CentOS7系统云服务器安全加固基线检测项详解

CentOS7系统在云服务器领域应用广泛，但开放的网络环境下，仅依赖云厂商基础防护远远不够。通过安全加固基线检测主动排查风险，是保障云服务器数据安全、业务稳定的核心手段。以下从六大关键维度展开详细说明。

账户与口令策略：筑牢第一道防线

空口令账户是攻击者最常利用的突破口。登录云服务器后，可执行命令快速排查：

awk -F: '($2 == "") { print $1 }' /etc/shadow

若返回具体用户名，需立即通过`passwd 用户名`设置强口令。实际运维中曾遇到某小型企业因测试账户未设密码，导致恶意脚本入侵删除数据库的案例，教训深刻。

口令复杂度直接影响破解难度。修改`/etc/security/pwquality.conf`文件时，建议设置`minlen=12`（最小12位）、`dcredit=-1`（至少1个数字）、`ucredit=-1`（至少1个大写字母）、`ocredit=-1`（至少1个特殊字符）。同时通过`chage -M 90 用户名`设置口令最长90天过期，强制定期更换。

服务与端口：关闭冗余降低攻击面

过多运行的服务会增加被攻击概率。执行`systemctl list-units --type=service`查看所有服务，重点检查是否存在`telnet.socket`、`rsh.socket`等明文传输服务——某电商曾因未关闭telnet服务，导致用户登录信息被截获，引发客诉。发现后立即用`systemctl disable --now telnet.socket`禁用。

端口管理需遵循“最小权限”原则。通过`netstat -tulnp`查看开放端口，仅保留SSH（22）、Web（80/443）等必要端口。例如关闭测试用的1234端口，可执行：

firewall-cmd --permanent --remove-port=1234/tcp
firewall-cmd --reload

文件系统权限：敏感数据的防护锁

关键文件权限错误可能导致数据泄露。`/etc/passwd`存储用户基本信息，应设为644权限（`chmod 644 /etc/passwd`）；`/etc/shadow`包含加密口令，必须严格限制为600权限（`chmod 600 /etc/shadow`）。曾有运维人员误将shadow文件权限设为644，导致普通用户通过工具尝试破解口令，幸好及时发现。

用户主目录权限建议设置为700（`chmod 700 /home/用户名`），避免其他用户访问私人文件。对于共享目录，可根据业务需求调整为750或755，但需定期检查是否存在越权访问。

日志与审计：安全事件的“黑匣子”

日志是追溯攻击路径的关键。首先确认`rsyslog`服务运行正常（`systemctl status rsyslog`），若异常用`systemctl restart rsyslog`恢复。日志保留策略通过`/etc/logrotate.conf`配置，建议设置`rotate 30`（保留30天）、`size 100M`（单文件超100M即轮转），避免日志占满磁盘影响服务。

审计服务`auditd`能记录详细操作轨迹。执行`systemctl enable --now auditd`开启服务后，可添加规则监控关键文件，例如监控`/etc/passwd`修改：

auditctl -w /etc/passwd -p wa -k passwd_modify

通过`ausearch -k passwd_modify`可快速查询相关操作记录。

防火墙与SELinux：系统级主动防护

`firewalld`是CentOS7默认防火墙，需确保开启并随开机启动（`systemctl enable --now firewalld`）。配置策略时，建议先拒绝所有流量（`firewall-cmd --set-default-zone=drop`），再按需放行必要端口，这种“白名单”模式比默认允许更安全。

SELinux（安全增强型Linux）通过强制访问控制限制进程权限。执行`getenforce`查看状态，建议设置为`Enforcing`（强制模式）。修改`/etc/selinux/config`文件中`SELINUX=enforcing`，重启后生效。曾有案例显示，开启SELinux后，尝试越权访问的恶意进程被直接拦截，有效阻止了进一步破坏。

通过以上基线检测与加固措施，能显著提升CentOS7云服务器的安全防护能力。实际运维中建议每月执行一次全量检测，重要业务场景可结合云厂商提供的安全监控服务，实现“人工检测+自动告警”的双重防护，为业务稳定运行筑牢安全屏障。