CentOS安全基线检查（手把手教你打造安全可靠的Linux服务器）

一、什么是安全基线？

安全基线是指一套最低限度的安全配置标准，用于确保操作系统在部署后具备基本的安全防护能力。通过执行 CentOS安全基线检查，我们可以发现并修复潜在的安全漏洞，提升系统的整体安全性。

二、准备工作

确保你拥有以下条件：

• 一台已安装 CentOS 7 或 CentOS 8 的服务器
• 具有 root 权限或 sudo 权限的用户账户
• 基本的 Linux 命令行操作知识（不会也没关系，我们会一步步说明）

三、安全基线检查核心项目

1. 更新系统与软件包

保持系统最新是防御已知漏洞的第一步。

# 更新所有已安装的软件包sudo yum update -y# 对于 CentOS 8，使用 dnfsudo dnf update -y  

2. 禁用不必要的服务

关闭不用的服务可以减少攻击面。例如，如果你不需要 FTP 服务，就应禁用 vsftpd。

# 查看正在运行的服务systemctl list-units --type=service --state=running# 禁用并停止某个服务（以 avahi-daemon 为例）sudo systemctl stop avahi-daemonsudo systemctl disable avahi-daemon  

3. 配置防火墙（firewalld）

合理配置防火墙规则，只开放必要的端口。

# 启动并启用 firewalldsudo systemctl start firewalldsudo systemctl enable firewalld# 仅允许 SSH（22端口）和 HTTP（80端口）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --reload  

4. 强化 SSH 安全

SSH 是远程管理的主要入口，必须重点保护。

# 编辑 SSH 配置文件sudo vi /etc/ssh/sshd_config# 在文件中修改以下参数：PermitRootLogin no          # 禁止 root 直接登录PasswordAuthentication no   # 禁用密码登录，改用密钥认证（更安全）Port 22222                  # 修改默认端口（可选，但推荐）# 重启 SSH 服务sudo systemctl restart sshd  

5. 设置密码策略

强制使用强密码，防止弱口令被暴力破解。

# 安装 pam_pwquality 模块（CentOS 7 默认已安装）sudo yum install -y libpwquality# 编辑 PAM 配置sudo vi /etc/pam.d/system-auth# 找到 password requisite pam_pwquality.so 行，添加如下参数：password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1# 含义：最小长度10位，包含大小写字母和数字，且新旧密码至少3位不同  

6. 定期审计日志

使用 auditd 工具记录关键系统事件。

sudo yum install -y auditsudo systemctl start auditdsudo systemctl enable auditd  

四、自动化检查工具推荐

除了手动检查，你还可以使用开源工具辅助完成 Linux系统安全 基线评估：

• Lynis：轻量级安全审计工具
• OpenSCAP：支持 CIS、NIST 等标准的合规扫描器

例如安装 Lynis：

sudo yum install -y epel-releasesudo yum install -y lynissudo lynis audit system  

五、总结

通过以上步骤，你已经完成了基础的 CentOS安全加固 工作。记住，安全不是一次性的任务，而是一个持续的过程。建议定期执行 安全合规配置 检查，并关注官方安全公告。

🔒 小贴士：生产环境中，建议结合企业安全策略和行业标准（如等保2.0、CIS Benchmark）制定更详细的基线要求。

—— 本文适用于 CentOS 7/8，部分内容在 Rocky Linux 或 AlmaLinux 中同样适用 ——