系统加固是保障系统安全的重要手段，对于维护企业数据安全、用户隐私以及系统稳定运行具有重要意义。加固后的系统更加健壮和稳定，能够有效减少因安全问题导致的系统故障和停机时间，提高系统的可用性和可靠性。通过关闭不必要的服务、修复系统漏洞、设置强密码策略等措施，减少系统被攻击的风险，有效抵御黑客入侵、恶意软件感染等安全威胁。

所有的安全加固操作不建议直接在生产系统上测试，在测试环境测试和评估后再到生产环境进行操作，将对生产系统产生不良影响的潜在风险降到最低。

一、系统更新管理

1）. 在线更新系统

# 在线更新所有软件包并启用自动安全更新
sudo yum update -y
sudo yum install yum-cron -y
sudo sed -i 's/apply_updates = no/apply_updates = yes/' /etc/yum/yum-cron.conf
sudo systemctl enable --now yum-cron

2）. 离线更新系统

# 离线下载所有安全更新包(使用相同版本 CentOS 系统执行)
createrepo /opt/offline_patches
reposync --download-metadata --repoid=updates --download-path=/opt/offline_patches
tar -czvf centos7-updates.tar.gz /opt/offline_patches

# 将补丁包拷贝至目标系统并挂载
mkdir /mnt/offline_repo
mount /dev/sdb1 /mnt/offline_repo  # 假设补丁包在U盘或本地存储

# 创建本地YUM源
cat <<EOF > /etc/yum.repos.d/local.repo
[local-updates]
name=Local Security Updates
baseurl=file:///mnt/offline_repo/centos7-updates
enabled=1
gpgcheck=0
EOF

# 离线手动更新
yum clean all
yum update --disablerepo=* --enablerepo=local-updates -y

作用：修复已知漏洞，减少攻击面
注意：生产环境建议先测试更新，避免兼容性问题。

二、账户加固

1）. 禁用Root登录

# 确保有一个具有sudo权限的普通用户，用于系统管理：
sudo useradd -m -s /bin/bash username
sudo passwd username

# 授予sudo权限
sudo usermod -aG wheel username

# 禁用root通过ssh远程登录
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak_`date +%F`
sudo sed -i 's/^#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

#禁用root通过控制台登录
# 方法 1：修改 `/etc/securetty` 文件
此文件定义了允许 root 登录的终端设备，清空内容以禁止所有本地终端登录：
sudo cp /etc/securetty /etc/securetty.bak  # 备份
sudo echo "" > /etc/securetty              # 清空文件

# 方法 2：通过 PAM 限制 root 登录
编辑 PAM 登录配置文件：
sudo cp /etc/pam.d/login /etc/pam.d/login.bak_`date +%F`
sudo vi /etc/pam.d/login
在文件开头添加以下行：
auth required pam_succeed_if.so user != root quiet
此规则会阻止 root 用户通过本地终端登录。

最佳方案：全局使用sudo权限的普通用户登录。

2）. 密码策略强化

# 修改密码复杂度要求
sudo cp /etc/security/pwquality.conf /etc/security/pwquality.conf.bak_`date +%F`
sudo vi /etc/security/pwquality.conf
minlen = 12
minclass = 4  # 包含数字、大写字母、小写字母、符号中的4类

# 设置密码过期策略
sudo sed -i 's/^PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs

# 手动修改PAM配置
vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
password sufficient pam_unix.so sha512 shadow remember=5

# 强制所有用户下次登录修改密码（适用于现有账户）
sudo chage -d 0 <用户名>

验证：使用chage -l <用户>检查策略生效情况。

3）. 锁定默认系统账户

for user in bin daemon adm lp sync shutdown halt mail ftp nobody; do
    sudo passwd -l $user
done

三、网络服务加固

1）. SSH服务加固

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak #备份配置文件
sudo vi /etc/ssh/sshd_config
# 关键参数：
Port 5022                  # 更改默认端口
Protocol 2                 # 禁用旧版协议
PermitEmptyPasswords no    # 禁止空密码
ListenAddress 192.168.1.100# 服务监听指定网卡（多网卡环境）
MaxAuthTries 3             # 限制尝试次数
ClientAliveInterval 300    # 超时自动断开
UseDNS no                  # 加速登录
AllowUsers admin_user      # 白名单用户

重启服务：sudo systemctl restart sshd
注意：修改端口后需同步调整防火墙规则，避免被锁。

2）. 防火墙精细化控制

sudo firewall-cmd --permanent --add-port=5022/tcp    # 放行SSH新端口
sudo firewall-cmd --permanent --remove-service=ssh   # 移除默认SSH规则
sudo firewall-cmd --permanent --zone=public --set-target=DROP  # 默认拒绝
sudo firewall-cmd --reload

推荐：建议使用rich-rule规则对原地址进行限制，无法确定原地址的，仅开放必要端口，如Web服务需开放80/443。

3）. 禁用非必要服务

sudo systemctl disable avahi-daemon cups bluetooth -y
sudo systemctl stop avahi-daemon cups bluetooth

四、SELinux与内核防护

1）. 强制启用SELinux

#启用强制模式
sudo setenforce 1
sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config

# 根据审计日志生成自定义策略模块（解决服务被拦截问题）
ausearch -m avc -ts recent | audit2allow -M mypolicy  # 生成策略文件
semodule -i mypolicy.pp                               # 加载策略模块

故障排查：若服务异常，使用audit2allow生成策略例外。

2）. 内核参数优化

# 防止SYN洪水攻击
echo "net.ipv4.tcp_syncookies = 1" | sudo tee -a /etc/sysctl.conf
# 禁用ICMP重定向
echo "net.ipv4.conf.all.accept_redirects = 0" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

五、文件系统与权限控制

1）. 关键文件保护

# 控制关键文件权限
sudo chmod 600 /etc/passwd /etc/shadow /etc/group
sudo chattr +i /etc/passwd /etc/shadow  # 防止文件被修改（谨慎使用）

# 每日备份关键文件
tar -czvf /backup/full_$(date +%F).tar.gz /etc

# 使用cron定期执行（示例每周日2点备份）全量备份
0 2 * * 0 sudo tar czvf /backup/$(date +%Y%m%d).tar.gz --exclude=/backup --exclude=/proc --exclude=/sys --exclude=/tmp

# 使用sha256sum生成校验码，确保文件的完整性。
sha256sum full_$(date +%F).tar.gz > full_$(date +%F).tar.gz_sha256
sha256sum -c full_$(date +%F).tar.gz_sha256  # 文件验证

2）. SUID/SGID清理

find / -perm /6000 -exec chmod a-s {} \; 2>/dev/null  # 移除非常用文件的特殊权限

3）. 集中化日志管理

# 配置rsyslog发送日志到远程服务器
sudo vi /etc/rsyslog.conf
*.* @192.168.1.100:514  # 替换为日志服务器IP，@为udp端口，@@为tcp端口
sudo systemctl restart rsyslog

4）. 定期审查日志文件

tail -f /var/log/audit/audit.log    #审计审计日志
tail -f /var/log/messages            #审计系统日志
tail -f /var/log/secure               #审计用户登录日志

六、附加安全措施

• 安装clamav杀毒软件

# 安装ClamAV杀毒
sudo yum install clamav -y  

# 更新ClamAV杀毒病毒库
freshclam        # 更新病毒库
clamscan -r /    # 全盘扫描

• 安装auditd审计工具

# 安装并启用auditd服务
sudo yum install audit -y
sudo systemctl enable auditd
sudo systemctl start auditd

# 基本审计规则
sudo vi /etc/audit/audit.rules

# 手动添加关键文件监控规则
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /var/log/faillog -p wa -k logins
-w /var/log/lastlog -p wa -k logins
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

部分加固措施，如开启防火墙、加密通信等，可能会对系统性能产生一定影响，导致网络延迟增加、系统响应速度变慢等。但通过合理配置和优化，可以将这种影响降到最低限度。关闭一些不必要的服务和端口可能会限制系统的某些功能，但在安全和功能之间需要进行权衡。对于非必要的功能，可以考虑关闭以减少安全风险。安装安全补丁或更新系统配置可能会导致与某些旧版本软件或第三方应用程序的兼容性问题。在加固过程中，需要提前进行测试和评估，确保系统的兼容性不受影响。

通过系统加固，CentOS系统可显著提升防护能力，系统加固操作需在安全、性能、功能间寻求平衡。持续优化策略，形成动态安全防护体系。