Rocky Linux系统安全校验全攻略 从基础检查到高级防护确保企业服务器安全无忧实用技巧详解

威震华夏关云长

引言

Rocky Linux作为CentOS的替代品，已经成为许多企业的首选服务器操作系统。随着网络安全威胁的不断增加，确保Rocky Linux服务器的安全性变得尤为重要。本文将从基础检查到高级防护，全面介绍Rocky Linux系统安全校验的实用技巧，帮助企业IT管理员构建安全无忧的服务器环境。

基础安全检查

系统更新与补丁管理

保持系统更新是确保服务器安全的第一步。Rocky Linux使用dnf（或yum）包管理器来管理软件包和更新。

2. # 检查可用的更新
3. sudo dnf check-update
5. # 安装所有可用更新
6. sudo dnf update -y
8. # 仅安装安全更新
9. sudo dnf update --security
11. # 设置自动更新
12. sudo dnf install -y dnf-automatic
13. sudo systemctl enable --now dnf-automatic.timer

复制代码

为了确保系统及时获取安全更新，建议配置自动更新。但生产环境中，建议先在测试环境中验证更新后再部署到生产环境。

用户账户安全管理

定期审核系统用户账户是必要的安全措施：

2. # 列出所有用户
3. cat /etc/passwd | cut -d: -f1
5. # 列出具有登录权限的用户
6. grep '/bin/bash' /etc/passwd | cut -d: -f1
8. # 检查空密码账户
9. sudo awk -F: '($2 == "") {print}' /etc/shadow
11. # 检查UID为0的账户（除root外）
12. sudo awk -F: '($3 == 0) {print}' /etc/passwd

复制代码

强密码策略是防止暴力破解的基础：

2. # 安装libpwquality（如果尚未安装）
3. sudo dnf install -y libpwquality
5. # 编辑密码策略配置
6. sudo vi /etc/security/pwquality.conf
8. # 示例配置：
9. minlen = 12
10. minclass = 3
11. maxrepeat = 3
12. dcredit = -1
13. ucredit = -1
14. lcredit = -1
15. ocredit = -1

复制代码

这些设置要求密码至少12个字符，包含至少3种字符类型（大写、小写、数字、特殊字符），最多连续重复3个相同字符，并且至少包含一个数字、一个大写字母、一个小写字母和一个特殊字符。

配置登录失败后的账户锁定策略：

2. # 编辑/etc/pam.d/system-auth文件
3. sudo vi /etc/pam.d/system-auth
5. # 在auth部分添加以下行（如果不存在）：
6. auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail audit
8. # 在account部分添加以下行（如果不存在）：
9. account required pam_tally2.so

复制代码

此配置将在5次登录失败后锁定账户15分钟。

文件系统与权限安全

检查关键系统文件的权限：

2. # 检查关键目录权限
3. ls -ld /etc /etc/passwd /etc/shadow /etc/group /etc/gshadow
5. # 检查SUID/SGID文件
6. find / -type f \( -perm -4000 -o -perm -2000 \) -ls 2>/dev/null
8. # 检查全局可写文件
9. find / -type f -perm -o+w -ls 2>/dev/null
11. # 检查无主文件
12. find / -nouser -o -nogroup -ls 2>/dev/null

复制代码

对于敏感数据，可以使用LUKS（Linux Unified Key Setup）进行加密：

2. # 安装cryptsetup
3. sudo dnf install -y cryptsetup
5. # 创建加密分区（假设设备为/dev/sdb1）
6. sudo cryptsetup luksFormat /dev/sdb1
7. sudo cryptsetup open /dev/sdb1 encrypted_data
8. sudo mkfs.ext4 /dev/mapper/encrypted_data
9. sudo mount /dev/mapper/encrypted_data /mnt/encrypted
11. # 创建自动挂载配置
12. echo "encrypted_data /dev/sdb1 /mnt/encrypted ext4 defaults 0 0" | sudo tee -a /etc/crypttab
13. echo "/dev/mapper/encrypted_data /mnt/encrypted ext4 defaults 0 0" | sudo tee -a /etc/fstab

复制代码

网络安全配置

防火墙配置

Rocky Linux使用firewalld作为默认防火墙管理工具：

2. # 安装并启用firewalld
3. sudo dnf install -y firewalld
4. sudo systemctl enable --now firewalld
6. # 查看默认区域和活动区域
7. sudo firewall-cmd --get-default-zone
8. sudo firewall-cmd --get-active-zones
10. # 开放特定端口（如HTTP和HTTPS）
11. sudo firewall-cmd --permanent --add-service=http
12. sudo firewall-cmd --permanent --add-service=https
13. sudo firewall-cmd --reload
15. # 限制特定IP访问
16. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
17. sudo firewall-cmd --reload
19. # 拒绝特定IP访问
20. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.100" reject'
21. sudo firewall-cmd --reload

复制代码

网络服务安全

SSH是服务器管理的常用工具，但其默认配置可能存在安全风险：

2. # 编辑SSH配置文件
3. sudo vi /etc/ssh/sshd_config
5. # 建议的安全配置：
6. Port 2222  # 更改默认端口
7. PermitRootLogin no  # 禁止root登录
8. PasswordAuthentication no  # 禁用密码认证，仅允许密钥认证
9. PubkeyAuthentication yes  # 启用公钥认证
10. PermitEmptyPasswords no  # 禁止空密码
11. MaxAuthTries 3  # 最大认证尝试次数
12. LoginGraceTime 60  # 登录宽限时间
13. AllowUsers user1 user2  # 仅允许特定用户登录
14. AllowGroups sshusers  # 仅允许特定组登录
16. # 重启SSH服务
17. sudo systemctl restart sshd

复制代码

减少攻击面需要禁用不必要的服务：

2. # 列出所有启用的服务
3. sudo systemctl list-unit-files | grep enabled
5. # 禁用不必要的服务（示例）
6. sudo systemctl disable telnet.socket
7. sudo systemctl disable rsh.socket
8. sudo systemctl disable rexec.socket
9. sudo systemctl disable nfs-server
10. sudo systemctl disable rpcbind
11. sudo systemctl disable avahi-daemon

复制代码

网络参数调优

通过调整内核网络参数来增强安全性：

2. # 编辑sysctl配置文件
3. sudo vi /etc/sysctl.d/99-security.conf
5. # 添加以下配置：
6. # 启用IP欺骗保护
7. net.ipv4.conf.all.rp_filter = 1
8. net.ipv4.conf.default.rp_filter = 1
10. # 禁用IP源路由
11. net.ipv4.conf.all.accept_source_route = 0
12. net.ipv4.conf.default.accept_source_route = 0
13. net.ipv6.conf.all.accept_source_route = 0
14. net.ipv6.conf.default.accept_source_route = 0
16. # 忽略ICMP重定向
17. net.ipv4.conf.all.accept_redirects = 0
18. net.ipv4.conf.default.accept_redirects = 0
19. net.ipv6.conf.all.accept_redirects = 0
20. net.ipv6.conf.default.accept_redirects = 0
22. # 忽略发送ICMP重定向
23. net.ipv4.conf.all.send_redirects = 0
24. net.ipv4.conf.default.send_redirects = 0
26. # 不启用IP转发
27. net.ipv4.ip_forward = 0
28. net.ipv6.conf.all.forwarding = 0
30. # 启用TCP SYN Cookie保护
31. net.ipv4.tcp_syncookies = 1
33. # 防止TCP时间戳攻击
34. net.ipv4.tcp_timestamps = 0
36. # 记录可疑数据包
37. net.ipv4.conf.all.log_martians = 1
38. net.ipv4.conf.default.log_martians = 1
40. # 应用配置
41. sudo sysctl -p /etc/sysctl.d/99-security.conf

复制代码

高级安全防护

SELinux配置

SELinux（Security-Enhanced Linux）是Linux内核的安全模块，提供强制访问控制（MAC）：

2. # 检查SELinux状态
3. sestatus
5. # 设置SELinux为强制模式
6. sudo setenforce 1
7. sudo vi /etc/selinux/config
8. # 设置SELINUX=enforcing
10. # 查看文件和进程的SELinux上下文
11. ls -Z
12. ps -eZ
14. # 修改文件或目录的SELinux上下文
15. sudo chcon -t httpd_sys_content_t /var/www/html/index.html
17. # 永久保存SELinux上下文修改
18. sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
19. sudo restorecon -Rv /var/www/html
21. # 查看SELinux布尔值
22. getsebool -a
24. # 设置SELinux布尔值
25. sudo setsebool -P httpd_can_network_connect on
27. # 查看SELinux拒绝日志
28. sudo ausearch -m avc -ts recent
29. sudo sealert -a /var/log/audit/audit.log

复制代码

入侵检测系统

AIDE是一个文件完整性检查工具：

2. # 安装AIDE
3. sudo dnf install -y aide
5. # 初始化AIDE数据库
6. sudo aide --init
8. # 将新数据库移动到正确位置
9. sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
11. # 执行系统检查
12. sudo aide --check
14. # 创建定期检查任务
15. echo "0 3 * * * root /usr/sbin/aide --check | mail -s 'AIDE Report' admin@example.com" | sudo tee -a /etc/crontab

复制代码

Fail2ban可以防止暴力破解攻击：

2. # 安装Fail2ban
3. sudo dnf install -y fail2ban
5. # 创建本地配置文件
6. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
8. # 编辑配置文件
9. sudo vi /etc/fail2ban/jail.local
11. # 示例SSH保护配置：
12. [sshd]
13. enabled = true
14. port = 2222
15. filter = sshd
16. logpath = /var/log/secure
17. maxretry = 3
18. bantime = 3600
19. findtime = 600
21. # 启动并启用Fail2ban
22. sudo systemctl enable --now fail2ban
24. # 查看被禁止的IP
25. sudo fail2ban-client status sshd

复制代码

安全审计

Auditd提供系统审计功能：

2. # 安装auditd
3. sudo dnf install -y audit
5. # 启动并启用auditd
6. sudo systemctl enable --now auditd
8. # 添加审计规则
9. # 监控文件访问
10. sudo auditctl -w /etc/passwd -p wa -k passwd_changes
11. sudo auditctl -w /etc/shadow -p wa -k shadow_changes
12. sudo auditctl -w /etc/group -p wa -k group_changes
14. # 监控系统调用
15. sudo auditctl -a always,exit -F arch=b64 -S execve -k process_creation
17. # 监控登录尝试
18. sudo auditctl -w /var/log/lastlog -p wa -k logins
19. sudo auditctl -w /var/log/faillog -p wa -k logins
21. # 永久保存规则
22. sudo auditctl -l | sudo tee /etc/audit/rules.d/audit.rules
24. # 查看审计日志
25. sudo ausearch -k passwd_changes
26. sudo aureport -m

复制代码

配置集中式日志管理：

2. # 安装rsyslog
3. sudo dnf install -y rsyslog
5. # 编辑rsyslog配置
6. sudo vi /etc/rsyslog.conf
8. # 取消注释以下行以启用TCP日志接收：
9. # Provides TCP syslog reception
10. module(load="imtcp")
11. input(type="imtcp" port="514")
13. # 配置日志模板
14. $template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
15. *.* ?RemoteLogs
17. # 重启rsyslog服务
18. sudo systemctl restart rsyslog
20. # 配置日志轮转
21. sudo vi /etc/logrotate.d/syslog
23. # 示例配置：
24. /var/log/remote/*/*.log {
25.     daily
26.     missingok
27.     rotate 7
28.     compress
29.     delaycompress
30.     notifempty
31.     create 640 root adm
32.     sharedscripts
33.     postrotate
34.         /usr/bin/systemctl reload rsyslog >/dev/null 2>&1 || true
35.     endscript
36. }

复制代码

安全监控与日志分析

实时监控工具

osquery是一个操作系统检测和分析框架：

2. # 添加osquery仓库
3. sudo rpm -ivh https://pkg.osquery.io/rpm/osquery-s3.rpm
5. # 安装osquery
6. sudo dnf install -y osquery
8. # 配置osquery
9. sudo vi /etc/osquery/osquery.conf
11. # 示例配置：
12. {
13.   "options": {
14.     "host_identifier": "hostname",
15.     "schedule_splay_percent": 10
16.   },
17.   "schedule": {
18.     "process_info": {
19.       "query": "SELECT pid, name, path, cmdline FROM processes",
20.       "interval": 60
21.     },
22.     "listening_ports": {
23.       "query": "SELECT pid, port, protocol, address FROM listening_ports",
24.       "interval": 60
25.     },
26.     "logged_in_users": {
27.       "query": "SELECT user, tty, host, time FROM logged_in_users",
28.       "interval": 360
29.     }
30.   }
31. }
33. # 启动并启用osqueryd
34. sudo systemctl enable --now osqueryd
36. # 交互式查询
37. sudo osqueryi

复制代码

Wazuh是一个开源的安全监控平台：

2. # 添加Wazuh仓库
3. sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
4. echo -e '[wazuh]\ngpgcheck=1\ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH\nenabled=1\nname=EL-$releasever - Wazuh\nbaseurl=https://packages.wazuh.com/4.x/yum/\nprotect=1' | sudo tee /etc/yum.repos.d/wazuh.repo
6. # 安装Wazuh agent
7. sudo dnf install -y wazuh-agent
9. # 配置Wazuh agent
10. sudo vi /var/ossec/etc/ossec.conf
12. # 配置服务器地址（示例）：
13. <ossec_config>
14.   <client>
15.     <server>
16.       <address>MANAGER_IP</address>
17.       <port>1514</port>
18.       <protocol>tcp</protocol>
19.     </server>
20.   </client>
21. </ossec_config>
23. # 启动并启用Wazuh agent
24. sudo systemctl enable --now wazuh-agent

复制代码

日志分析工具

ELK Stack是一个强大的日志分析平台：

2. # 安装Elasticsearch
3. sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
4. echo -e '[elasticsearch-7.x]\nname=Elasticsearch repository for 7.x packages\nbaseurl=https://artifacts.elastic.co/packages/7.x/yum\ngpgcheck=1\ngpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch\nenabled=1\nautorefresh=1\ntype=rpm-md' | sudo tee /etc/yum.repos.d/elasticsearch.repo
5. sudo dnf install -y elasticsearch
6. sudo systemctl enable --now elasticsearch
8. # 安装Logstash
9. echo -e '[logstash-7.x]\nname=Elasticsearch repository for 7.x packages\nbaseurl=https://artifacts.elastic.co/packages/7.x/yum\ngpgcheck=1\ngpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch\nenabled=1\nautorefresh=1\ntype=rpm-md' | sudo tee /etc/yum.repos.d/logstash.repo
10. sudo dnf install -y logstash
12. # 配置Logstash
13. sudo vi /etc/logstash/conf.d/syslog.conf
15. # 示例配置：
16. input {
17.   tcp {
18.     port => 514
19.     type => syslog
20.   }
21.   udp {
22.     port => 514
23.     type => syslog
24.   }
25. }
27. filter {
28.   if [type] == "syslog" {
29.     grok {
30.       match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
31.     }
32.     date {
33.       match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
34.     }
35.   }
36. }
38. output {
39.   elasticsearch {
40.     hosts => ["localhost:9200"]
41.     index => "syslog-%{+YYYY.MM.dd}"
42.   }
43. }
45. # 启动并启用Logstash
46. sudo systemctl enable --now logstash
48. # 安装Kibana
49. echo -e '[kibana-7.x]\nname=Kibana repository for 7.x packages\nbaseurl=https://artifacts.elastic.co/packages/7.x/yum\ngpgcheck=1\ngpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch\nenabled=1\nautorefresh=1\ntype=rpm-md' | sudo tee /etc/yum.repos.d/kibana.repo
50. sudo dnf install -y kibana
52. # 配置Kibana
53. sudo vi /etc/kibana/kibana.yml
55. # 设置服务器地址：
56. server.host: "0.0.0.0"
57. elasticsearch.hosts: ["http://localhost:9200"]
59. # 启动并启用Kibana
60. sudo systemctl enable --now kibana

复制代码

安全应急响应

入侵检测与响应

Lynis是一个强大的安全审计工具：

2. # 安装Lynis
3. sudo dnf install -y lynis
5. # 执行系统安全扫描
6. sudo lynis audit system
8. # 查看扫描报告
9. sudo cat /var/log/lynis-report.dat
11. # 定期执行扫描
12. echo "0 3 * * * root /usr/bin/lynis audit system --quiet" | sudo tee -a /etc/crontab

复制代码

Chkrootkit是一个检测rootkit的工具：

2. # 安装Chkrootkit
3. sudo dnf install -y chkrootkit
5. # 执行检测
6. sudo chkrootkit
8. # 定期执行检测
9. echo "0 2 * * * root /usr/sbin/chkrootkit | mail -s 'Chkrootkit Report' admin@example.com" | sudo tee -a /etc/crontab

复制代码

事件响应流程

创建一个简单的自动化应急响应脚本：

2. # 创建应急响应脚本
3. sudo vi /usr/local/bin/incident-response.sh
5. #!/bin/bash
7. # 应急响应脚本
8. # 使用方法: sudo /usr/local/bin/incident-response.sh [start|stop|status]
10. # 配置变量
11. LOG_DIR="/var/log/incident-response"
12. BACKUP_DIR="/var/backups/incident-response"
13. TIMESTAMP=$(date +"%Y%m%d-%H%M%S")
14. ISOLATED=0
16. # 创建必要的目录
17. mkdir -p $LOG_DIR
18. mkdir -p $BACKUP_DIR
20. # 记录函数
21. log() {
22.     echo "[$(date +"%Y-%m-%d %H:%M:%S")] $1" | tee -a $LOG_DIR/incident-response-$TIMESTAMP.log
23. }
25. # 隔离系统函数
26. isolate_system() {
27.     if [ $ISOLATED -eq 0 ]; then
28.         log "开始隔离系统..."
29.         
30.         # 断开网络连接
31.         log "断开网络连接..."
32.         ifdown eth0
33.         
34.         # 停止不必要的服务
35.         log "停止不必要的服务..."
36.         systemctl stop httpd
37.         systemctl stop nginx
38.         systemctl stop postfix
39.         systemctl stop dovecot
40.         
41.         # 记录当前进程
42.         log "记录当前进程..."
43.         ps auxf > $LOG_DIR/processes-$TIMESTAMP.txt
44.         
45.         # 记录网络连接
46.         log "记录网络连接..."
47.         netstat -tulnp > $LOG_DIR/netstat-$TIMESTAMP.txt
48.         ss -tulnp > $LOG_DIR/ss-$TIMESTAMP.txt
49.         
50.         # 记录用户登录
51.         log "记录用户登录..."
52.         w > $LOG_DIR/who-$TIMESTAMP.txt
53.         last > $LOG_DIR/last-$TIMESTAMP.txt
54.         
55.         ISOLATED=1
56.         log "系统隔离完成"
57.     else
58.         log "系统已经隔离"
59.     fi
60. }
62. # 收集证据函数
63. collect_evidence() {
64.     log "开始收集证据..."
65.    
66.     # 创建证据目录
67.     EVIDENCE_DIR="$BACKUP_DIR/evidence-$TIMESTAMP"
68.     mkdir -p $EVIDENCE_DIR
69.    
70.     # 备份关键文件
71.     log "备份关键文件..."
72.     cp /etc/passwd $EVIDENCE_DIR/
73.     cp /etc/shadow $EVIDENCE_DIR/
74.     cp /etc/group $EVIDENCE_DIR/
75.     cp /etc/sudoers $EVIDENCE_DIR/
76.     cp /etc/ssh/sshd_config $EVIDENCE_DIR/
77.    
78.     # 备份日志文件
79.     log "备份日志文件..."
80.     tar -czf $EVIDENCE_DIR/logs-$TIMESTAMP.tar.gz /var/log/
81.    
82.     # 备份用户数据
83.     log "备份用户数据..."
84.     tar -czf $EVIDENCE_DIR/home-$TIMESTAMP.tar.gz /home/
85.    
86.     # 创建文件系统快照（如果支持）
87.     if command -v lvcreate &> /dev/null; then
88.         log "创建文件系统快照..."
89.         # 这里需要根据实际情况调整
90.         # lvcreate --size 1G --snapshot --name backup-$TIMESTAMP /dev/vg00/lv_root
91.     fi
92.    
93.     log "证据收集完成"
94. }
96. # 恢复系统函数
97. restore_system() {
98.     log "开始恢复系统..."
99.    
100.     # 恢复网络连接
101.     log "恢复网络连接..."
102.     ifup eth0
103.    
104.     # 重启服务
105.     log "重启服务..."
106.     systemctl start httpd
107.     systemctl start nginx
108.     systemctl start postfix
109.     systemctl start dovecot
110.    
111.     # 验证系统状态
112.     log "验证系统状态..."
113.     systemctl status httpd nginx postfix dovecot
114.    
115.     log "系统恢复完成"
116. }
118. # 主程序
119. case "$1" in
120.     start)
121.         log "启动应急响应程序"
122.         isolate_system
123.         collect_evidence
124.         ;;
125.     stop)
126.         log "停止应急响应程序"
127.         restore_system
128.         ;;
129.     status)
130.         if [ $ISOLATED -eq 1 ]; then
131.             echo "系统处于隔离状态"
132.         else
133.             echo "系统处于正常状态"
134.         fi
135.         ;;
136.     *)
137.         echo "使用方法: $0 [start|stop|status]"
138.         exit 1
139.         ;;
140. esac
142. exit 0
144. # 使脚本可执行
145. sudo chmod +x /usr/local/bin/incident-response.sh

复制代码

最佳实践与建议

企业环境下的安全基线配置

创建Rocky Linux安全基线配置：

2. # 创建安全基线脚本
3. sudo vi /usr/local/bin/security-baseline.sh
5. #!/bin/bash
7. # Rocky Linux安全基线配置脚本
8. # 使用方法: sudo /usr/local/bin/security-baseline.sh
10. # 日志函数
11. log() {
12.     echo "[$(date +"%Y-%m-%d %H:%M:%S")] $1"
13. }
15. # 检查root权限
16. if [ "$(id -u)" -ne 0 ]; then
17.     echo "此脚本需要root权限运行"
18.     exit 1
19. fi
21. # 创建备份目录
22. BACKUP_DIR="/var/backups/security-baseline-$(date +"%Y%m%d-%H%M%S")"
23. mkdir -p $BACKUP_DIR
25. log "开始应用Rocky Linux安全基线配置..."
27. # 1. 系统更新
28. log "更新系统..."
29. dnf update -y
31. # 2. 安装必要的安全工具
32. log "安装安全工具..."
33. dnf install -y libpwquality aide fail2ban audit rsyslog logwatch
35. # 3. 配置密码策略
36. log "配置密码策略..."
37. cp /etc/security/pwquality.conf $BACKUP_DIR/
38. cat > /etc/security/pwquality.conf << EOF
39. minlen = 12
40. minclass = 3
41. maxrepeat = 3
42. dcredit = -1
43. ucredit = -1
44. lcredit = -1
45. ocredit = -1
46. EOF
48. # 4. 配置账户锁定策略
49. log "配置账户锁定策略..."
50. cp /etc/pam.d/system-auth $BACKUP_DIR/
51. sed -i '/auth.*pam_unix.so/a auth required pam_tally2.so deny=5 unlock_time=900 onerr=fail audit' /etc/pam.d/system-auth
52. sed -i '/account.*pam_unix.so/a account required pam_tally2.so' /etc/pam.d/system-auth
54. # 5. 配置SSH安全
55. log "配置SSH安全..."
56. cp /etc/ssh/sshd_config $BACKUP_DIR/
57. cat > /etc/ssh/sshd_config << EOF
58. Port 2222
59. PermitRootLogin no
60. PasswordAuthentication no
61. PubkeyAuthentication yes
62. PermitEmptyPasswords no
63. MaxAuthTries 3
64. LoginGraceTime 60
65. AllowUsers admin
66. EOF
67. systemctl restart sshd
69. # 6. 配置防火墙
70. log "配置防火墙..."
71. systemctl enable --now firewalld
72. firewall-cmd --permanent --add-service=ssh
73. firewall-cmd --permanent --remove-service=dhcpv6-client
74. firewall-cmd --permanent --remove-service=mdns
75. firewall-cmd --reload
77. # 7. 配置SELinux
78. log "配置SELinux..."
79. setenforce 1
80. sed -i 's/SELINUX=disabled/SELINUX=enforcing/' /etc/selinux/config
81. sed -i 's/SELINUX=permissive/SELINUX=enforcing/' /etc/selinux/config
83. # 8. 配置网络参数
84. log "配置网络参数..."
85. cat > /etc/sysctl.d/99-security.conf << EOF
86. # IP欺骗保护
87. net.ipv4.conf.all.rp_filter = 1
88. net.ipv4.conf.default.rp_filter = 1
90. # 禁用IP源路由
91. net.ipv4.conf.all.accept_source_route = 0
92. net.ipv4.conf.default.accept_source_route = 0
93. net.ipv6.conf.all.accept_source_route = 0
94. net.ipv6.conf.default.accept_source_route = 0
96. # 忽略ICMP重定向
97. net.ipv4.conf.all.accept_redirects = 0
98. net.ipv4.conf.default.accept_redirects = 0
99. net.ipv6.conf.all.accept_redirects = 0
100. net.ipv6.conf.default.accept_redirects = 0
102. # 忽略发送ICMP重定向
103. net.ipv4.conf.all.send_redirects = 0
104. net.ipv4.conf.default.send_redirects = 0
106. # 不启用IP转发
107. net.ipv4.ip_forward = 0
108. net.ipv6.conf.all.forwarding = 0
110. # 启用TCP SYN Cookie保护
111. net.ipv4.tcp_syncookies = 1
113. # 防止TCP时间戳攻击
114. net.ipv4.tcp_timestamps = 0
116. # 记录可疑数据包
117. net.ipv4.conf.all.log_martians = 1
118. net.ipv4.conf.default.log_martians = 1
119. EOF
120. sysctl -p /etc/sysctl.d/99-security.conf
122. # 9. 配置AIDE
123. log "配置AIDE..."
124. aide --init
125. mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
127. # 10. 配置Fail2ban
128. log "配置Fail2ban..."
129. systemctl enable --now fail2ban
130. cat > /etc/fail2ban/jail.local << EOF
131. [sshd]
132. enabled = true
133. port = 2222
134. filter = sshd
135. logpath = /var/log/secure
136. maxretry = 3
137. bantime = 3600
138. findtime = 600
139. EOF
140. systemctl restart fail2ban
142. # 11. 配置审计
143. log "配置审计..."
144. systemctl enable --now auditd
145. cat > /etc/audit/rules.d/audit.rules << EOF
146. -w /etc/passwd -p wa -k passwd_changes
147. -w /etc/shadow -p wa -k shadow_changes
148. -w /etc/group -p wa -k group_changes
149. -a always,exit -F arch=b64 -S execve -k process_creation
150. -w /var/log/lastlog -p wa -k logins
151. -w /var/log/faillog -p wa -k logins
152. EOF
153. systemctl restart auditd
155. # 12. 配置日志
156. log "配置日志..."
157. systemctl enable --now rsyslog
158. cat > /etc/logrotate.conf << EOF
159. weekly
160. rotate 4
161. create
162. dateext
163. compress
164. delaycompress
165. missingok
166. notifempty
167. sharedscripts
168. postrotate
169.     /usr/bin/systemctl reload rsyslog >/dev/null 2>&1 || true
170. endscript
171. EOF
173. # 13. 禁用不必要的服务
174. log "禁用不必要的服务..."
175. systemctl disable telnet.socket
176. systemctl disable rsh.socket
177. systemctl disable rexec.socket
178. systemctl disable nfs-server
179. systemctl disable rpcbind
180. systemctl disable avahi-daemon
182. # 14. 创建定期安全检查任务
183. log "创建定期安全检查任务..."
184. cat > /etc/cron.daily/security-check << EOF
185. #!/bin/bash
186. # 每日安全检查脚本
188. # 运行AIDE检查
189. /usr/sbin/aide --check | mail -s 'AIDE Report' admin@example.com
191. # 运行Lynis扫描
192. /usr/bin/lynis audit system --quiet | mail -s 'Lynis Report' admin@example.com
194. # 运行Chkrootkit检查
195. /usr/sbin/chkrootkit | mail -s 'Chkrootkit Report' admin@example.com
197. # 检查磁盘空间
198. df -h | awk '{print $5}' | grep -v Use | sort -n | tail -1 | cut -d'%' -f1 | awk '{if ($1 > 90) system("echo "磁盘空间不足" | mail -s "Disk Space Alert" admin@example.com")}'
200. # 检查系统负载
201. uptime | awk '{print $10}' | cut -d',' -f1 | awk '{if ($1 > 5) system("echo "系统负载过高" | mail -s "System Load Alert" admin@example.com")}'
202. EOF
203. chmod +x /etc/cron.daily/security-check
205. log "Rocky Linux安全基线配置完成"
206. log "备份文件保存在: $BACKUP_DIR"
208. exit 0
210. # 使脚本可执行
211. sudo chmod +x /usr/local/bin/security-baseline.sh

复制代码

安全意识培训

安全意识培训是企业安全的重要组成部分：

2. # 创建安全意识培训文档
3. sudo vi /etc/security/security-awareness.md
5. # 示例内容：
6. # # 安全意识培训指南
8. # ## 1. 密码安全
9. # - 使用强密码（至少12个字符，包含大小写字母、数字和特殊字符）
10. # - 不同系统使用不同密码
11. # - 定期更换密码
12. # - 使用密码管理器
13. # - 启用多因素认证
15. # ## 2. 邮件安全
16. # - 警惕钓鱼邮件
17. - 不点击可疑链接
18. - 不下载可疑附件
19. - 验证发件人身份
20. - 使用加密邮件
22. # ## 3. 网络安全
23. # - 使用VPN连接公司网络
24. # - 避免使用公共Wi-Fi处理敏感信息
25. # - 确保网站使用HTTPS
26. # - 不随意连接未知USB设备
28. # ## 4. 社交工程防护
29. # - 不随意透露个人信息
30. # - 验证身份请求
31. # - 警惕紧急请求
32. # - 报告可疑活动
34. # ## 5. 设备安全
35. # - 使用设备加密
36. # - 设置设备锁屏密码
37. # - 及时更新操作系统和应用
38. # - 不越狱或root设备
40. # ## 6. 数据处理
41. # - 遵循数据分类标准
42. # - 不在个人设备上处理敏感数据
43. # - 安全传输数据
44. # - 正确处置数据
46. # ## 7. 事件报告
47. # - 了解安全事件类型
48. # - 知道如何报告安全事件
49. # - 不试图自行解决安全问题
50. # - 配合安全调查

复制代码

总结

Rocky Linux系统安全是一个多层次、全方位的工作，需要从基础检查到高级防护全面考虑。本文详细介绍了Rocky Linux系统安全校验的各个方面，包括：

1. 基础安全检查：系统更新、用户管理、文件权限等
2. 网络安全配置：防火墙设置、网络服务安全等
3. 高级安全防护：SELinux、入侵检测系统、安全审计等
4. 安全监控与日志分析：实时监控工具和日志分析平台
5. 安全应急响应：入侵检测与响应、事件响应流程
6. 最佳实践与建议：企业环境下的安全策略和安全意识培训

通过实施这些安全措施，企业可以显著提高Rocky Linux服务器的安全性，降低安全风险，确保服务器安全无忧。然而，安全是一个持续的过程，需要定期评估、更新和改进安全策略，以应对不断变化的安全威胁。

希望本文提供的实用技巧和详细示例能够帮助IT管理员更好地保护Rocky Linux服务器，构建安全可靠的企业IT环境。

版权声明

1、转载或引用本网站内容(Rocky Linux系统安全校验全攻略 从基础检查到高级防护确保企业服务器安全无忧实用技巧详解)须注明原网址及作者(威震华夏关云长)，并标明本网站网址(https://www.pixtech.cc/)。

2、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

3、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://www.pixtech.cc/thread-36860-1-1.html