Red Hat Enterprise Linux系统安全加固指南企业级Linux平台安全防护实战技巧与最佳实践分享

威震华夏关云长 · 发表于 2025-9-10 22:30:01

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

x

引言

Red Hat Enterprise Linux (RHEL) 是全球领先的企业级Linux操作系统，广泛应用于关键业务环境中。随着网络威胁的不断增加，保护RHEL系统安全已成为每个系统管理员和安全专家的首要任务。系统安全加固是指通过一系列技术和管理措施，提高系统抵抗攻击的能力，减少安全风险的过程。本文将全面介绍RHEL系统安全加固的实战技巧和最佳实践，帮助系统管理员构建更安全的RHEL环境。

RHEL安全基础

RHEL安全架构

RHEL基于SELinux (Security-Enhanced Linux) 构建了强大的安全架构。SELinux是由美国国家安全局(NSA)开发的强制访问控制(MAC)系统，它提供了比传统Linux权限控制更精细的安全策略。

SELinux通过以下方式增强系统安全：

• 定义安全策略，控制进程对资源的访问
• 实现最小权限原则
• 提供进程隔离
• 减少权限提升攻击的影响

安全模型

RHEL采用多层安全模型，包括：

1. 自主访问控制(DAC)：传统的Linux文件权限模型
2. 强制访问控制(MAC)：通过SELinux实现
3. 角色基础访问控制(RBAC)：通过角色和权限分配管理用户访问

系统访问控制

用户管理

在RHEL系统中，应严格遵循最小权限原则，即用户只被授予完成其工作所需的最低权限。

# 创建具有最小权限的用户
sudo useradd -m -s /bin/bash username
# 设置强密码
sudo passwd username
# 查看用户信息
id username

复制代码

定期审计用户账户，确保没有未授权或多余账户。

# 列出所有用户
cut -d: -f1 /etc/passwd
# 查找UID为0的非root账户
awk -F: '($3 == 0) {print}' /etc/passwd
# 查找没有密码的账户
sudo awk -F: '($2 == "") {print}' /etc/shadow

复制代码

配置账户锁定策略，防止暴力破解攻击。

# 编辑/etc/pam.d/system-auth文件
sudo vi /etc/pam.d/system-auth
# 添加以下行以实现账户锁定
auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail

复制代码

认证机制

SSH是远程管理RHEL系统的主要方式，应加强其安全性。

# 编辑SSH配置文件
sudo vi /etc/ssh/sshd_config
# 修改以下配置项
Port 2222 # 更改默认端口
PermitRootLogin no # 禁止root登录
PasswordAuthentication no # 禁用密码认证，使用密钥认证
PermitEmptyPasswords no # 禁止空密码
MaxAuthTries 3 # 最大认证尝试次数
AllowUsers user1 user2 # 允许特定用户登录
# 重启SSH服务
sudo systemctl restart sshd

复制代码

为关键系统配置双因素认证，提高安全性。

# 安装Google Authenticator
sudo yum install google-authenticator
# 为用户配置双因素认证
google-authenticator
# 编辑/etc/pam.d/sshd文件，添加以下行
auth required pam_google_authenticator.so

复制代码

权限控制

合理配置sudo权限，避免权限滥用。

# 编辑sudoers文件
sudo visudo
# 为特定用户分配特定命令的sudo权限
username ALL=(ALL) /usr/bin/systemctl restart httpd, /usr/bin/systemctl restart nginx
# 使用sudo时记录日志
Defaults logfile=/var/log/sudo.log

复制代码

严格控制关键文件和目录的权限。

# 设置关键目录权限
sudo chmod 700 /etc /boot /usr/bin /usr/sbin /bin /sbin
# 设置关键配置文件权限
sudo chmod 600 /etc/passwd /etc/shadow /etc/group /etc/gshadow
# 查找全局可写文件
sudo find / -type f -perm -o+w -exec ls -l {} \;
# 查找没有所有者的文件
sudo find / -nouser -o -nogroup

复制代码

网络安全配置

防火墙设置

RHEL 7及以后版本使用firewalld作为默认防火墙管理工具。

# 启动并启用firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
# 查看默认区域
sudo firewall-cmd --get-default-zone
# 查看活动区域
sudo firewall-cmd --get-active-zones
# 开放特定端口
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
# 开放服务
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
# 重新加载防火墙配置
sudo firewall-cmd --reload
# 查看防火墙规则
sudo firewall-cmd --list-all

复制代码

配置更复杂的防火墙规则，提高网络安全性。

# 限制IP访问
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'
# 阻止特定IP
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.10" reject'
# 端口转发
sudo firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080
# 限制连接速率
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port protocol="tcp" port="22" accept limit value="5/m"'

复制代码

网络服务安全

减少系统攻击面，禁用不必要的服务。

# 查看运行中的服务
sudo systemctl list-units --type=service --state=running
# 禁用不必要的服务
sudo systemctl stop telnet.socket
sudo systemctl disable telnet.socket
sudo systemctl stop rsh.socket
sudo systemctl disable rsh.socket
# 查看并禁用不使用的xinetd服务
sudo chkconfig --list
sudo chkconfig telnet off
sudo chkconfig rsh off

复制代码

对必要的服务进行安全配置。

# 配置Apache安全
sudo vi /etc/httpd/conf/httpd.conf
# 添加以下配置
ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options -Indexes
# 配置Nginx安全
sudo vi /etc/nginx/nginx.conf
# 添加以下配置
server_tokens off;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";

复制代码

远程访问安全

使用VPN进行安全的远程访问。

# 安装OpenVPN
sudo yum install openvpn easy-rsa
# 配置证书颁发机构
sudo mkdir /etc/openvpn/easy-rsa
sudo cp -r /usr/share/easy-rsa/3/* /etc/openvpn/easy-rsa/
cd /etc/openvpn/easy-rsa
./easyrsa init-pki
./easyrsa build-ca
./easyrsa build-server-full server nopass
./easyrsa gen-dh
openvpn --genkey --secret ta.key
# 配置OpenVPN服务器
sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem ta.key /etc/openvpn/server/
sudo cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/server/
# 编辑服务器配置
sudo vi /etc/openvpn/server/server.conf
# 启动OpenVPN服务
sudo systemctl start openvpn-server@server
sudo systemctl enable openvpn-server@server

复制代码

使用SSH隧道安全地访问远程服务。

# 本地端口转发
ssh -L 8080:localhost:80 user@remotehost
# 远程端口转发
ssh -R 8080:localhost:80 user@remotehost
# 动态端口转发(SOCKS代理)
ssh -D 1080 user@remotehost

复制代码

文件系统安全

加密技术

使用LUKS(Linux Unified Key Setup)加密磁盘。

# 安装cryptsetup
sudo yum install cryptsetup
# 加密分区
sudo cryptsetup luksFormat /dev/sdb1
sudo cryptsetup luksOpen /dev/sdb1 encrypted_disk
# 格式化加密分区
sudo mkfs.ext4 /dev/mapper/encrypted_disk
# 挂载加密分区
sudo mkdir /mnt/encrypted
sudo mount /dev/mapper/encrypted_disk /mnt/encrypted
# 卸载并关闭加密分区
sudo umount /mnt/encrypted
sudo cryptsetup luksClose encrypted_disk

复制代码

使用GPG加密敏感文件。

# 安装GPG
sudo yum install gnupg
# 生成密钥对
gpg --gen-key
# 加密文件
gpg -c sensitive_file.txt
# 解密文件
gpg -d sensitive_file.txt.gpg > sensitive_file.txt

复制代码

权限设置

正确设置SUID、SGID和Sticky Bit等特殊权限。

# 查找具有SUID权限的文件
sudo find / -perm -4000 -exec ls -l {} \;
# 查找具有SGID权限的文件
sudo find / -perm -2000 -exec ls -l {} \;
# 移除不必要的SUID/SGID权限
sudo chmod u-s /usr/bin/ping
sudo chmod g-s /usr/bin/wall

复制代码

使用访问控制列表(ACL)实现更精细的权限控制。

# 安装ACL工具
sudo yum install acl
# 查看文件ACL
getfacl filename
# 设置文件ACL
setfacl -m u:user:rwx filename
setfacl -m g:group:rx filename
# 设置默认ACL
setfacl -d -m u:user:rwx directory
setfacl -d -m g:group:rx directory
# 删除ACL
setfacl -x u:user filename
setfacl -b filename # 删除所有ACL

复制代码

敏感数据保护

保护临时文件中的敏感数据。

# 使用tmpfs挂载/tmp
sudo vi /etc/fstab
# 添加以下行
tmpfs /tmp tmpfs defaults,noexec,nosuid,size=1G 0 0
# 重新挂载/tmp
sudo mount -o remount /tmp
# 设置/tmp权限
sudo chmod 1777 /tmp

复制代码

启用内存保护机制，防止缓冲区溢出攻击。

# 编辑/etc/sysctl.conf文件
sudo vi /etc/sysctl.conf
# 添加以下配置
kernel.randomize_va_space = 2
kernel.exec-shield = 1
# 应用配置
sudo sysctl -p

复制代码

安全审计与监控

日志管理

配置集中式日志管理，便于安全事件分析。

# 安装Rsyslog
sudo yum install rsyslog
# 配置Rsyslog服务器
sudo vi /etc/rsyslog.conf
# 取消以下行的注释
$ModLoad imtcp
$InputTCPServerRun 514
# 配置客户端发送日志到服务器
sudo vi /etc/rsyslog.d/remote.conf
# 添加以下行
*.* @logserver.example.com:514
# 重启Rsyslog服务
sudo systemctl restart rsyslog

复制代码

使用ELK(Elasticsearch, Logstash, Kibana)栈进行日志分析。

# 安装Elasticsearch
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudo vi /etc/yum.repos.d/elasticsearch.repo
# 添加以下内容
[elasticsearch]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=0
autorefresh=1
type=rpm-md
sudo yum install --enablerepo=elasticsearch elasticsearch
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
# 安装Logstash
sudo yum install --enablerepo=elasticsearch logstash
sudo vi /etc/logstash/conf.d/01-syslog.conf
# 添加以下配置
input {
syslog {
port => 514
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
}
}
sudo systemctl start logstash
sudo systemctl enable logstash
# 安装Kibana
sudo yum install --enablerepo=elasticsearch kibana
sudo vi /etc/kibana/kibana.yml
# 修改以下配置
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
sudo systemctl start kibana
sudo systemctl enable kibana

复制代码

入侵检测

使用AIDE(Advanced Intrusion Detection Environment)检测文件系统变化。

# 安装AIDE
sudo yum install aide
# 初始化AIDE数据库
sudo aide --init
# 移动数据库到正确位置
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# 运行AIDE检查
sudo aide --check
# 创建定期检查任务
sudo crontab -e
# 添加以下行
0 3 * * * /usr/sbin/aide --check | mail -s "AIDE Report" admin@example.com

复制代码

使用OSSEC进行主机入侵检测。

# 安装OSSEC
sudo yum install ossec-hids
# 配置OSSEC
sudo vi /var/ossec/etc/ossec.conf
# 配置邮件通知
<global>
<email_notification>yes</email_notification>
<email_to>admin@example.com</email_to>
<smtp_server>smtp.example.com</smtp_server>
<email_from>ossec@example.com</email_from>
</global>
# 启动OSSEC
sudo /var/ossec/bin/ossec-control start

复制代码

安全扫描

使用OpenVAS进行漏洞扫描。

# 安装OpenVAS
sudo yum install openvas
# 初始化OpenVAS
sudo openvas-setup
# 访问Web界面
https://localhost:9392
# 创建扫描任务
# 1. 登录Web界面
# 2. 创建新目标
# 3. 创建新任务
# 4. 启动任务

复制代码

使用Lynis进行系统安全审计。

# 安装Lynis
sudo yum install lynis
# 运行Lynis审计
sudo lynis audit system
# 查看报告
cat /var/log/lynis-report.dat

复制代码

漏洞管理与补丁更新

漏洞扫描

使用YUM检查安全更新。

# 检查安全更新
sudo yum updateinfo list security
# 安装安全更新
sudo yum update --security
# 查看特定软件包的安全信息
sudo yum updateinfo list security pkgname

复制代码

使用OpenSCAP进行安全合规性扫描。

# 安装OpenSCAP
sudo yum install openscap-scanner scap-security-guide
# 运行安全扫描
sudo oscap xccdf eval --profile stig-rhel7-server-upstream --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
# 生成报告
sudo oscap xccdf generate report arf.xml > report.html

复制代码

补丁管理

配置自动安全更新。

# 安装yum-cron
sudo yum install yum-cron
# 配置yum-cron
sudo vi /etc/yum/yum-cron.conf
# 修改以下配置
update_cmd = security
apply_updates = yes
emit_via = email
email_to = admin@example.com
email_from = yum-cron@example.com
# 启动yum-cron
sudo systemctl start yum-cron
sudo systemctl enable yum-cron

复制代码

建立补丁测试流程，避免补丁导致系统不稳定。

# 创建补丁测试脚本
sudo vi /usr/local/bin/patch-testing.sh
# 添加以下内容
#!/bin/bash
# 创建测试环境快照
echo "Creating snapshot of test environment..."
# 这里添加创建快照的命令
# 安装补丁
echo "Installing patches..."
yum update --security -y
# 运行测试
echo "Running tests..."
# 这里添加测试命令
# 检查测试结果
if [ $? -eq 0 ]; then
echo "Tests passed. Patches can be deployed to production."
# 发送成功通知
echo "Patch testing completed successfully." | mail -s "Patch Testing Success" admin@example.com
else
echo "Tests failed. Patches should not be deployed to production."
# 发送失败通知
echo "Patch testing failed. Please investigate." | mail -s "Patch Testing Failure" admin@example.com
# 回滚补丁
echo "Rolling back patches..."
# 这里添加回滚命令
fi
# 使脚本可执行
sudo chmod +x /usr/local/bin/patch-testing.sh
# 添加到cron
sudo crontab -e
# 添加以下行
0 2 * * 0 /usr/local/bin/patch-testing.sh

复制代码

安全合规性

安全标准

应用CIS(Center for Internet Security)基准加固RHEL系统。

# 下载CIS基准脚本
wget https://github.com/CISofy/CIS-Benchmark-Red-Hat-Enterprise-Linux/archive/master.zip
unzip master.zip
# 运行CIS基准检查
cd CIS-Benchmark-Red-Hat-Enterprise-Linux-master
./run-level1.sh
# 查看报告
cat cis-report.txt

复制代码

实现DISA STIG(Security Technical Implementation Guide)合规性。

# 安装SCAP安全指南
sudo yum install scap-security-guide
# 运行STIG扫描
sudo oscap xccdf eval --profile stig-rhel7-server-upstream --results-arf stig-arf.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
# 生成STIG报告
sudo oscap xccdf generate report stig-arf.xml > stig-report.html

复制代码

合规性检查

使用自动化工具进行合规性检查。

# 安装Ansible
sudo yum install ansible
# 创建Ansible playbook
sudo vi /etc/ansible/compliance.yml
# 添加以下内容
---
- name: RHEL Compliance Check
hosts: all
become: yes
tasks:
- name: Check password aging
command: grep PASS_MAX_DAYS /etc/login.defs
register: pass_max_days
failed_when: pass_max_days.stdout.find('PASS_MAX_DAYS\t90') == -1
- name: Check SELinux status
command: getenforce
register: selinux_status
failed_when: selinux_status.stdout != 'Enforcing'
- name: Check firewall status
command: systemctl is-active firewalld
register: firewall_status
failed_when: firewall_status.stdout != 'active'
# 运行合规检查
ansible-playbook /etc/ansible/compliance.yml

复制代码

生成合规性报告，便于审计和管理。

# 创建合规性报告脚本
sudo vi /usr/local/bin/compliance-report.sh
# 添加以下内容
#!/bin/bash
# 创建报告目录
mkdir -p /var/www/html/compliance-reports
REPORT_DIR="/var/www/html/compliance-reports"
DATE=$(date +%Y%m%d)
# 运行OpenSCAP扫描
oscap xccdf eval --profile stig-rhel7-server-upstream --results-arf $REPORT_DIR/stig-$DATE.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
# 生成HTML报告
oscap xccdf generate report $REPORT_DIR/stig-$DATE.xml > $REPORT_DIR/stig-$DATE.html
# 运行Lynis扫描
lynis audit system --report-file $REPORT_DIR/lynis-$DATE.dat
# 生成Lynis HTML报告
# 这里添加将Lynis报告转换为HTML的命令
# 发送报告通知
echo "Compliance reports generated for $DATE. Available at http://$(hostname)/compliance-reports/" | mail -s "Compliance Report" admin@example.com
# 使脚本可执行
sudo chmod +x /usr/local/bin/compliance-report.sh
# 添加到cron
sudo crontab -e
# 添加以下行
0 6 1 * * /usr/local/bin/compliance-report.sh

复制代码

实战案例

案例一：Web服务器安全加固

某企业需要对其RHEL 7上的Web服务器进行安全加固，以保护客户数据和防止Web攻击。

1. 系统基础加固

# 更新系统
sudo yum update -y
# 配置防火墙
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
sudo firewall-cmd --reload
# 禁用不必要的服务
sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon
sudo systemctl stop cups
sudo systemctl disable cups

复制代码

1. Web服务器安全配置

# 安装Apache和ModSecurity
sudo yum install httpd mod_security mod_security_crs
# 配置Apache
sudo vi /etc/httpd/conf/httpd.conf
# 修改以下配置
ServerTokens Prod
ServerSignature Off
TraceEnable Off
Options -Indexes
<Directory />
AllowOverride None
Require all denied
</Directory>
# 配置ModSecurity
sudo vi /etc/httpd/conf.d/mod_security.conf
# 确保以下配置启用
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess On
# 启动Apache
sudo systemctl start httpd
sudo systemctl enable httpd

复制代码

1. SSL/TLS配置

# 安装mod_ssl
sudo yum install mod_ssl
# 生成SSL证书
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/server.key -out /etc/pki/tls/certs/server.crt
# 配置SSL
sudo vi /etc/httpd/conf.d/ssl.conf
# 修改以下配置
SSLCipherSuite HIGH:!aNULL:!MD5
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCompression off
# 重启Apache
sudo systemctl restart httpd

复制代码

1. 文件系统安全

# 设置Web目录权限
sudo chown -R apache:apache /var/www/html
sudo chmod -R 750 /var/www/html
# 配置SELinux
sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
sudo restorecon -Rv /var/www/html

复制代码

1. 安全监控

# 安装并配置AIDE
sudo yum install aide
sudo aide --init
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# 配置每日AIDE检查
sudo crontab -e
# 添加以下行
0 3 * * * /usr/sbin/aide --check | mail -s "AIDE Report" admin@example.com
# 安装并配置OSSEC
sudo yum install ossec-hids
sudo vi /var/ossec/etc/ossec.conf
# 配置邮件通知和Web服务器监控
sudo /var/ossec/bin/ossec-control start

复制代码

通过以上加固措施，Web服务器的安全性得到显著提升：

• 系统攻击面减少，只开放必要的服务和端口
• Web应用得到ModSecurity保护，能够防御常见Web攻击
• SSL/TLS配置强化，保护数据传输安全
• 文件系统权限严格控制，防止未授权访问
• 安全监控机制建立，能够及时发现异常活动

案例二：数据库服务器安全加固

某金融机构需要对其RHEL 8上的MySQL数据库服务器进行安全加固，以保护敏感客户数据。

1. 系统基础加固

# 更新系统
sudo yum update -y
# 配置内核参数
sudo vi /etc/sysctl.conf
# 添加以下配置
kernel.randomize_va_space = 2
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
# 应用配置
sudo sysctl -p
# 配置防火墙
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="3306" accept'
sudo firewall-cmd --reload

复制代码

1. MySQL安全配置

# 安装MySQL
sudo yum install mysql-server
# 启动MySQL
sudo systemctl start mysqld
sudo systemctl enable mysqld
# 运行安全安装脚本
sudo mysql_secure_installation
# 配置MySQL
sudo vi /etc/my.cnf
# 添加以下配置
[mysqld]
bind-address = 192.168.1.10
skip-external-locking
skip-name-resolve
local-infile = 0
symbolic-links = 0
max_connect_errors = 10000
connect_timeout = 30
wait_timeout = 300
interactive_timeout = 300
# 重启MySQL
sudo systemctl restart mysqld

复制代码

1. 数据库加密

# 配置MySQL数据目录加密
# 停止MySQL
sudo systemctl stop mysqld
# 备份数据目录
sudo cp -r /var/lib/mysql /var/lib/mysql.bak
# 创建加密卷
sudo cryptsetup luksFormat /dev/sdb1
sudo cryptsetup luksOpen /dev/sdb1 mysql_encrypted
sudo mkfs.ext4 /dev/mapper/mysql_encrypted
sudo mount /dev/mapper/mysql_encrypted /mnt
# 复制数据到加密卷
sudo cp -r /var/lib/mysql.bak/* /mnt/
# 更新/etc/fstab
echo "/dev/mapper/mysql_encrypted /var/lib/mysql ext4 defaults 0 0" | sudo tee -a /etc/fstab
# 卸载并重新挂载
sudo umount /mnt
sudo mount /var/lib/mysql
# 启动MySQL
sudo systemctl start mysqld

复制代码

1. 数据库访问控制

# 创建数据库用户并限制权限
mysql -u root -p
CREATE DATABASE customer_data;
CREATE USER 'db_user'@'192.168.1.%' IDENTIFIED BY 'StrongPassword!';
GRANT SELECT, INSERT, UPDATE, DELETE ON customer_data.* TO 'db_user'@'192.168.1.%';
FLUSH PRIVILEGES;
EXIT;
# 配置MySQL审计插件
mysql -u root -p
INSTALL PLUGIN audit_log SONAME 'audit_log.so';
SET GLOBAL audit_log_format = 'JSON';
SET GLOBAL audit_log_policy = 'ALL';
SET GLOBAL audit_log_file = '/var/log/mysql/audit.log';
EXIT;
# 创建审计日志目录
sudo mkdir /var/log/mysql
sudo chown mysql:mysql /var/log/mysql

复制代码

1. 备份与恢复安全

# 创建备份脚本
sudo vi /usr/local/bin/mysql_backup.sh
# 添加以下内容
#!/bin/bash
BACKUP_DIR="/backup/mysql"
DATE=$(date +%Y%m%d_%H%M%S)
DB_USER="backup_user"
DB_PASS="BackupPassword!"
# 创建备份目录
mkdir -p $BACKUP_DIR
# 备份数据库
mysqldump --user=$DB_USER --password=$DB_PASS --single-transaction --flush-logs --master-data=2 --all-databases | gzip > $BACKUP_DIR/mysql_backup_$DATE.sql.gz
# 删除30天前的备份
find $BACKUP_DIR -type f -name "*.sql.gz" -mtime +30 -delete
# 加密备份文件
gpg -c --passphrase "EncryptionPassword" $BACKUP_DIR/mysql_backup_$DATE.sql.gz
rm $BACKUP_DIR/mysql_backup_$DATE.sql.gz
# 使脚本可执行
sudo chmod +x /usr/local/bin/mysql_backup.sh
# 添加到cron
sudo crontab -e
# 添加以下行
0 2 * * * /usr/local/bin/mysql_backup.sh

复制代码

通过以上加固措施，数据库服务器的安全性得到显著提升：

• 系统层面安全配置强化，减少系统级漏洞风险
• MySQL服务安全配置优化，限制访问并增强安全性
• 数据库文件加密存储，防止物理访问导致的数据泄露
• 数据库访问权限严格控制，遵循最小权限原则
• 数据库审计功能启用，记录所有数据库操作
• 安全备份机制建立，确保数据安全和可恢复性

最佳实践总结

1. 系统基础安全

• 最小安装原则：只安装必要的软件包，减少系统攻击面。
“`bash最小化安装RHEL在安装过程中选择”Minimal Install”选项

最小安装原则：只安装必要的软件包，减少系统攻击面。
“`bash

# 或者使用kickstart文件进行自动化最小安装
  # 在kickstart文件中添加
  %packages
  –nobase
  –minimal
  %end

- **及时更新系统**：定期应用安全补丁，修复已知漏洞。
```bash
# 设置自动安全更新
sudo yum install yum-cron
sudo vi /etc/yum/yum-cron.conf
# 修改配置
update_cmd = security
apply_updates = yes
sudo systemctl start yum-cron
sudo systemctl enable yum-cron

复制代码

• 启用SELinux：保持SELinux处于Enforcing模式，提供强制访问控制。
“`bash检查SELinux状态getenforce

启用SELinux：保持SELinux处于Enforcing模式，提供强制访问控制。
“`bash

getenforce

# 设置SELinux为Enforcing模式
  sudo setenforce 1
  sudo vi /etc/selinux/config
  # 修改配置
  SELINUX=enforcing

### 2. 访问控制
- **强密码策略**：实施复杂的密码策略，定期更换密码。
```bash
# 设置密码策略
sudo vi /etc/security/pwquality.conf
# 修改配置
minlen = 12
minclass = 3
maxrepeat = 3
dcredit = -1
ucredit = -1
lcredit = -1
ocredit = -1
# 设置密码过期策略
sudo vi /etc/login.defs
# 修改配置
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14

复制代码

• 限制root访问：禁用直接root登录，使用sudo进行权限管理。
“`bash禁止root SSH登录sudo vi /etc/ssh/sshd_config修改配置PermitRootLogin no
sudo systemctl restart sshd

限制root访问：禁用直接root登录，使用sudo进行权限管理。
“`bash

sudo vi /etc/ssh/sshd_config

PermitRootLogin no
sudo systemctl restart sshd

# 配置sudo
  sudo visudo
  # 添加用户sudo权限
  username ALL=(ALL) /usr/bin/systemctl, /usr/sbin/useradd, /usr/sbin/userdel

- **多因素认证**：为关键系统实施多因素认证。
```bash
# 安装Google Authenticator
sudo yum install google-authenticator
# 配置PAM
sudo vi /etc/pam.d/sshd
# 添加以下行
auth required pam_google_authenticator.so

复制代码

3. 网络安全

• 防火墙配置：严格配置防火墙，只开放必要端口。# 配置firewalld
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
sudo firewall-cmd --reload
• 网络服务安全：禁用不必要的服务，保护必要服务。
“`bash查看运行中的服务sudo systemctl list-units –type=service –state=running

防火墙配置：严格配置防火墙，只开放必要端口。

# 配置firewalld
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
sudo firewall-cmd --reload

复制代码

网络服务安全：禁用不必要的服务，保护必要服务。
“`bash

sudo systemctl list-units –type=service –state=running

# 禁用不必要的服务
  sudo systemctl stop telnet.socket
  sudo systemctl disable telnet.socket
  sudo systemctl stop rsh.socket
  sudo systemctl disable rsh.socket

- **安全远程访问**：使用SSH安全配置，考虑VPN或跳板机。
```bash
# SSH安全配置
sudo vi /etc/ssh/sshd_config
# 修改配置
Port 2222
PermitRootLogin no
PasswordAuthentication no
PermitEmptyPasswords no
MaxAuthTries 3
AllowUsers user1 user2
sudo systemctl restart sshd

复制代码

4. 数据保护

• 数据加密：对敏感数据实施加密保护。
“`bash使用LUKS加密分区sudo cryptsetup luksFormat /dev/sdb1
sudo cryptsetup luksOpen /dev/sdb1 encrypted_data
sudo mkfs.ext4 /dev/mapper/encrypted_data
sudo mount /dev/mapper/encrypted_data /data

数据加密：对敏感数据实施加密保护。
“`bash

sudo cryptsetup luksFormat /dev/sdb1
sudo cryptsetup luksOpen /dev/sdb1 encrypted_data
sudo mkfs.ext4 /dev/mapper/encrypted_data
sudo mount /dev/mapper/encrypted_data /data

# 使用GPG加密文件
gpg -c sensitive_file.txt

- **文件系统权限**：严格控制文件和目录权限。
```bash
# 设置关键目录权限
sudo chmod 700 /etc /boot /usr/bin /usr/sbin /bin /sbin
# 查找并修复权限不当的文件
sudo find / -type f -perm -o+w -exec chmod o-w {} \;

复制代码

•

备份安全：实施安全备份策略，确保数据可恢复性。
“`bash创建备份脚本sudo vi /usr/local/bin/secure_backup.sh添加以下内容#!/bin/bash
BACKUP_DIR=”/backup”
DATE=\((date +%Y%m%d)
tar -czf - /important/data | gpg -c --passphrase "SecurePassword" -o \)BACKUPDIR/backup$DATE.tar.gpg

复制代码

备份安全：实施安全备份策略，确保数据可恢复性。
“`bash

sudo vi /usr/local/bin/secure_backup.sh

#!/bin/bash
BACKUP_DIR=”/backup”
DATE=$(date +%Y%m%d)
tar -czf - /important/data | gpg -c --passphrase "SecurePassword" -o $BACKUPDIR/backup$DATE.tar.gpg

# 使脚本可执行并添加到cron
  sudo chmod +x /usr/local/bin/secure_backup.sh
  sudo crontab -e
  # 添加以下行
  0 2 * * * /usr/local/bin/secure_backup.sh

### 5. 监控与审计
- **集中日志管理**：建立集中式日志管理系统。
```bash
# 配置Rsyslog客户端
sudo vi /etc/rsyslog.d/remote.conf
# 添加以下行
*.* @logserver.example.com:514
sudo systemctl restart rsyslog

复制代码

• 入侵检测：部署入侵检测系统，监控异常活动。
“`bash安装AIDEsudo yum install aide
sudo aide –init
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

入侵检测：部署入侵检测系统，监控异常活动。
“`bash

sudo yum install aide
sudo aide –init
sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

# 配置每日检查
  sudo crontab -e
  # 添加以下行
  0 3 * * * /usr/sbin/aide –check | mail -s “AIDE Report” admin@example.com

- **定期安全审计**：定期进行安全审计和漏洞扫描。
```bash
# 创建安全审计脚本
sudo vi /usr/local/bin/security_audit.sh
# 添加以下内容
#!/bin/bash
# 运行Lynis审计
lynis audit system --report-file /var/log/lynis-$(date +%Y%m%d).dat
# 运行OpenSCAP扫描
oscap xccdf eval --profile stig-rhel7-server-upstream --results-arf /var/log/scap-$(date +%Y%m%d).xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
# 生成报告
oscap xccdf generate report /var/log/scap-$(date +%Y%m%d).xml > /var/www/html/scap-$(date +%Y%m%d).html
# 发送通知
echo "Security audit completed. Reports available at http://$(hostname)/scap-$(date +%Y%m%d).html" | mail -s "Security Audit Report" admin@example.com
# 使脚本可执行并添加到cron
sudo chmod +x /usr/local/bin/security_audit.sh
sudo crontab -e
# 添加以下行
0 6 1 * * /usr/local/bin/security_audit.sh

复制代码

6. 事件响应

• 建立事件响应计划：制定详细的安全事件响应流程。
“`bash创建事件响应文档模板sudo vi /usr/local/doc/incident-response-plan.md添加以下内容事件响应计划

建立事件响应计划：制定详细的安全事件响应流程。
“`bash

sudo vi /usr/local/doc/incident-response-plan.md

## 1. 事件识别

• 监控系统告警
• 分析异常活动
• 确认安全事件

## 2. 初始响应

• 记录事件详情
• 评估影响范围
• 通知相关人员

## 3. 遏制策略

• 隔离受影响系统
• 阻止恶意活动
• 保护证据

## 4. 根除恢复

• 消除威胁根源
• 恢复系统正常
• 验证恢复结果

## 5. 事后总结

• 分析事件原因
• 更新安全策略
• 改进防护措施
“`
• 定期演练：定期进行安全事件响应演练。
“`bash创建演练脚本sudo vi /usr/local/bin/incident-response-drill.sh添加以下内容#!/bin/bash

分析事件原因

更新安全策略

改进防护措施
“`

定期演练：定期进行安全事件响应演练。
“`bash

sudo vi /usr/local/bin/incident-response-drill.sh

#!/bin/bash

# 模拟安全事件
  echo “Simulating security incident…”

# 创建测试文件
  echo “This is a test file for incident response drill.” > /tmp/test_file.txt

# 检测异常文件
  if [ -f /tmp/test_file.txt ]; then

echo "Incident detected: Unauthorized file found at /tmp/test_file.txt"
# 记录事件
echo "$(date): Incident detected - Unauthorized file found at /tmp/test_file.txt" >> /var/log/incident-response.log
# 遏制措施
rm /tmp/test_file.txt
echo "Containment: Unauthorized file removed."
# 通知
echo "Incident response drill completed. Check /var/log/incident-response.log for details." | mail -s "Incident Response Drill" admin@example.com

复制代码

fi

# 使脚本可执行并添加到cron
  sudo chmod +x /usr/local/bin/incident-response-drill.sh
  sudo crontab -e
  # 添加以下行
  0 4 1 * * /usr/local/bin/incident-response-drill.sh
  “`

通过遵循以上最佳实践，企业可以显著提高RHEL系统的安全性，有效防范各类安全威胁，保护关键业务数据和系统资源。安全加固是一个持续的过程，需要定期评估、更新和改进安全策略，以应对不断变化的安全威胁。

版权声明

1、转载或引用本网站内容(Red Hat Enterprise Linux系统安全加固指南企业级Linux平台安全防护实战技巧与最佳实践分享)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://www.pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://www.pixtech.cc/thread-34982-1-1.html

	通知：是的！我们正在计划一个大动作！	11-02 12:46
	通知：Telegram 推送频道https://t.me/+2tB3a7aKXlw2YjA1 及时接收第一手论坛帖子信息～	10-23 09:32
	通知：本站资源由网友上传分享，如有违规等问题请到版务模块进行投诉，将及时处理！	10-23 09:31
	通知：加入QQ社群吧 https://qm.qq.com/q/QZibQd1hiq	10-23 09:28
	通知：签到时间调整为每日4:00（东八区）	10-23 09:26

活动公告

Red Hat Enterprise Linux系统安全加固指南企业级Linux平台安全防护实战技巧与最佳实践分享

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

版权声明

浏览过的版块

三倍冰淇淋

无人之境【一阶】

财Doro

小樱（小丑装）

立华奏

以外的星空【二阶】

⑨的冰沙

友情链接

频道订阅

加入社群

活动公告

Red Hat Enterprise Linux系统安全加固指南 企业级Linux平台安全防护实战技巧与最佳实践分享

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

版权声明

浏览过的版块

三倍冰淇淋

无人之境【一阶】

财Doro

小樱（小丑装）

立华奏

以外的星空【二阶】

⑨的冰沙

友情链接

频道订阅

加入社群

Red Hat Enterprise Linux系统安全加固指南企业级Linux平台安全防护实战技巧与最佳实践分享