云服务器CentOS系统安全加固最佳实践

云服务器作为数字业务的核心载体，其安全性直接关系到数据资产与服务稳定性。CentOS凭借稳定的性能和广泛的生态支持，成为众多企业云服务器的首选系统。但即便如此，若未做好安全加固，仍可能面临漏洞利用、非法访问等风险。本文结合实际运维经验，梳理CentOS系统安全加固的关键步骤，助你构建更可靠的云服务器防护体系。

系统更新与补丁管理：安全加固的基石

云服务器暴露在网络环境中，旧版本系统或软件可能存在已知安全漏洞，攻击者常利用这些漏洞发起攻击。定期更新CentOS内核、基础软件包及安全补丁，能有效修复此类风险。具体操作可通过命令实现：

yum update -y

该命令会自动检查并安装所有可用更新。建议通过crontab设置每周定时任务（如每周日凌晨3点），确保系统始终处于最新安全状态。例如添加任务：`0 3 * * 0 /usr/bin/yum update -y >/dev/null 2>&1`，既能自动执行又不干扰日常使用。

用户与权限管理：防御内外风险的关键

用户与权限管理是防御内部越权和外部渗透的关键。新购云服务器或长期运行的系统中，可能存在测试账号、历史遗留账号等无用账户，这些都可能成为攻击突破口。通过以下命令可查看所有用户：

cat /etc/passwd | awk -F: '{print $1}'

确认无需保留的账户后，使用`userdel -r 用户名`（-r参数会同时删除用户家目录）彻底删除。所有用户密码需包含大小写字母、数字、特殊符号，长度不低于12位。可通过修改`/etc/security/pwquality.conf`配置文件，强制密码复杂度要求，例如设置`minlen=12`（最小长度）、`dcredit=-1`（至少1个数字）等。仅允许必要用户通过sudo执行特权操作，编辑`/etc/sudoers`文件时，建议使用`visudo`命令（自动检查语法错误），例如添加`%devops ALL=(ALL) NOPASSWD: /usr/bin/yum`，限定devops组仅能无密码执行yum命令，避免权限滥用。

防火墙配置：网络流量的“智能门卫”

防火墙通过规则控制进出流量，可大幅降低被扫描、攻击的概率。CentOS默认使用firewalld（动态防火墙管理工具），需确保服务已启动：

systemctl start firewalld && systemctl enable firewalld

（`enable`命令设置开机自启）。配置时遵循“最小权限原则”：仅开放业务必需端口，且限制访问源IP。例如部署Web服务时，仅允许公司办公网（如192.168.1.0/24）访问80/443端口：

firewall-cmd --zone=public --add-port=80/tcp --add-port=443/tcp --add-source=192.168.1.0/24 --permanent
firewall-cmd --reload

操作完成后，使用`firewall-cmd --list-all`查看当前规则，确认配置生效。

SSH安全设置：远程管理的防护锁

SSH是远程管理云服务器的主要方式，也是攻击者重点关注的入口。默认配置下（端口22、允许root登录、密码认证）存在较高风险，需针对性优化。第一步修改默认端口：编辑`/etc/ssh/sshd_config`，将`Port 22`改为不常用端口（如2222），降低被暴力破解的概率。第二步禁用root直接登录：找到`PermitRootLogin yes`，修改为`PermitRootLogin no`，强制通过普通用户登录后再切换root（或使用sudo）。第三步启用密钥认证替代密码认证：本地执行`ssh-keygen -t rsa -b 4096`生成密钥对，将公钥（.pub文件）内容追加到服务器`~/.ssh/authorized_keys`中，后续登录只需私钥即可，避免密码泄露风险。完成后重启sshd服务：

systemctl restart sshd

日志监控与审计：安全事件的“黑匣子”

日志是发现安全事件的关键依据，通过分析日志可追溯攻击路径、定位异常操作。CentOS日志默认存储在`/var/log`目录，关键日志包括：`auth.log`（记录认证相关操作）、`secure`（记录SSH登录等安全事件）、`messages`（系统通用日志）。建议通过rsyslog配置日志远程转发，将日志同步至独立日志服务器，防止本地日志被篡改。此外，安装auditd（系统审计工具）可实现更细粒度的监控：

yum install auditd -y && systemctl enable --now auditd

通过`auditctl -w /etc/passwd -p wa -k passwd_change`命令，可监控`/etc/passwd`文件的写（w）、属性修改（a）操作，并标记为“passwd_change”事件。后续通过`ausearch -k passwd_change`即可快速检索相关操作记录，及时发现非法用户创建行为。

云服务器CentOS的安全加固并非一劳永逸，需结合业务场景动态调整策略。定期检查系统更新状态、review用户权限、优化防火墙规则、审计日志记录，才能构建“检测-防御-响应”的完整安全闭环。掌握这些最佳实践，不仅能提升云服务器自身安全性，更能为业务持续稳定运行提供坚实保障。