全面掌握Red Hat企业级系统安全配置从基础设置到高级防护策略详解助您构建坚固防线抵御日益复杂的网络威胁确保系统稳定运行数据安全无忧适合系统管理员和安全工程师提升企业安全防护能力保障业务连续性降低安全风险实现合规要求

引言

在当今数字化时代，企业面临着日益复杂和多样化的网络安全威胁。Red Hat Enterprise Linux (RHEL) 作为全球领先的企业级操作系统，为组织提供了强大的安全功能和工具。本文将深入探讨如何全面掌握Red Hat企业级系统安全配置，从基础设置到高级防护策略，帮助系统管理员和安全工程师构建坚固的防线，确保系统稳定运行和数据安全。

Red Hat企业级系统安全不仅仅是技术问题，更是企业业务连续性和合规要求的重要组成部分。通过本文的指导，您将学习如何系统性地提升企业安全防护能力，有效降低安全风险，满足各种合规要求，保障企业核心业务的稳定运行。

基础安全配置

系统安装与初始安全设置

Red Hat企业级系统的安全配置应从安装阶段开始。在安装RHEL时，应遵循以下安全最佳实践：

最小化安装原则：仅选择必要的软件包，减少潜在的攻击面。在安装过程中选择”Minimal Install”选项，然后根据实际需求添加必要的软件包。
磁盘分区安全：采用合理的分区策略，将不同类型的数据分离存储。建议的分区方案包括：
- /boot 分区：单独分区，大小至少500MB
- / 分区：根分区，包含操作系统
- /home 分区：用户数据分区
- /var 分区：日志和可变数据分区
- /tmp 分区：临时文件分区，可设置noexec和nosuid选项
安全启动设置：启用UEFI安全启动(Secure Boot)，防止未签名的恶意代码在系统启动时加载。
初始安全配置：安装完成后，立即执行以下安全设置： “`bash
更新系统
yum update -y

# 安装安全工具 yum install -y setroubleshoot-server openscap-scanner scap-security-guide

# 禁用不必要的服务 systemctl disable avahi-daemon systemctl disable cups systemctl disable dhcpd systemctl disable postfix

 5. **移除不必要的软件包**： ```bash # 查找并移除不必要的软件包 yum list installed | grep -i 'x11|gnome|kde' yum remove -y package1 package2 ...

用户和权限管理

用户和权限管理是系统安全的基础。以下是在RHEL中实施强用户和权限管理的关键步骤：

创建强密码策略： “`bash
编辑密码策略配置文件
vi /etc/security/pwquality.conf

# 设置以下参数 minlen = 12 minclass = 3 maxrepeat = 3 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1

 2. **配置密码过期策略**： ```bash # 编辑登录配置文件 vi /etc/login.defs # 设置以下参数 PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 12 PASS_WARN_AGE 14

限制root用户访问： “`bash
禁止root直接SSH登录
vi /etc/ssh/sshd_config PermitRootLogin no

# 重启SSH服务 systemctl restart sshd

# 创建具有sudo权限的管理用户 useradd -m adminuser passwd adminuser usermod -aG wheel adminuser

 4. **实施最小权限原则**： ```bash # 查找并修改权限过高的文件和目录 find / -type f -perm -4000 -ls find / -type d -perm -777 -ls # 移除不必要的SUID/SGID权限 chmod -s /path/to/file

用户账户审计：

# 定期审计用户账户 awk -F: '($3 >= 1000) {print}' /etc/passwd lastlog

服务安全配置

服务安全是减少系统攻击面的重要环节。以下是对关键服务的安全配置建议：

SSH服务安全加固： “`bash
编辑SSH配置文件
vi /etc/ssh/sshd_config

# 修改以下参数 Protocol 2 PermitRootLogin no PermitEmptyPasswords no X11Forwarding no MaxAuthTries 3 ClientAliveInterval 300 ClientAliveCountMax 0 AllowUsers user1 user2 AllowGroups group1 group2

# 重启SSH服务 systemctl restart sshd

 2. **网络服务配置**： ```bash # 查看运行中的服务 systemctl list-units --type=service --state=running # 禁用不必要的服务 systemctl disable servicename systemctl stop servicename

使用TCP Wrappers控制服务访问： “`bash
编辑/etc/hosts.allow
sshd: 192.168.1.0/24, 10.0.0.1

# 编辑/etc/hosts.deny sshd: ALL

 4. **配置服务特定安全设置**： ```bash # 例如，配置Apache服务器安全 vi /etc/httpd/conf/httpd.conf # 添加或修改以下参数 ServerTokens Prod ServerSignature Off TraceEnable Off Options -Indexes

基本防火墙设置

防火墙是网络安全的第一道防线。RHEL使用firewalld作为默认的防火墙管理工具：

安装和启用firewalld： “`bash
安装firewalld
yum install -y firewalld

# 启动并设置开机自启 systemctl start firewalld systemctl enable firewalld

# 检查状态 firewall-cmd –state

 2. **配置防火墙规则**： ```bash # 查看默认区域和活动区域 firewall-cmd --get-default-zone firewall-cmd --get-active-zones # 查看当前规则 firewall-cmd --list-all # 开放特定端口 firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp # 开放服务 firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https # 限制IP访问 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.1" service name="ssh" drop' # 重新加载防火墙配置 firewall-cmd --reload

配置端口转发：

# 配置端口转发 firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080 firewall-cmd --reload

配置NAT：

# 启用IP伪装 firewall-cmd --permanent --add-masquerade firewall-cmd --reload

创建自定义区域： “`bash
创建自定义区域
firewall-cmd –permanent –new-zone=customzone

# 设置区域规则 firewall-cmd –permanent –zone=customzone –add-service=ssh firewall-cmd –permanent –zone=customzone –add-service=http

# 将接口绑定到区域 firewall-cmd –permanent –zone=customzone –change-interface=eth1 firewall-cmd –reload

 ## 中级安全策略 ### SELinux配置与管理 Security-Enhanced Linux (SELinux) 是Red Hat企业级系统中的核心安全组件，提供了强制访问控制(MAC)机制。正确配置和管理SELinux对于系统安全至关重要： 1. **SELinux基础概念**： - SELinux有三种工作模式： - Enforcing（强制模式）：强制执行SELinux策略 - Permissive（宽容模式）：不强制执行策略，但记录违反策略的行为 - Disabled（禁用模式）：完全禁用SELinux 2. **检查SELinux状态**： ```bash # 查看当前SELinux状态 sestatus getenforce # 查看SELinux布尔值 getsebool -a

配置SELinux模式： “`bash
临时设置SELinux模式
setenforce 0 # 设置为Permissive模式 setenforce 1 # 设置为Enforcing模式

# 永久设置SELinux模式 vi /etc/selinux/config SELINUX=enforcing # 可以是enforcing、permissive或disabled

 4. **管理SELinux上下文**： ```bash # 查看文件和进程的SELinux上下文 ls -Z ps -Z # 修改文件SELinux上下文 chcon -t httpd_sys_content_t /var/www/html/file.html # 恢复默认SELinux上下文 restorecon -Rv /var/www/html

处理SELinux拒绝事件： “`bash
查看SELinux拒绝日志
grep “SELinux is preventing” /var/log/audit/audit.log sealert -a /var/log/audit/audit.log

# 生成SELinux策略模块 grep httpd /var/log/audit/audit.log | audit2allow -m mypolicy grep httpd /var/log/audit/audit.log | audit2allow -M mypolicy

# 加载策略模块 semodule -i mypolicy.pp

 6. **管理SELinux布尔值**： ```bash # 查看特定服务的布尔值 getsebool -a | grep httpd # 修改布尔值 setsebool -P httpd_can_network_connect on

SELinux策略分析工具： “`bash
安装SELinux分析工具
yum install -y setools-console policycoreutils-python

# 使用sesearch查找策略规则 sesearch –allow -t httpd_t

 ### 系统更新与补丁管理 定期更新系统和应用补丁是维护系统安全的关键环节。以下是在RHEL中实施有效补丁管理的策略： 1. **配置YUM/DNF仓库**： ```bash # 查看已配置的仓库 yum repolist # 添加或修改仓库配置 vi /etc/yum.repos.d/custom.repo [custom-repo] name=Custom Repository baseurl=http://example.com/repo/ enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CUSTOM

系统更新： “`bash
检查可用更新
yum check-update

# 更新所有软件包 yum update -y

# 更新特定软件包 yum update package_name -y

 3. **自动更新配置**： ```bash # 安装yum-cron yum install -y yum-cron # 配置自动更新 vi /etc/yum/yum-cron.conf apply_updates = yes update_cmd = default emit_via = stdio email_to = admin@example.com email_from = root@example.com # 启动并设置开机自启 systemctl enable yum-cron systemctl start yum-cron

安全补丁管理： “`bash
仅安装安全更新
yum update –security -y

# 查看安全公告 yum updateinfo list security all yum updateinfo summary

 5. **补丁回滚**： ```bash # 安装YUM历史插件 yum install -y yum-plugin-history # 查看更新历史 yum history list # 撤销特定更新 yum history undo transaction_id

使用Katello/Satellite进行企业级补丁管理： “`bash
注册系统到Satellite
subscription-manager register –org=“Your_Organization” –activationkey=“Your_Key”

# 安装Katello代理 yum install -y katello-agent

# 启动并设置开机自启 systemctl enable goferd systemctl start goferd

 ### 安全审计与日志管理 有效的安全审计和日志管理对于检测和响应安全事件至关重要。以下是在RHEL中实施安全审计和日志管理的策略： 1. **配置系统日志**： ```bash # 安装rsyslog yum install -y rsyslog # 配置rsyslog vi /etc/rsyslog.conf *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log # 重启rsyslog服务 systemctl restart rsyslog

配置日志轮转：

# 编辑logrotate配置 vi /etc/logrotate.conf weekly rotate 4 create dateext include /etc/logrotate.d /var/log/wtmp { monthly create 0664 root utmp minsize 1M rotate 1 }

配置审计系统(Auditd)： “`bash
安装auditd
yum install -y audit

# 配置审计规则 vi /etc/audit/rules.d/audit.rules # 删除所有规则 -D # 设置缓冲区大小 -b 8192 # 监控文件访问 -w /etc/passwd -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/sudoers -p wa -k identity # 监控系统调用 -a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=-1 -k perm_mod -a always,exit -F arch=b64 -S chown -F auid>=1000 -F auid!=-1 -k perm_mod # 监控登录事件 -w /var/log/lastlog -p wa -k logins -w /var/run/faillock -p wa -k logins

# 重启auditd服务 systemctl restart auditd

 4. **配置集中式日志管理**： ```bash # 配置rsyslog发送日志到远程服务器 vi /etc/rsyslog.d/remote.conf *.* @remote-syslog.example.com:514 # 重启rsyslog服务 systemctl restart rsyslog

使用ELK Stack进行日志分析： “`bash
安装Elasticsearch
yum install -y elasticsearch systemctl enable elasticsearch systemctl start elasticsearch

# 安装Logstash yum install -y logstash vi /etc/logstash/conf.d/syslog.conf input {

 syslog { port => 5514 }

} filter {

 grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:[%{POSINT:syslog_pid}])?: %{GREEDYDATA:syslog_message}" } } date { match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] }

} output {

 elasticsearch { hosts => ["localhost:9200"] index => "syslog-%{+YYYY.MM.dd}" }

} systemctl enable logstash systemctl start logstash

# 安装Kibana yum install -y kibana vi /etc/kibana/kibana.yml server.host: “0.0.0.0” elasticsearch.url: “http://localhost:9200” systemctl enable kibana systemctl start kibana

 6. **使用AIDE进行文件完整性检查**： ```bash # 安装AIDE yum install -y aide # 初始化AIDE数据库 aide --init # 移动数据库到标准位置 mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz # 配置每日检查 vi /etc/crontab 0 5 * * * root /usr/sbin/aide --check

文件系统安全

文件系统安全是保护数据的基础。以下是在RHEL中加强文件系统安全的策略：

文件系统挂载选项： “`bash
编辑/etc/fstab添加安全挂载选项
vi /etc/fstab /dev/sda1 /boot ext4 defaults,nodev,nosuid,noexec 0 0 /dev/sda2 / ext4 defaults 0 0 /dev/sda3 /home ext4 defaults,nodev,nosuid 0 0 /dev/sda4 /tmp ext4 defaults,nodev,nosuid,noexec 0 0 /dev/sda5 /var ext4 defaults,nodev,nosuid 0 0

# 重新挂载文件系统 mount -o remount /boot mount -o remount /home mount -o remount /tmp mount -o remount /var

 2. **文件权限管理**： ```bash # 查找并修复权限过高的文件 find / -type f -perm -4000 -exec chmod u-s {} ; find / -type f -perm -2000 -exec chmod g-s {} ; find / -type f -perm -777 -exec chmod 755 {} ; find / -type d -perm -777 -exec chmod 755 {} ; # 设置关键目录权限 chmod 700 /root chmod 750 /home chmod 1777 /tmp chmod 755 /var/log

使用ACL进行细粒度权限控制： “`bash
安装ACL工具
yum install -y acl

# 查看文件ACL getfacl /path/to/file

# 设置文件ACL setfacl -m u:user:rwx /path/to/file setfacl -m g:group:rx /path/to/file

# 设置默认ACL setfacl -d -m u:user:rwx /path/to/directory setfacl -d -m g:group:rx /path/to/directory

# 删除ACL setfacl -x u:user /path/to/file setfacl -b /path/to/file

 4. **文件系统加密**： ```bash # 安装加密工具 yum install -y cryptsetup # 创建加密分区 cryptsetup luksFormat /dev/sdb1 cryptsetup luksOpen /dev/sdb1 encrypted_data # 格式化并挂载加密分区 mkfs.ext4 /dev/mapper/encrypted_data mount /dev/mapper/encrypted_data /mnt/encrypted # 配置自动挂载 vi /etc/crypttab encrypted_data /dev/sdb1 /etc/luks_keyfile luks vi /etc/fstab /dev/mapper/encrypted_data /mnt/encrypted ext4 defaults 0 0

使用LVM进行存储管理： “`bash
安装LVM工具
yum install -y lvm2

# 创建物理卷 pvcreate /dev/sdb1

# 创建卷组 vgcreate vg_data /dev/sdb1

# 创建逻辑卷 lvcreate -n lv_data -L 10G vg_data

# 格式化并挂载逻辑卷 mkfs.ext4 /dev/vg_data/lv_data mount /dev/vg_data/lv_data /mnt/data

# 扩展逻辑卷 lvextend -L +5G /dev/vg_data/lv_data resize2fs /dev/vg_data/lv_data

 ## 高级防护策略 ### 入侵检测与防御系统 入侵检测与防御系统(IDS/IPS)是检测和防止网络攻击的关键组件。以下是在RHEL中部署IDS/IPS的策略： 1. **部署OSSEC**： ```bash # 安装OSSEC依赖 yum install -y gcc make policycoreutils-python inotify-tools # 下载并安装OSSEC wget https://github.com/ossec/ossec-hids/archive/3.7.0.tar.gz tar -xvzf 3.7.0.tar.gz cd ossec-hids-3.7.0 ./install.sh # 配置OSSEC vi /var/ossec/etc/ossec.conf <ossec_config> <global> <email_notification>yes</email_notification> <email_to>admin@example.com</email_to> <email_from>ossecm@example.com</email_from> <smtp_server>smtp.example.com</smtp_server> </global> <syscheck> <frequency>7200</frequency> <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories> <directories check_all="yes">/bin,/sbin</directories> <ignore>/etc/mtab</ignore> <ignore>/etc/hosts.deny</ignore> </syscheck> <rootcheck> <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files> <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans> </rootcheck> <localfile> <log_format>syslog</log_format> <location>/var/log/messages</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/secure</location> </localfile> <rules> <include>rules_config.xml</include> <include>sshd_rules.xml</include> <include>syslog_rules.xml</include> <include>attack_rules.xml</include> </rules> </ossec_config> # 启动OSSEC /var/ossec/bin/ossec-control start

部署Suricata IDS/IPS： “`bash
安装EPEL仓库
yum install -y epel-release

# 安装Suricata yum install -y suricata

# 更新规则 suricata-update

# 配置Suricata vi /etc/suricata/suricata.yaml vars:

 address-groups: HOME_NET: "[192.168.1.0/24,10.0.0.0/8]" EXTERNAL_NET: "!$HOME_NET"

outputs:

 - eve-log: enabled: yes type: file filename: eve.json types: - alert: - http: - dns: - tls: - flow: - fileinfo:

# 启动Suricata systemctl enable suricata systemctl start suricata

 3. **部署Wazuh**： ```bash # 安装Wazuh仓库 rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH echo -e '[wazuh_repo]ngpgcheck=1ngpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUHnenabled=1nname=Wazuh repositorynbaseurl=https://packages.wazuh.com/3.x/yum/nprotect=1' > /etc/yum.repos.d/wazuh.repo # 安装Wazuh agent yum install -y wazuh-agent # 配置Wazuh agent vi /var/ossec/etc/ossec.conf <ossec_config> <client> <server> <address>MANAGER_IP</address> <port>1514</port> <protocol>tcp</protocol> </server> </client> </ossec_config> # 启动Wazuh agent systemctl enable wazuh-agent systemctl start wazuh-agent

部署Snort： “`bash
安装Snort依赖
yum install -y daq libpcap-devel pcre-devel dnet-devel

# 下载并安装Snort wget https://www.snort.org/downloads/snort/snort-2.9.17.tar.gz tar -xvzf snort-2.9.17.tar.gz cd snort-2.9.17 ./configure –enable-sourcefire make make install

# 配置Snort mkdir /etc/snort mkdir /etc/snort/rules mkdir /var/log/snort cp etc/* /etc/snort

# 下载规则 wget https://www.snort.org/rules/snortrules-snapshot-29170.tar.gz tar -xvzf snortrules-snapshot-29170.tar.gz -C /etc/snort/

# 配置Snort vi /etc/snort/snort.conf var HOME_NET 192.168.1.0/24 var EXTERNAL_NET !$HOME_NET var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules

# 运行Snort snort -A console -q -c /etc/snort/snort.conf -i eth0

 ### 安全加固与合规配置 安全加固与合规配置是确保系统满足特定安全标准和法规要求的关键步骤。以下是在RHEL中实施安全加固和合规配置的策略： 1. **使用OpenSCAP进行安全扫描**： ```bash # 安装OpenSCAP yum install -y openscap-scanner scap-security-guide # 扫描系统安全配置 oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_pci-dss --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml # 生成报告 oscap xccdf generate report arf.xml > report.html

使用SCAP Security Guide进行系统加固： “`bash
查看可用的配置文件
oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

# 应用安全配置 oscap xccdf eval –remediate –profile xccdf_org.ssgproject.content_profile_pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

 3. **使用Lynis进行安全审计**： ```bash # 安装Lynis yum install -y lynis # 运行安全审计 lynis audit system # 查看报告 cat /var/log/lynis-report.dat

使用CIS Benchmark进行系统加固： “`bash
下载CIS Benchmark
wget https://workbench.cisecurity.org/files/1609 -O CIS_RHEL7_v2.2.0_Benchmark.zip unzip CIS_RHEL7_v2.2.0_Benchmark.zip

# 应用CIS Benchmark ./CIS_RHEL7_v2.2.0_Benchmark.sh

 5. **使用Ansible进行自动化安全加固**： ```bash # 安装Ansible yum install -y ansible # 创建Ansible playbook vi security_hardening.yml --- - name: Security Hardening hosts: all become: yes tasks: - name: Disable root login via SSH lineinfile: path: /etc/ssh/sshd_config regexp: '^PermitRootLogin' line: 'PermitRootLogin no' notify: restart sshd - name: Set password policy lineinfile: path: /etc/security/pwquality.conf regexp: '^{{ item.key }}' line: '{{ item.key }} = {{ item.value }}' with_items: - { key: 'minlen', value: '12' } - { key: 'minclass', value: '3' } - { key: 'maxrepeat', value: '3' } - name: Disable unused filesystems lineinfile: path: /etc/modprobe.d/CIS.conf line: 'install {{ item }} /bin/true' create: yes with_items: - cramfs - freevxfs - jffs2 - hfs - hfsplus - squashfs - udf - vfat - name: Configure firewall firewalld: service: "{{ item }}" permanent: yes state: enabled with_items: - ssh - http - https notify: restart firewalld handlers: - name: restart sshd service: name: sshd state: restarted - name: restart firewalld service: name: firewalld state: restarted

使用Kickstart进行自动化安全安装： “`bash
创建Kickstart配置文件
vi security_ks.cfg #version=RHEL7 install cdrom lang en_US.UTF-8 keyboard us network –onboot yes –device eth0 –bootproto dhcp –noipv6 rootpw –iscrypted (6)rounds=4096$… firewall –enabled –service=ssh authconfig –enableshadow –passalgo=sha512 selinux –enforcing timezone –utc America/New_York bootloader –location=mbr –driveorder=sda zerombr clearpart –all –initlabel part /boot –fstype=xfs –size=500 part pv.01 –size=1 –grow volgroup vg_root pv.01 logvol / –fstype=xfs –name=lv_root –vgname=vg_root –size=1 –grow reboot

%packages @core -@base -acpid -autofs -bluetooth -iprutils -kexec-tools -plymouth -postfix -rhnsd -subscription-manager %end

%post # Security hardening commands echo “net.ipv4.ip_forward = 0” >> /etc/sysctl.conf echo “net.ipv4.conf.all.send_redirects = 0” >> /etc/sysctl.conf echo “net.ipv4.conf.default.send_redirects = 0” >> /etc/sysctl.conf %end

 ### 网络安全高级配置 高级网络安全配置是保护企业网络基础设施的关键。以下是在RHEL中实施高级网络安全配置的策略： 1. **配置高级防火墙规则**： ```bash # 配置端口转发和NAT firewall-cmd --permanent --add-masquerade firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080 firewall-cmd --permanent --add-forward-port=port=443:proto=tcp:toport=8443 firewall-cmd --reload # 配置IP伪装 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" masquerade' firewall-cmd --reload # 配置速率限制 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" service name="ssh" limit value="5/m" accept' firewall-cmd --reload

配置TCP/IP安全参数： “`bash
编辑sysctl.conf
vi /etc/sysctl.conf
IP Spoofing protection
net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP broadcast requests net.ipv4.icmp_echo_ignore_broadcasts = 1

# Disable source packet routing net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0

# Ignore send redirects net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

# Block SYN attacks net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5

# Log Martians net.ipv4.conf.all.log_martians = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1

# Ignore ICMP redirects net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0

# Ignore Directed pings net.ipv4.icmp_echo_ignore_all = 1

# 应用配置 sysctl -p

 3. **配置网络流量加密**： ```bash # 安装OpenVPN yum install -y openvpn easy-rsa # 配置OpenVPN服务器 cp -r /usr/share/easy-rsa/ /etc/openvpn/ cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./clean-all ./build-ca ./build-key-server server ./build-key client1 ./build-dh # 创建OpenVPN配置文件 vi /etc/openvpn/server.conf port 1194 proto udp dev tun ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt cert /etc/openvpn/easy-rsa/2.0/keys/server.crt key /etc/openvpn/easy-rsa/2.0/keys/server.key dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist /etc/openvpn/ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status /var/log/openvpn-status.log verb 3 # 启动OpenVPN服务 systemctl enable openvpn@server systemctl start openvpn@server

配置网络隔离： “`bash
创建网络命名空间
ip netns add secure_net ip netns add dmz_net

# 创建veth pair ip link add veth0 type veth peer name veth1 ip link add veth2 type veth peer name veth3

# 将veth设备添加到命名空间 ip link set veth1 netns secure_net ip link set veth3 netns dmz_net

# 配置IP地址 ip addr add 192.168.100.¹⁄₂₄ dev veth0 ip netns exec secure_net ip addr add 192.168.100.²⁄₂₄ dev veth1 ip addr add 192.168.200.¹⁄₂₄ dev veth2 ip netns exec dmz_net ip addr add 192.168.200.²⁄₂₄ dev veth3

# 启用接口 ip link set veth0 up ip netns exec secure_net ip link set veth1 up ip link set veth2 up ip netns exec dmz_net ip link set veth3 up

# 配置路由 ip netns exec secure_net ip route add default via 192.168.100.1 ip netns exec dmz_net ip route add default via 192.168.200.1

# 配置NAT iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward

 5. **配置网络流量监控**： ```bash # 安装ntopng yum install -y epel-release yum install -y ntopng # 配置ntopng vi /etc/ntopng/ntopng.conf -i=eth0 -w=3000 -d=/var/lib/ntopng -m=192.168.1.0/24 # 启动ntopng systemctl enable ntopng systemctl start ntopng

应用安全与容器安全

应用安全和容器安全是现代企业环境中的重要组成部分。以下是在RHEL中实施应用安全和容器安全的策略：

配置Apache服务器安全： “`bash
安装Apache
yum install -y httpd mod_ssl

# 配置Apache安全 vi /etc/httpd/conf/httpd.conf ServerTokens Prod ServerSignature Off TraceEnable Off Options -Indexes

 Options None AllowOverride None Require all denied

 Options None AllowOverride None Require all granted

# 配置SSL vi /etc/httpd/conf.d/ssl.conf SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on SSLCompression off SSLUseStapling on SSLStaplingCache “shmcb:/run/httpd/ssl_stapling(32768)”

# 启动Apache systemctl enable httpd systemctl start httpd

 2. **配置Nginx服务器安全**： ```bash # 安装Nginx yum install -y nginx # 配置Nginx安全 vi /etc/nginx/nginx.conf user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; events { worker_connections 1024; } http { log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; include /etc/nginx/mime.types; default_type application/octet-stream; server { listen 80 default_server; server_name _; root /usr/share/nginx/html; location / { deny all; } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } } # Load modular configuration files from the /etc/nginx/conf.d directory. include /etc/nginx/conf.d/*.conf; } # 启动Nginx systemctl enable nginx systemctl start nginx

配置Docker安全： “`bash
安装Docker
yum install -y docker

# 配置Docker安全 vi /etc/docker/daemon.json {

 "icc": false, "userland-proxy": false, "live-restore": true, "userns-remap": "default", "log-driver": "json-file", "log-opts": { "max-size": "10m", "max-file": "3" }, "default-ulimits": { "nofile": { "Name": "nofile", "Hard": 64000, "Soft": 64000 } }

}

# 创建Docker用户命名空间 touch /etc/subuid touch /etc/subgid usermod –add-subuids 10000-65536 dockremap usermod –add-subgids 10000-65536 dockremap

# 启动Docker systemctl enable docker systemctl start docker

 4. **配置Podman安全**： ```bash # 安装Podman yum install -y podman # 配置Podman安全 vi /etc/containers/containers.conf [containers] userns = "auto" run_as_user = "" run_as_group = "" pids_limit = 2048 no_new_privileges = true read_only = true [engine] cgroup_manager = "systemd" events_logger = "journald" # 创建安全的容器 podman run -d --name secure-container --cap-drop=all --cap-add=CAP_NET_BIND_SERVICE --read-only --tmpfs /tmp --tmpfs /run --tmpfs /var/lock -v /var/log/container:/var/log:rw -p 8080:80 nginx:latest

配置Kubernetes安全： “`bash
安装Kubernetes
yum install -y kubelet kubeadm kubectl

# 配置Kubernetes安全 vi /etc/kubernetes/kubelet.conf authentication:

 anonymous: enabled: false webhook: enabled: true x509: clientCAFile: /etc/kubernetes/pki/ca.crt

authorization:

 mode: Webhook

clusterDomain: cluster.local containerRuntimeEndpoint: /var/run/crio/crio.sock cpuManagerPolicy: none evictionHard:

 imagefs.available: 15% memory.available: 100Mi nodefs.available: 10% nodefs.inodesFree: 5%

evictionPressureTransitionPeriod: 5m0s failSwapOn: true featureGates:

 RotateKubeletServerCertificate: true

kind: KubeletConfiguration serverTLSBootstrap: true

# 配置Pod安全策略 vi pod-security-policy.yaml apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata:

 name: restricted

spec:

 privileged: false allowPrivilegeEscalation: false requiredDropCapabilities: - ALL volumes: - 'configMap' - 'emptyDir' - 'projected' - 'secret' - 'downwardAPI' - 'persistentVolumeClaim' runAsUser: rule: 'MustRunAsNonRoot' seLinux: rule: 'RunAsAny' fsGroup: rule: 'RunAsAny'

# 应用Pod安全策略 kubectl apply -f pod-security-policy.yaml

 ## 安全监控与响应 ### 安全事件监控 有效的安全事件监控是及时发现和响应安全威胁的关键。以下是在RHEL中实施安全事件监控的策略： 1. **配置集中式日志管理**： ```bash # 安装ELK Stack yum install -y java-1.8.0-openjdk rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch echo '[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=0 autorefresh=1 type=rpm-md' > /etc/yum.repos.d/elasticsearch.repo # 安装Elasticsearch yum install --enablerepo=elasticsearch-7.x elasticsearch vi /etc/elasticsearch/elasticsearch.yml network.host: 0.0.0.0 discovery.type: single-node systemctl enable elasticsearch systemctl start elasticsearch # 安装Logstash yum install --enablerepo=elasticsearch-7.x logstash vi /etc/logstash/conf.d/syslog.conf input { syslog { port => 5514 } } filter { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:[%{POSINT:syslog_pid}])?: %{GREEDYDATA:syslog_message}" } } date { match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } output { elasticsearch { hosts => ["localhost:9200"] index => "syslog-%{+YYYY.MM.dd}" } } systemctl enable logstash systemctl start logstash # 安装Kibana yum install --enablerepo=elasticsearch-7.x kibana vi /etc/kibana/kibana.yml server.host: "0.0.0.0" elasticsearch.url: "http://localhost:9200" systemctl enable kibana systemctl start kibana

配置安全信息与事件管理(SIEM)： “`bash
安装AlienVault OSSIM
yum install -y alienvault-ossim

# 配置OSSIM vi /etc/ossim/ossim_setup.conf [database] name=alienvault_siem user=root pass=ossim host=localhost [ossim_server] interface=eth0 [ossim_framework] framework_ip=127.0.0.1 framework_port=40001 [sensor] interface=eth0 net=192.168.1.0/24

# 启动OSSIM systemctl enable ossim-server systemctl start ossim-server

 3. **配置安全告警**： ```bash # 安装ElastAlert yum install -y python-pip python-devel pip install elastalert # 配置ElastAlert mkdir /etc/elastalert cp config.yaml.example /etc/elastalert/config.yaml vi /etc/elastalert/config.yaml rules_folder: /etc/elastalert/rules run_every: minutes: 1 buffer_time: minutes: 15 es_host: localhost es_port: 9200 writeback_index: elastalert_status alert_time_limit: minutes: 15 # 创建告警规则 mkdir /etc/elastalert/rules vi /etc/elastalert/rules/suspicious_login.yaml name: Suspicious Login Activity type: frequency index: syslog-* num_events: 5 timeframe: minutes: 10 filter: - query: query_string: query: "syslog_message: "Failed password" AND syslog_program: "sshd"" alert: - "email" email: - "admin@example.com"

配置系统性能监控： “`bash
安装Prometheus
yum install -y prometheus node_exporter

# 配置Prometheus vi /etc/prometheus/prometheus.yml global:

 scrape_interval: 15s

scrape_configs:

 - job_name: 'prometheus' static_configs: - targets: ['localhost:9090'] - job_name: 'node' static_configs: - targets: ['localhost:9100']

# 启动Prometheus systemctl enable prometheus systemctl start prometheus systemctl enable node_exporter systemctl start node_exporter

# 安装Grafana yum install -y grafana systemctl enable grafana-server systemctl start grafana-server

 ### 事件响应流程 有效的事件响应流程是减轻安全事件影响的关键。以下是在RHEL中实施事件响应流程的策略： 1. **建立事件响应团队**： ```bash # 创建事件响应团队文档 vi /etc/security/ir-team.md # 事件响应团队 ## 团队成员 - 团队负责人: security-lead@example.com - 安全分析师: analyst1@example.com, analyst2@example.com - 系统管理员: sysadmin1@example.com, sysadmin2@example.com - 网络工程师: neteng1@example.com, neteng2@example.com - 法律顾问: legal@example.com - 公关人员: pr@example.com ## 职责 - 团队负责人: 协调整个响应过程，做出关键决策 - 安全分析师: 分析安全事件，确定影响范围和根本原因 - 系统管理员: 执行技术响应措施，恢复系统 - 网络工程师: 监控网络流量，隔离受影响系统 - 法律顾问: 提供法律建议，确保合规 - 公关人员: 管理外部沟通

创建事件响应计划： “`bash
创建事件响应计划
vi /etc/security/ir-plan.md
事件响应计划
1. 准备阶段
- 建立事件响应团队
- 部署安全监控工具
- 创建系统基线
- 定期进行安全演练
- 维护系统文档

## 2. 检测与分析阶段

监控安全告警
验证安全事件
确定事件类型
评估影响范围
记录事件细节

## 3. 遏制阶段

短期遏制: 隔离受影响系统
系统备份: 创建受影响系统的取证备份
长期遏制: 实施临时安全措施

## 4. 根除阶段

确定攻击根源
消除攻击媒介
修复漏洞
加强防御措施

## 5. 恢复阶段

恢复系统
验证恢复
监控系统
恢复正常操作

## 6. 事后处理阶段

编写事件报告
总结经验教训
更新安全策略
改进安全措施 “`

创建事件响应工具包： “`bash
创建事件响应工具目录
mkdir -p /opt/ir-tools

# 安装取证工具 yum install -y sleuthkit volatility autopsy

# 创建取证脚本 vi /opt/ir-tools/forensics.sh #!/bin/bash # 系统取证脚本 DATE=((date +%Y%m%d-%H%M%S) OUTPUT_DIR="/tmp/forensics-)DATE” mkdir -p $OUTPUT_DIR

# 系统信息 uname -a > (OUTPUT_DIR/uname.txt hostname > )OUTPUT_DIR/hostname.txt date > (OUTPUT_DIR/date.txt uptime > )OUTPUT_DIR/uptime.txt

# 网络连接 netstat -tulnp > (OUTPUT_DIR/netstat-tulnp.txt netstat -an > )OUTPUT_DIR/netstat-an.txt ss -tulnp > (OUTPUT_DIR/ss-tulnp.txt lsof -i > )OUTPUT_DIR/lsof-i.txt

# 进程信息 ps auxf > (OUTPUT_DIR/ps-auxf.txt top -b -n 1 > )OUTPUT_DIR/top.txt pstree > $OUTPUT_DIR/pstree.txt

# 用户信息 w > (OUTPUT_DIR/w.txt last > )OUTPUT_DIR/last.txt lastlog > $OUTPUT_DIR/lastlog.txt

# 文件系统 df -h > (OUTPUT_DIR/df-h.txt mount > )OUTPUT_DIR/mount.txt

# 日志文件 cp /var/log/messages (OUTPUT_DIR/ cp /var/log/secure )OUTPUT_DIR/ cp /var/log/audit/audit.log $OUTPUT_DIR/

# 压缩结果 tar -czf /tmp/forensics-(DATE.tar.gz )OUTPUT_DIR/

echo “取证数据已保存到 /tmp/forensics-$DATE.tar.gz”

# 设置执行权限 chmod +x /opt/ir-tools/forensics.sh

 4. **创建事件响应检查清单**： ```bash # 创建事件响应检查清单 vi /opt/ir-tools/checklist.md # 事件响应检查清单 ## 检测阶段 - [ ] 确认安全告警 - [ ] 收集初步证据 - [ ] 评估事件严重性 - [ ] 通知事件响应团队 - [ ] 记录事件细节 ## 分析阶段 - [ ] 确定事件类型 - [ ] 评估影响范围 - [ ] 识别受影响系统 - [ ] 确定攻击时间线 - [ ] 识别攻击媒介 ## 遏制阶段 - [ ] 隔离受影响系统 - [ ] 创建系统备份 - [ ] 阻断攻击路径 - [ ] 实施临时安全措施 - [ ] 通知相关方 ## 根除阶段 - [ ] 确定攻击根源 - [ ] 消除攻击媒介 - [ ] 修复漏洞 - [ ] 清理系统 - [ ] 加强防御措施 ## 恢复阶段 - [ ] 恢复系统 - [ ] 验证恢复 - [ ] 监控系统 - [ ] 恢复正常操作 - [ ] 更新安全策略 ## 事后处理阶段 - [ ] 编写事件报告 - [ ] 总结经验教训 - [ ] 更新安全策略 - [ ] 改进安全措施 - [ ] 进行安全演练

灾难恢复与业务连续性

灾难恢复和业务连续性是确保企业在面临灾难时能够继续运营的关键。以下是在RHEL中实施灾难恢复和业务连续性的策略：

创建备份策略： “`bash
安装备份工具
yum install -y bacula-client

# 配置Bacula客户端 vi /etc/bacula/bacula-fd.conf Director {

 Name = bacula-dir Password = "your_password" DIRport = 9101 Address = backup-server.example.com

}

FileDaemon {

 Name = bacula-fd FDport = 9102 WorkingDirectory = /var/spool/bacula Pid Directory = /var/run Maximum Concurrent Jobs = 20

}

Messages {

 Name = Standard director = bacula-dir = all, !skipped, !restored

}

# 启动Bacula客户端 systemctl enable bacula-fd systemctl start bacula-fd

# 创建备份脚本 vi /usr/local/bin/system-backup.sh #!/bin/bash # 系统备份脚本 DATE=((date +%Y%m%d-%H%M%S) BACKUP_DIR="/backup/system" mkdir -p )BACKUP_DIR

# 备份系统配置 tar -czf (BACKUP_DIR/etc-)DATE.tar.gz /etc

# 备份用户数据 tar -czf (BACKUP_DIR/home-)DATE.tar.gz /home

# 备份系统日志 tar -czf (BACKUP_DIR/logs-)DATE.tar.gz /var/log

# 备份系统数据库 mysqldump –all-databases | gzip > (BACKUP_DIR/mysql-)DATE.sql.gz pg_dumpall | gzip > (BACKUP_DIR/postgresql-)DATE.sql.gz

# 清理旧备份 find (BACKUP_DIR -name "*.tar.gz" -mtime +30 -delete find )BACKUP_DIR -name “*.sql.gz” -mtime +30 -delete

echo “系统备份完成: $DATE”

# 设置执行权限 chmod +x /usr/local/bin/system-backup.sh

# 添加到cron echo “0 2 * * * /usr/local/bin/system-backup.sh” > /etc/cron.d/system-backup

 2. **创建灾难恢复计划**： ```bash # 创建灾难恢复计划 vi /etc/security/dr-plan.md # 灾难恢复计划 ## 1. 灾难类型 - 硬件故障 - 软件故障 - 网络故障 - 自然灾害 - 人为错误 - 安全事件 ## 2. 恢复策略 - 硬件故障: 使用备用硬件替换故障设备 - 软件故障: 恢复到之前的稳定版本 - 网络故障: 切换到备用网络连接 - 自然灾害: 启用异地灾备中心 - 人为错误: 从备份恢复数据 - 安全事件: 隔离受影响系统，从干净备份恢复 ## 3. 恢复流程 1. 评估灾难影响 2. 通知相关人员 3. 启动恢复流程 4. 恢复关键系统 5. 验证系统功能 6. 恢复业务运营 7. 监控系统稳定性 8. 编写灾难报告 ## 4. 恢复时间目标(RTO) - 关键系统: 4小时 - 重要系统: 8小时 - 一般系统: 24小时 ## 5. 恢复点目标(RPO) - 关键系统: 15分钟 - 重要系统: 1小时 - 一般系统: 24小时 ## 6. 联系信息 - 灾难恢复团队: dr-team@example.com - 系统管理员: sysadmin@example.com - 网络工程师: neteng@example.com - 安全团队: security@example.com - 管理层: management@example.com

配置高可用性集群： “`bash
安装Pacemaker和Corosync
yum install -y pacemaker corosync pcs fence-agents-all

# 配置Corosync vi /etc/corosync/corosync.conf totem {

 version: 2 cluster_name: hacluster transport: udpu interface { ringnumber: 0 bindnetaddr: 192.168.1.0 mcastport: 5405 }

}

nodelist {

 node { ring0_addr: 192.168.1.10 name: node1 nodeid: 1 } node { ring0_addr: 192.168.1.11 name: node2 nodeid: 2 }

}

quorum {

 provider: corosync_votequorum two_node: 1

}

logging {

 to_logfile: yes logfile: /var/log/cluster/corosync.log to_syslog: yes

}

# 启动并设置开机自启 systemctl start corosync systemctl enable corosync systemctl start pacemaker systemctl enable pacemaker

# 配置集群资源 pcs cluster auth node1 node2 pcs cluster setup –start –name hacluster node1 node2 pcs cluster enable –all

# 配置STONITH pcs stonith create fence_xvm fence_xvm pcmk_host_list=“node1 node2”

# 配置虚拟IP pcs resource create vip ocf:heartbeat:IPaddr2 ip=192.168.1.100 cidr_netmask=24 op monitor interval=30s

# 配置Web服务 pcs resource create webserver systemd:httpd op monitor interval=30s

# 配置资源组 pcs resource group add webgroup vip webserver

# 配置资源约束 pcs constraint colocation add webserver with vip pcs constraint order vip then webserver

 4. **创建业务连续性计划**： ```bash # 创建业务连续性计划 vi /etc/security/bcp.md # 业务连续性计划 ## 1. 业务影响分析 - 关键业务功能 - 依赖关系 - 最大可容忍中断时间 - 资源需求 ## 2. 连续性策略 - 人员连续性 - 场所连续性 - 技术连续性 - 供应商连续性 ## 3. 应急响应流程 1. 事件检测 2. 事件评估 3. 启动应急响应 4. 实施连续性策略 5. 恢复业务运营 6. 监控业务恢复 7. 评估响应效果 8. 更新连续性计划 ## 4. 人员连续性 - 关键岗位识别 - 人员备份计划 - 远程工作能力 - 交叉培训 ## 5. 场所连续性 - 备用办公场所 - 远程办公设施 - 场所切换流程 - 场所恢复流程 ## 6. 技术连续性 - 系统备份策略 - 数据恢复流程 - 系统切换流程 - 技术支持流程 ## 7. 供应商连续性 - 关键供应商识别 - 供应商备份计划 - 供应商合同审查 - 供应商性能监控 ## 8. 测试与演练 - 计划测试 - 桌面演练 - 模拟测试 - 全面演练 ## 9. 计划维护 - 定期审查 - 计划更新 - 变更管理 - 文档管理

最佳实践与案例分析

安全配置最佳实践

以下是在Red Hat企业级系统中实施安全配置的最佳实践：

最小权限原则：
- 为用户和服务分配最小必要权限
- 使用sudo进行权限提升，避免直接使用root账户
- 定期审查用户权限，移除不必要的权限
深度防御策略：
- 实施多层安全控制，包括网络、主机和应用层
- 使用防火墙、IDS/IPS、文件完整性监控等多种安全工具
- 确保安全措施之间相互补充，形成完整的安全体系
安全基线配置：
- 建立系统安全基线，包括操作系统、中间件和应用的安全配置
- 使用自动化工具定期检查系统配置是否符合基线要求
- 对新系统进行安全加固，确保符合安全标准
定期更新与补丁管理：
- 建立补丁管理流程，定期评估和应用安全补丁
- 使用自动化工具进行补丁管理，减少人为错误
- 在测试环境中验证补丁，然后再部署到生产环境
安全监控与审计：
- 实施全面的安全监控，包括系统日志、网络流量和用户活动
- 建立安全事件响应流程，确保及时响应安全事件
- 定期进行安全审计，评估安全控制的有效性

安全配置案例分析

以下是一个Red Hat企业级系统安全配置的实际案例：

案例背景：某金融机构需要保护其核心业务系统，该系统运行在Red Hat Enterprise Linux上，处理敏感的金融数据。系统面临的安全威胁包括网络攻击、内部威胁和数据泄露风险。

安全需求：

符合PCI DSS和GDPR合规要求
保护敏感金融数据
确保系统高可用性
实施全面的安全监控
建立有效的事件响应机制

安全配置方案：

系统基础加固： “`bash
系统安装时选择最小化安装
配置安全分区
vi /etc/fstab /dev/sda1 /boot ext4 defaults,nodev,nosuid,noexec 0 0 /dev/sda2 / ext4 defaults 0 0 /dev/sda3 /home ext4 defaults,nodev,nosuid 0 0 /dev/sda4 /tmp ext4 defaults,nodev,nosuid,noexec 0 0 /dev/sda5 /var ext4 defaults,nodev,nosuid 0 0

# 配置SELinux为强制模式 vi /etc/selinux/config SELINUX=enforcing

# 配置防火墙 firewall-cmd –permanent –add-service=ssh firewall-cmd –permanent –add-service=https firewall-cmd –permanent –add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” service name=“ssh” accept’ firewall-cmd –permanent –add-rich-rule=‘rule family=“ipv4” source address=“0.0.0.0/0” service name=“ssh” drop’ firewall-cmd –reload

 2. **用户和权限管理**： ```bash # 配置强密码策略 vi /etc/security/pwquality.conf minlen = 14 minclass = 4 maxrepeat = 3 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 # 配置密码过期策略 vi /etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 14 PASS_WARN_AGE 14 # 创建管理用户 useradd -m -G wheel adminuser passwd adminuser # 禁止root直接SSH登录 vi /etc/ssh/sshd_config PermitRootLogin no systemctl restart sshd

服务安全配置： “`bash
配置Apache服务器
vi /etc/httpd/conf/httpd.conf ServerTokens Prod ServerSignature Off TraceEnable Off Options -Indexes Options None AllowOverride None Require all denied

# 配置SSL vi /etc/httpd/conf.d/ssl.conf SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5 SSLHonorCipherOrder on SSLCompression off SSLUseStapling on SSLStaplingCache “shmcb:/run/httpd/ssl_stapling(32768)”

# 配置数据库安全 vi /etc/my.cnf [mysqld] skip-networking bind-address = 127.0.0.1 local-infile=0 skip-symbolic-links

 4. **安全监控与审计**： ```bash # 配置审计系统 vi /etc/audit/rules.d/audit.rules -w /etc/passwd -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/sudoers -p wa -k identity -w /var/log/audit/ -p wa -k audit_logs -a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=-1 -k perm_mod -a always,exit -F arch=b64 -S chown -F auid>=1000 -F auid!=-1 -k perm_mod # 配置集中式日志管理 vi /etc/rsyslog.d/remote.conf *.* @log-server.example.com:514 # 配置文件完整性监控 yum install -y aide aide --init mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

高可用性配置： “`bash
配置Pacemaker集群
yum install -y pacemaker corosync pcs pcs cluster auth node1 node2 pcs cluster setup –start –name hacluster node1 node2 pcs cluster enable –all

# 配置虚拟IP和服务 pcs resource create vip ocf:heartbeat:IPaddr2 ip=192.168.1.100 cidr_netmask=24 op monitor interval=30s pcs resource create webserver systemd:httpd op monitor interval=30s pcs resource create dbserver systemd:mariadb op monitor interval=30s pcs resource group add webgroup vip webserver pcs resource group add dbgroup dbserver “`

实施效果：通过实施上述安全配置方案，该金融机构成功实现了以下目标：