强化CentOS安全防线：如何有效应对常见安全威胁

• 社交工程

社交工程是一种欺骗手段，黑客可能会冒充信任的实体或诱导受害者透露敏感信息，例如用户名、密码或其他凭证。

• 恶意登录尝试

恶意登录尝试通常是黑客使用自动化工具，通过暴力破解或密码字典攻击等方式尝试破解用户账户的密码。

• 敏感信息泄露

配置错误或不当的文件权限可能导致敏感信息泄露给未授权的用户，使得这些信息容易被黑客利用。

• Web应用程序漏洞

漏洞如SQL注入、跨站脚本等可能会被黑客利用来绕过应用程序的安全性，从而获取敏感数据或执行恶意操作。

• 缓冲区溢出

缓冲区溢出攻击利用软件设计上的漏洞，向缓冲区输入超出其预期大小的数据，从而覆盖相邻内存地址并执行恶意代码。

如何抵御安全威胁

这些都是常见的安全威胁，了解它们是为了更好帮助我们制定更有效更有针对性的防范策略，防止这些安全威胁的发生。那具体应该怎么着手呢？根据我的经验，个人认为可以从以下这些方面开始：

加固系统访问权限

加固系统的访问权限是最简单也是最有效的措施之一，以下推荐的具体做法：

使用强密码策略

• 强制要求用户设置复杂密码，包括大小写字母、数字和特殊字符
• 设置密码长度要求，通常推荐至少 8 个字符
• 禁止使用容易被猜测的密码，如“123456”等常见密码
• 定期要求用户更新密码，以确保安全性

禁用不必要的服务

• 使用 systemctl 或 service 命令禁用不需要的网络服务，例如FTP服务器、邮件服务器等
• 使用 chkconfig 命令（旧版本）或 systemctl 命令（新版本）禁用启动不必要的服务，确保它们不会在系统启动时自动运行

配置SSH安全选项

• • 禁用root账户远程登录，使用普通用户登录后再切换到root账户
    • 修改SSH默认端口以避免暴露在常见攻击下
    • 启用公钥认证，禁用密码登录
    • 配置SSH参数限制登录尝试次数，禁止空闲超时连接等

设置访问控制列表（ACL）

• 在文件系统上设置 ACL，控制用户对文件和目录的访问权限
• 使用 getfacl 和 setfacl 命令来查看和设置 ACL
• 为敏感文件和目录设置更严格的 ACL 权限，以限制未经授权的访问

更新和管理软件包

及时更新和有效管理定期使用安全工具软件管理和更新软件包，也是比较容易做到的，也是提高系统安全性的有效措施之一：

定期更新系统补丁

使用yum命令（或者dnf命令，适用于较新版本）来更新系统补丁。例如，要更新所有可用的安全补丁，可以执行以下命令：

sudo yum update

设置自动更新任务，编辑cron作业表以创建定期任务，确保系统能够自动应用最新的安全补丁。通过编辑 /etc/crontab 文件或者使用 crontab -e 命令来添加相应的定时任务。

使用软件包管理工具进行软件的安装和管理

使用yum（Yellowdog Updater Modified）或者dnf（Dandified Yum）作为软件包管理器。例如，要通过yum安装一个软件包，可以执行以下命令：

sudo yum install package_name

或者

sudo dnf install package_name

通过编辑/etc/yum.repos.d/目录下的配置文件，配置软件源来管理可用的软件包来源。例如，编辑CentOS-Base.repo文件以启用或禁用特定的软件源。

使用软件包管理工具检查已安装软件包的版本，并及时进行升级以修复潜在的漏洞。例如，要检查是否有可用的软件包更新，可以执行以下命令：

sudo yum check-update

确保只从受信任的软件源安装软件包，以避免安全风险。验证软件源的GPG密钥，确保所安装的软件包都来自合法和受信任的来源。

配置防火墙和网络安全设置

在配置防火和网络安全设置方面，也可以下面这些内容着手：

使用iptables或firewalld配置防火墙规则

• 使用iptables配置防火墙规则：

允许特定端口的流量：例如，要允许SSH流量通过防火墙，可以执行以下命令：

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

拒绝特定IP地址的流量：例如，要拒绝来自特定IP地址的流量，可以执行以下命令：

sudo iptables -A INPUT -s <IP_address> -j DROP

• 使用firewalld配置防火墙规则：

允许特定服务：例如，要允许HTTP服务，可以执行以下命令：

sudo firewall-cmd --zone=public --add-service=http --permanent 
sudo firewall-cmd --reload

封锁特定端口：例如，要封锁SMTP服务，可以执行以下命令：

sudo firewall-cmd --zone=public --remove-service=smtp --permanent 
sudo firewall-cmd --reload

设置网络访问控制列表（ACL）

• 针对文件系统 ACL：

使用 getfacl 命令查看文件或目录的 ACL 信息。例如，要查看特定文件的 ACL 信息，可以执行以下命令：

getfacl /path/to/file

使用 setfacl 命令来设置文件或目录的 ACL 权限。例如，为用户alice授予对文件的读写权限，可以执行以下命令：

setfacl -m u:alice:rw /path/to/file

• 针对网络服务 ACL：

在Nginx的配置文件中进行访问控制列表的设置。例如，在Nginx的配置文件中，可以配置允许或拒绝特定IP地址或IP段的访问。这通常通过在 Nginx 配置文件中的 server 块内使用 allow 和 deny 指令来实现。

配置SELinux以提高系统安全性

• 启用SELinux：编辑 /etc/selinux/config 文件，确保 SELINUX 设置为 enforcing 或 permissive，然后重新启动系统以应用更改。示例：

SELINUX=enforcing

• 设置SELinux策略：使用 semanage 命令为特定文件或目录设置 SELinux 策略。例如，要为 /web 目录设置 httpd_sys_content_t 类型的策略，可以执行以下命令：

sudo semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" 
sudo restorecon -Rv /web

• 查看SELinux状态和日志：使用 sestatus 命令来检查 SELinux 的当前状态。示例：

sestatus

此外，可以使用 ausearch 命令和查看 /var/log/audit/audit.log 文件来了解 SELinux 事件和警告。例如，可以执行以下命令查看最近的SELinux事件：

sudo ausearch -m avc -ts recent

监控和日志记录

配置并使用日志记录工具

选择合适的日志记录工具

选择适合您系统的日志记录工具，如rsyslog、syslog-ng等，并根据需求进行配置。

配置日志记录

• 确定要记录的日志类型，包括系统日志、安全日志、应用程序日志等。
• 配置日志记录级别和目标存储位置，确保记录足够详细的信息以便后续分析。

日志分析和存储

• 实施对日志的实时分析和存储，可以考虑使用ELK（Elasticsearch、Logstash和Kibana）等工具来进行集中式日志管理和分析。
• 设立合理的存储策略，确保日志数据能够长期保存并满足合规性要求。

实施监控和警报机制

• 建立监控系统，对关键日志事件设置实时警报机制，及时发现异常情况。
• 确保对重要日志进行定期审查，并采取相应的响应措施。

设置入侵检测系统（IDS）和入侵防御系统（IPS）

选择合适的IDS/IPS系统

选择适合您网络环境和需求的IDS/IPS产品或解决方案，例如Snort、Suricata、或商业化的IDS/IPS产品。

部署和配置

• 部署IDS传感器或IPS设备，确保其能够监测和防御整个网络的流量。
• 配置IDS/IPS规则，以识别和应对特定类型的攻击和异常行为。

实施实时监控

• 实施对IDS/IPS系统的实时监控，确保其正常运行并能够有效地检测和阻止潜在的攻击。
• 针对IDS/IPS产生的警报进行及时处理和响应。

更新和优化规则

• 定期更新IDS/IPS规则库，以捕获最新的威胁和攻击模式。
• 根据实际情况对规则进行优化和定制，以减少误报和提高检测效率。

数据加密和备份

当涉及到数据加密和备份时，可以考虑从以下两个方面开始：

设置数据加密

• 使用GNU Privacy Guard（GPG）进行文件加密：

加密文件：使用以下命令对文件进行加密，并指定接收者的公钥：

gpg --encrypt --recipient recipient@example.com file.txt

• 解密文件：使用以下命令对已加密的文件进行解密：

gpg --decrypt file.txt.gpg

• 使用OpenSSL进行加密：

对文件进行加密：使用以下命令对文件进行加密，生成加密后的文件：

openssl enc -aes-256-cbc -salt -in file.txt -out file.txt.enc

解密文件：使用以下命令对已加密的文件进行解密：

openssl enc -d -aes-256-cbc -in file.txt.enc -out file.txt

定期进行数据备份

• 使用rsync进行本地备份：

基本备份命令：例如，将 /var/www 目录备份到 /backup 目录下可以使用以下命令：

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

nimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg)

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-P3GNDZ08-1712904258036)]