以下是CentOS系统安全清理指南,涵盖关键操作步骤及安全要点:
一、系统基础清理
- 更新系统与软件包
sudo yum update -y # 更新系统及软件包,修复漏洞 sudo yum autoremove -y # 删除无用依赖包 - 清理缓存与临时文件
sudo yum clean all # 清理YUM缓存 rm -rf /tmp/* /var/tmp/* # 清理临时文件(谨慎操作,避免误删) - 管理日志文件
sudo journalctl --vacuum-time=2weeks # 保留2周内日志,清理旧日志 # 手动删除/var/log下过期日志(需确认非关键日志)
二、服务与权限优化
- 禁用/删除不必要的服务
sudo systemctl list-unit-files --type=service | grep enabled # 查看已启用服务 sudo systemctl disable <服务名> # 禁用非必要服务(如Telnet、FTP) sudo systemctl stop <服务名> # 停止正在运行的服务 - 强化用户权限管理
- 禁用root远程登录:编辑
/etc/ssh/sshd_config,设置PermitRootLogin no,并使用普通用户+sudo操作。 - 限制sudo权限:通过
visudo配置sudoers文件,仅允许特定用户执行关键命令。 - 删除冗余用户:检查
/etc/passwd,删除非必要用户(如adm、lp等),并锁定默认账户。
- 禁用root远程登录:编辑
三、安全策略配置
- 配置防火墙
sudo firewall-cmd --permanent --zone=public --add-service=http --remove-service=ftp # 开放必要端口,关闭非必要服务 sudo firewall-cmd --reload # 重新加载防火墙规则 - 启用安全机制
- SELinux:确保状态为
Enforcing,配置强制访问控制策略。 - SSH密钥认证:禁用密码登录,使用密钥对验证(编辑
/etc/ssh/sshd_config,设置PasswordAuthentication no)。
- SELinux:确保状态为
四、安全工具与审计
- 定期扫描系统漏洞
sudo yum install lynis -y # 安装安全审计工具 sudo lynis audit system # 执行系统安全扫描,根据报告修复问题 - 监控系统活动
- 使用
auditd记录关键操作,分析异常行为。 - 通过
top/htop监控进程,识别异常资源占用。
- 使用
五、注意事项
- 备份重要数据:清理前使用
rsync或tar备份关键文件至外部存储。 - 测试环境验证:生产环境操作前,先在测试环境验证清理步骤,避免影响业务。
- 谨慎操作权限:避免误删系统关键文件(如
/etc、/var/log),使用chattr锁定重要配置文件。
参考来源:[1,2,3,4,5,6,7,8,9,10,11]