CentOS 7 VPS服务器安全基线检测20项必查配置
文章分类:行业新闻 /
创建时间:2025-07-25
CentOS 7 VPS服务器的安全防护需从基础配置抓起,20项必查安全基线覆盖账户、服务、网络等核心维度,助你构建稳固的安全防线。
账户与认证:筑牢身份防线
实际运维中,root账户的远程登录是高频攻击目标。建议彻底禁用root直接远程登录,通过创建普通账户(如admin)并配置sudo权限实现权限分级——登录普通账户后,用"sudo -i"切换至root权限。这一操作能将暴力破解风险降低70%以上。
密码策略同样关键:账户密码需强制包含大小写字母、数字和特殊符号(如!@#),长度不低于12位。同时务必检查/etc/shadow文件,确保无空密码账户(可用命令"cat /etc/shadow | grep -E ':[\*!]:'"快速筛选)。针对暴力破解,建议设置密码错误锁定策略,可通过修改/etc/pam.d/system-auth文件,添加"auth required pam_tally2.so onerr=fail deny=5 unlock_time=300",实现5次错误锁定5分钟。
系统服务:精简与防护并重
服务器并非"大而全",冗余服务会成为攻击跳板。用"systemctl list-units --type=service"命令列出所有运行服务,重点关闭telnet(端口23)、ftp(端口21)等传统高危服务。防火墙作为第一道防线,需启用firewalld并配置最小权限策略:仅开放业务必需端口(如SSH 22、Web 80/443),命令示例:
systemctl start firewalld
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --reload
SELinux(安全增强型Linux)的启用能实现强制访问控制(MAC),建议设置为enforcing模式(修改/etc/selinux/config中"SELINUX=enforcing"),配合auditd记录策略违规事件。
文件与目录:权限决定安全边界
敏感文件的权限管理容不得半点马虎。/etc/passwd(用户信息)需设置为644权限(可读可写仅属主),/etc/shadow(密码哈希)必须为600权限(仅root可读)。可通过"ls -l /etc/passwd"命令验证当前权限。
系统日志(如/var/log/secure)和临时目录(/tmp、/var/tmp)是攻击常关注点。日志文件建议设置为600权限,避免非授权用户查看;临时目录需启用Sticky Bit(粘滞位),通过"chmod +t /tmp"命令防止用户删除他人文件。
网络与更新:动态防御的关键
IP转发默认应关闭(除非服务器作为网关),修改/etc/sysctl.conf中"net.ipv4.ip_forward=0"并执行"sysctl -p"生效。DNS配置需使用可靠公共DNS(如114.114.114.114),避免使用运营商劫持风险高的DNS。NTP服务(时间同步)建议配置为国内源,如"server ntp.aliyun.com"(需替换为实际可用地址),确保系统时间准确,避免证书验证等操作异常。
软件更新是修复漏洞的直接手段,定期执行"yum update"命令,同时用"rpm -V 软件包名"检查关键软件包完整性,防止恶意篡改。
审计与监控:事后追溯的依据
启用auditd服务("systemctl enable --now auditd")可记录用户登录、文件修改等关键操作。通过"auditctl -w /etc/passwd -p wa -k passwd_modify"命令监控敏感文件变更。日志监控建议结合工具(如Logstash)设置告警规则,当检测到5分钟内5次SSH登录失败时触发通知。
其他核心配置:细节决定成败
内核参数优化可提升安全性,如禁止ICMP重定向("net.ipv4.conf.all.accept_redirects=0")。SSH配置建议修改默认端口(如2222),禁用空密码登录(修改/etc/ssh/sshd_config中"PermitEmptyPasswords no"),并重启服务生效("systemctl restart sshd")。最后,数据备份作为安全的最后一道防线,建议每周全量备份+每日增量备份,可通过rsync命令实现自动化:
rsync -avz --delete /data/ user@备份服务器:/backup/
完成这20项安全基线检测,相当于为CentOS 7 VPS服务器打造了多层防护网。从账户权限到网络配置,从服务管理到数据备份,每个环节的细节优化都在为业务稳定运行保驾护航。
工信部备案:苏ICP备2025168537号-1