一座“數(shù)字堡壘”？今天，我們?yōu)槟惬I(xiàn)上一份最全面的CentOS服務(wù)器安全配置攻略，從基礎(chǔ)到高級(jí)，15個(gè)實(shí)戰(zhàn)步驟助你輕松應(yīng)對(duì)威脅！無論你是運(yùn)維新手還是老兵，這份攻略都將讓你如虎添翼！

你是否也有這樣的焦慮：服務(wù)器一上線就擔(dān)心被黑？系統(tǒng)剛部署完就被掃描端口、爆破密碼？特別是使用 CentOS 的你，面對(duì)五花八門的安全建議無從下手？

CentOS服務(wù)器安全配置到底有多重要？哪些關(guān)鍵步驟能有效抵御黑客攻擊？如何通過簡單配置保護(hù)數(shù)據(jù)和業(yè)務(wù)？防火墻、用戶權(quán)限、系統(tǒng)優(yōu)化如何協(xié)同工作？為什么CentOS在2025年仍是服務(wù)器安全領(lǐng)域的熱門選擇？通過這篇文章，我們將帶你深入探索這些問題，揭開CentOS服務(wù)器安全配置的奧秘！

觀點(diǎn)：一臺(tái)未加固的服務(wù)器就是一臺(tái)裸奔的服務(wù)器

來看一個(gè)真實(shí)案例：某公司新部署的 CentOS 云主機(jī)，開放了22端口，沒有限制 SSH 登錄，僅幾分鐘就被掃描腳本入侵，自動(dòng)植入挖礦程序，服務(wù)器 CPU 瞬間飆升到100%。

你需要這樣配置：

最小化安裝組件：不要裝你用不到的服務(wù)。
防火墻配置：使用 firewalld 或 iptables 僅允許必要端口。
SSH 加固：修改默認(rèn)端口、關(guān)閉 root 遠(yuǎn)程登錄、使用密鑰認(rèn)證。
SELinux 策略優(yōu)化：保持開啟狀態(tài)并合理配置策略。
Fail2ban 配置：自動(dòng)阻止爆破嘗試。
日志監(jiān)控工具：推薦使用 logwatch 或 auditd。
定期更新系統(tǒng)補(bǔ)丁：配合 yum-cron 自動(dòng)更新安全補(bǔ)丁。

禁用root以外的超級(jí)用戶

1 . 檢測方法：

cat /etc/passwd 查看口令文件，文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

若user_ID=0，則該用戶擁有超級(jí)用戶的權(quán)限。查看此處是否有多個(gè)ID=0

2 . 檢測命令:

cat /etc/passwd | awk -F ':''{print$1,$3}' | grep ' 0$'

3 . 備份方法：

cp -p /etc/passwd /etc/passwd_bak

4 . 加固方法:

使用命令passwd -l <用戶名>鎖定不必要的超級(jí)賬戶
使用命令passwd -u <用戶名>解鎖需要恢復(fù)的超級(jí)賬戶
或把用戶shell改為/sbin/nologin

刪除不必要的賬號(hào)

1 . 應(yīng) 該刪除所有默認(rèn)的被操作系統(tǒng)本身啟動(dòng)的并且不必要的賬號(hào)， L i n u x 提供了很多默認(rèn)賬號(hào)，而
賬號(hào)越多，系統(tǒng)就越容易受到攻擊。

2 . 可刪除的用戶, 如adm,lp,sync,shutdown,halt,mail,operator,games,ftp等

3 . 可刪除的組, 如adm,lp,games,mail等

4 . 刪除命令

userdelusername
groupdelgroupname

阻止ping, 抵御SYN

如果沒人能p i n g 通系統(tǒng)，安全性自然增加了，為此，我們可以在/ e t c / r c . d / r c . l o c a l 文件中增加如下一行:

S Y N 攻擊是利用T C P / I P 協(xié)議3 次握手的原理， 發(fā)送大量的建立連接的網(wǎng)絡(luò)包， 但不實(shí)
際 建立連接， 最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿， 無法被正常用戶訪問。
L i n u x 內(nèi)核提供了若干S Y N 相關(guān)的配置， 用命令：

tcp_max_syn_backlog：這是 SYN 隊(duì)列的長度，決定了系統(tǒng)能夠處理的等待連接的最大網(wǎng)絡(luò)連接數(shù)。
tcp_syncookies：這是一個(gè)開關(guān)，決定是否啟用 SYN Cookie 功能。該功能可以防止部分 SYN 攻擊。
tcp_synack_retries 和 tcp_syn_retries：定義了 SYN 報(bào)文的重試次數(shù)。

通過調(diào)整這些參數(shù)，可以優(yōu)化系統(tǒng)的網(wǎng)絡(luò)性能：

增加 SYN 隊(duì)列長度（tcp_max_syn_backlog）可以容納更多等待連接的請(qǐng)求，適用于高并發(fā)場景。
啟用 SYN Cookie 功能（tcp_syncookies）可以有效防止部分類型的 SYN 攻擊。
降低 SYN 重試次數(shù)（tcp_syn_retries、tcp_synack_retries）也能夠在一定程度上減少網(wǎng)絡(luò)攻擊的影響。

調(diào)整上述設(shè)置的方法是：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048    # 增加 SYN 隊(duì)列長度到 2048
 
sysctl -w net.ipv4.tcp_syncookies=1            # 打開 SYN COOKIE 功能
 
sysctl -w net.ipv4.tcp_synack_retries=3        # 降低 SYN-ACK 重試次數(shù)
 
sysctl -w net.ipv4.tcp_syn_retries=3           # 降低 SYN 重試次數(shù)

觀點(diǎn)與案例結(jié)合

觀點(diǎn)：CentOS服務(wù)器安全配置的核心在于關(guān)閉不必要服務(wù)、限制用戶權(quán)限、加強(qiáng)文件保護(hù)和優(yōu)化系統(tǒng)參數(shù)。這些措施能顯著降低攻擊風(fēng)險(xiǎn)，同時(shí)保持服務(wù)器性能。以下15個(gè)步驟經(jīng)過實(shí)戰(zhàn)驗(yàn)證，覆蓋從基礎(chǔ)到高級(jí)的配置需求。

關(guān)鍵配置步驟與案例：

步驟	描述	命令	案例
1. 注釋不必要用戶和組	禁用系統(tǒng)默認(rèn)的非必要用戶和組，減少潛在攻擊入口。	cp /etc/passwd /etc/passwdbak cp /etc/group /etc/groupbak vi /etc/passwd（注釋如#adm:x:3:4:adm:/var/adm:/sbin/nologin）	某企業(yè)因未禁用默認(rèn)用戶被黑客利用，數(shù)據(jù)泄露。實(shí)施后風(fēng)險(xiǎn)降低。
2. 關(guān)閉不必要服務(wù)	禁用如acpid、bluetooth、cups等服務(wù)，減少攻擊面。	service acpid stop chkconfig acpid off	一家電商平臺(tái)關(guān)閉多余服務(wù)，抵御DDoS攻擊，性能提升20%。
3. 禁止非root用戶執(zhí)行系統(tǒng)命令	限制非root用戶訪問系統(tǒng)命令，防止權(quán)限濫用。	chmod -R 700 /etc/rc.d/init.d/* 恢復(fù)：chmod -R 777 /etc/rc.d/init.d/*	某團(tuán)隊(duì)防止了非授權(quán)用戶篡改系統(tǒng)文件，保護(hù)代碼倉庫。
4. 為關(guān)鍵文件添加不可變屬性	鎖定核心文件，防止篡改。	chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services 解鎖：chattr -i	某金融機(jī)構(gòu)保護(hù)密碼文件，避免了篡改風(fēng)險(xiǎn)。
5. 限制文件權(quán)限	限制命令和歷史記錄權(quán)限，防止信息泄露。	chmod 700 /usr/bin/vim 恢復(fù)：chmod 755 /usr/bin/vim chattr +a .bash_history chattr +i .bash_history	某團(tuán)隊(duì)通過限制權(quán)限，防范了歷史命令泄露。
6. 禁用Ctrl+Alt+Del重啟	防止誤操作或惡意重啟。	cp /etc/inittab /etc/inittabbak vi /etc/inittab（注釋#ca::ctrlaltdel:/sbin/shutdown -t3 -r now）	某服務(wù)器避免了誤操作導(dǎo)致的業(yè)務(wù)中斷。
7. 更新系統(tǒng)但不升級(jí)內(nèi)核	修復(fù)漏洞，保持內(nèi)核穩(wěn)定性。	編輯yum.conf：添加exclude=kernel* 或yum --exclude=kernel* update	某企業(yè)避免了內(nèi)核升級(jí)帶來的兼容性問題。
8. 禁用自動(dòng)更新	防止意外更新導(dǎo)致宕機(jī)。	chkconfig --list yum-updatesd service yum-updatesd stop chkconfig yum-updatesd off	某團(tuán)隊(duì)避免了更新過程中的宕機(jī)風(fēng)險(xiǎn)。
9. 關(guān)閉多余虛擬控制臺(tái)	減少遠(yuǎn)程登錄風(fēng)險(xiǎn)。	cp /etc/inittab /etc/inittabbak vi /etc/inittab（注釋如#2:2345:respawn:/sbin/mingetty tty2）	某運(yùn)維人員減少了遠(yuǎn)程登錄風(fēng)險(xiǎn)。
10. 刪除MySQL歷史記錄	清除敏感操作記錄。	cp .bash_history .bash_historybak cp .mysql_history .mysql_historybak rm .bash_history .mysql_history ln -s /dev/null .bash_history	某管理員清除了敏感記錄，提升數(shù)據(jù)安全。
11. 修改歷史命令記錄	限制歷史記錄長度，減少泄露風(fēng)險(xiǎn)。	cp /etc/profile /etc/profilebak vi /etc/profile（將HISTSIZE=1000改為HISTSIZE=50）	某團(tuán)隊(duì)減少了敏感信息泄露風(fēng)險(xiǎn)。
12. 隱藏系統(tǒng)信息	防止黑客探測系統(tǒng)版本。	mv /etc/issue /etc/issuebak mv /etc/issue.net /etc/issue.netbak	某服務(wù)器避免了黑客探測攻擊。
13. 優(yōu)化內(nèi)核參數(shù)	提升網(wǎng)絡(luò)和系統(tǒng)性能。	cp /etc/sysctl.conf /etc/sysctl.confbak vi /etc/sysctl.conf（添加如net.ipv4.ip_forward = 1、net.core.somaxconn = 262144） /sbin/sysctl -p	某高流量網(wǎng)站解決了連接超限問題。
14. 系統(tǒng)優(yōu)化	設(shè)置資源限制，提升穩(wěn)定性。	cp /etc/profile /etc/profilebak2 vi /etc/profile（添加ulimit -c unlimited、-s unlimited、-SHn 65535、-S -c 0、export LC_ALL=C） source /etc/profile	某團(tuán)隊(duì)提升了服務(wù)器響應(yīng)速度。
15. 禁用服務(wù)器ping	防止黑客探測。	cp /etc/rc.d/rc.local /etc/rc.d/rc.localbak vi /etc/rc.d/rc.local（添加echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all）	某企業(yè)防范了探測攻擊。

這些步驟通過實(shí)戰(zhàn)案例驗(yàn)證，確保了CentOS服務(wù)器在面對(duì)威脅時(shí)的堅(jiān)韌性。

工具推薦：

Lynis：Linux 安全自動(dòng)評(píng)估工具
Fail2ban：暴力破解防護(hù)神器
rkhunter / chkrootkit：查木馬好幫手
Auditd：關(guān)鍵行為監(jiān)控利器

總結(jié)與升華

CentOS服務(wù)器安全配置是一項(xiàng)系統(tǒng)工程，涵蓋用戶權(quán)限、服務(wù)管理、文件保護(hù)和系統(tǒng)優(yōu)化。通過本文的15個(gè)步驟，你可以從基礎(chǔ)到高級(jí)，全面提升服務(wù)器安全性。這些措施不僅能抵御黑客攻擊，還能為你的業(yè)務(wù)提供穩(wěn)定保障。在2025年的網(wǎng)絡(luò)安全環(huán)境中，持續(xù)更新和優(yōu)化配置是守護(hù)數(shù)字資產(chǎn)的關(guān)鍵。讓我們從現(xiàn)在開始，打造一座堅(jiān)不可摧的CentOS服務(wù)器！

以上就是CentOS服務(wù)器安全配置最全攻略分享的詳細(xì)內(nèi)容，更多關(guān)于CentOS服務(wù)器安全配置的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: