深入解析CentOS Stream用户与权限管理提升系统安全性的实用技巧

威震华夏关云长

CentOS Stream作为Red Hat Enterprise Linux (RHEL)的上游开发平台，提供了稳定且可靠的操作系统环境。在系统管理中，用户与权限管理是确保系统安全的关键环节。合理配置用户账户和权限可以有效防止未授权访问、数据泄露和系统攻击。本文将深入探讨CentOS Stream中的用户与权限管理技巧，帮助系统管理员提升系统安全性。

1. CentOS Stream用户管理基础

在CentOS Stream中，用户管理是系统安全的第一道防线。以下是用户管理的基础知识：

1.1 用户账户类型

CentOS Stream中有几种类型的用户账户：

• 超级用户（root）：拥有系统的最高权限
• 系统用户：用于运行系统服务和应用程序
• 普通用户：日常操作和应用程序使用的账户

1.2 用户管理命令

CentOS Stream提供了一系列命令来管理用户账户：

2. # 创建新用户
3. useradd username
5. # 创建用户并指定主目录
6. useradd -d /home/customdir username
8. # 创建用户并指定用户ID
9. useradd -u 1234 username
11. # 创建用户并指定初始组
12. useradd -g groupname username
14. # 创建用户并指定附加组
15. useradd -G groupname1,groupname2 username
17. # 创建用户并指定shell
18. useradd -s /bin/bash username

复制代码

2. # 为用户设置密码
3. passwd username

复制代码

2. # 修改用户主目录
3. usermod -d /new/home/dir username
5. # 修改用户ID
6. usermod -u 1234 username
8. # 修改用户主组
9. usermod -g groupname username
11. # 修改用户附加组
12. usermod -G groupname1,groupname2 username
14. # 修改用户shell
15. usermod -s /bin/bash username
17. # 修改用户登录名
18. usermod -l newname oldname

复制代码

2. # 删除用户但保留主目录
3. userdel username
5. # 删除用户及其主目录
6. userdel -r username

复制代码

1.3 用户组管理

组管理是权限管理的重要组成部分，可以通过组来简化权限分配：

2. # 创建新组
3. groupadd groupname
5. # 创建组并指定组ID
6. groupadd -g 5678 groupname

复制代码

2. # 修改组名
3. groupmod -n newgroupname oldgroupname
5. # 修改组ID
6. groupmod -g 5678 groupname

复制代码

2. # 删除组
3. groupdel groupname

复制代码

2. # 将用户添加到组
3. gpasswd -a username groupname
5. # 从组中移除用户
6. gpasswd -d username groupname
8. # 设置组管理员
9. gpasswd -A username groupname

复制代码

2. CentOS Stream权限管理基础

在CentOS Stream中，权限管理主要通过文件权限、特殊权限和访问控制列表(ACL)来实现。

2.1 基本文件权限

CentOS Stream使用传统的Unix权限模型，每个文件和目录都有三组权限：所有者权限、组权限和其他用户权限。

2. # 查看文件详细信息
3. ls -l filename
5. # 输出示例
6. # -rw-r--r-- 1 username groupname 0 Jan 1 12:00 filename

复制代码

权限字符串解释：

• 第一个字符表示文件类型（-表示普通文件，d表示目录，l表示符号链接等）
• 接下来的三个字符表示所有者的权限（r读，w写，x执行）
• 中间三个字符表示组的权限
• 最后三个字符表示其他用户的权限

2. # 使用符号模式修改权限
3. chmod u+x filename        # 为所有者添加执行权限
4. chmod g-w filename        # 移除组的写权限
5. chmod o=r filename        # 设置其他用户的权限为只读
6. chmod a=rx filename       # 为所有用户设置读和执行权限
8. # 使用数字模式修改权限
9. chmod 755 filename        # rwxr-xr-x
10. chmod 644 filename        # rw-r--r--

复制代码

数字权限解释：

• 4 = 读 ®
• 2 = 写 (w)
• 1 = 执行 (x)
• 0 = 无权限

2. # 修改文件所有者
3. chown username filename
5. # 修改文件组
6. chgrp groupname filename
8. # 同时修改所有者和组
9. chown username:groupname filename

复制代码

2.2 特殊权限

除了基本权限外，CentOS Stream还支持几种特殊权限：

当设置了SUID位的可执行文件运行时，进程将以文件所有者的权限运行，而不是执行者的权限。

2. # 设置SUID
3. chmod u+s filename
4. chmod 4755 filename
6. # 移除SUID
7. chmod u-s filename

复制代码

当设置了SGID位的可执行文件运行时，进程将以文件所属组的权限运行。对于目录，SGID使得在该目录中创建的文件继承目录的组。

2. # 设置SGID
3. chmod g+s filename
4. chmod 2755 filename
6. # 移除SGID
7. chmod g-s filename

复制代码

对于目录，Sticky Bit限制了文件删除权限，只有文件的所有者、目录的所有者或超级用户才能删除目录中的文件。

2. # 设置Sticky Bit
3. chmod +t directory
4. chmod 1777 directory
6. # 移除Sticky Bit
7. chmod -t directory

复制代码

2.3 访问控制列表 (ACL)

ACL提供了比传统权限更精细的访问控制。

2. # 查看文件ACL
3. getfacl filename

复制代码

2. # 为用户添加ACL
3. setfacl -m u:username:permissions filename
4. # 示例：setfacl -m u:john:rw filename
6. # 为组添加ACL
7. setfacl -m g:groupname:permissions filename
8. # 示例：setfacl -m g:developers:rw filename
10. # 为其他用户添加ACL
11. setfacl -m o:permissions filename
12. # 示例：setfacl -m o:r filename
14. # 设置默认ACL（仅对目录有效）
15. setfacl -d -m u:username:permissions directory
16. # 示例：setfacl -d -m u:john:rw directory

复制代码

2. # 删除特定用户的ACL
3. setfacl -x u:username filename
5. # 删除特定组的ACL
6. setfacl -x g:groupname filename
8. # 删除所有ACL
9. setfacl -b filename

复制代码

3. 用户与权限管理的安全最佳实践

在CentOS Stream中实施用户与权限管理时，遵循安全最佳实践可以显著提高系统安全性。

3.1 最小权限原则

最小权限原则要求用户和进程只拥有完成其任务所必需的最低权限。

2. # 创建具有有限权限的用户
3. useradd -s /sbin/nologin username  # 禁止shell登录
4. useradd -g users -G wheel username  # 添加到wheel组以使用sudo
6. # 使用sudo而不是直接使用root
7. # 编辑sudoers文件
8. visudo
10. # 添加用户到sudoers
11. username ALL=(ALL) ALL
13. # 允许用户执行特定命令而不需要密码
14. username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd

复制代码

3.2 密码策略

强密码策略是防止未授权访问的重要措施。

2. # 安装pam_pwquality模块（如果未安装）
3. yum install -y libpwquality
5. # 编辑密码质量配置文件
6. vi /etc/security/pwquality.conf
8. # 示例配置
9. minlen = 12
10. minclass = 3
11. dcredit = -1
12. ucredit = -1
13. lcredit = -1
14. ocredit = -1
15. maxrepeat = 3
16. gecoscheck = 1
17. dictcheck = 1
18. usercheck = 1
19. enforce_for_root

复制代码

2. # 编辑登录配置文件
3. vi /etc/login.defs
5. # 示例配置
6. PASS_MAX_DAYS   90
7. PASS_MIN_DAYS   7
8. PASS_WARN_AGE   14
10. # 为特定用户设置密码过期
11. chage -M 90 username
12. chage -W 14 username
13. chage -m 7 username

复制代码

3.3 账户锁定策略

账户锁定策略可以防止暴力破解攻击。

2. # 编辑pam配置文件
3. vi /etc/pam.d/system-auth
5. # 添加以下行（在auth部分）
6. auth        required      pam_tally2.so deny=5 unlock_time=1800 onerr=fail
8. # 查看失败的登录尝试
9. pam_tally2 --user username
11. # 解锁用户账户
12. pam_tally2 --user username --reset

复制代码

3.4 限制root访问

直接使用root账户存在安全风险，应限制其访问。

2. # 编辑SSH配置文件
3. vi /etc/ssh/sshd_config
5. # 修改以下行
6. PermitRootLogin no
8. # 重启SSH服务
9. systemctl restart sshd

复制代码

2. # 创建管理员组
3. groupadd admins
5. # 添加用户到管理员组
6. usermod -aG admins username
8. # 配置sudoers文件
9. vi /etc/sudoers
11. # 添加以下行
12. %admins ALL=(ALL) ALL

复制代码

3.5 用户会话管理

管理用户会话可以防止闲置会话带来的安全风险。

2. # 编辑profile文件
3. vi /etc/profile
5. # 添加以下行
6. export TMOUT=600  # 10分钟无活动自动注销
7. readonly TMOUT   # 防止用户修改
9. # 使配置立即生效
10. source /etc/profile

复制代码

2. # 编辑limits配置文件
3. vi /etc/security/limits.conf
5. # 添加以下行
6. @users   -   maxlogins   3

复制代码

4. 高级权限管理技术

除了基本的用户和权限管理外，CentOS Stream还提供了一些高级权限管理技术，可以进一步提高系统安全性。

4.1 SELinux (Security-Enhanced Linux)

SELinux是一个强制访问控制(MAC)系统，它提供了比传统Linux权限更精细的控制。

• 安全上下文：每个进程和文件都有一个安全上下文，包括用户、角色、类型和敏感度。
• 策略：定义了哪些进程可以访问哪些文件。
• 模式：Enforcing：强制模式，SELinux策略被强制执行Permissive：宽容模式，SELinux策略不被强制执行，但会记录违规行为Disabled：禁用模式，SELinux不运行
• Enforcing：强制模式，SELinux策略被强制执行
• Permissive：宽容模式，SELinux策略不被强制执行，但会记录违规行为
• Disabled：禁用模式，SELinux不运行

• Enforcing：强制模式，SELinux策略被强制执行
• Permissive：宽容模式，SELinux策略不被强制执行，但会记录违规行为
• Disabled：禁用模式，SELinux不运行

2. # 查看SELinux状态
3. sestatus
5. # 设置SELinux模式
6. setenforce 0  # 设置为Permissive模式
7. setenforce 1  # 设置为Enforcing模式
9. # 查看文件的安全上下文
10. ls -Z filename
12. # 修改文件的安全上下文
13. chcon -t httpd_sys_content_t filename
15. # 恢复文件的默认安全上下文
16. restorecon filename
18. # 查看SELinux布尔值
19. getsebool -a
21. # 设置SELinux布尔值
22. setsebool -P httpd_can_network_connect on

复制代码

2. # 安装SELinux故障排除工具
3. yum install -y setroubleshoot-server
5. # 查看SELinux拒绝消息
6. sealert -a /var/log/audit/audit.log
8. # 生成SELinux策略模块
9. audit2allow -M mymodule < /var/log/audit/audit.log
11. # 安装生成的策略模块
12. semodule -i mymodule.pp

复制代码

4.2 AppArmor

AppArmor是另一个强制访问控制系统，它使用配置文件来限制程序的权限。

• 配置文件：定义了程序可以访问哪些资源。
• 模式：Enforce：强制模式，限制被强制执行Complain：抱怨模式，违规行为被记录但不限制
• Enforce：强制模式，限制被强制执行
• Complain：抱怨模式，违规行为被记录但不限制

• Enforce：强制模式，限制被强制执行
• Complain：抱怨模式，违规行为被记录但不限制

2. # 安装AppArmor
3. yum install -y apparmor
5. # 启动AppArmor服务
6. systemctl start apparmor
7. systemctl enable apparmor
9. # 查看AppArmor状态
10. aa-status
12. # 列出加载的配置文件
13. aa-status
15. # 将配置文件设置为抱怨模式
16. aa-complain /path/to/profile
18. # 将配置文件设置为强制模式
19. aa-enforce /path/to/profile
21. # 创建新的配置文件
22. aa-genprof /path/to/executable
24. # 更新配置文件
25. aa-logprof

复制代码

4.3 PAM (Pluggable Authentication Modules)

PAM提供了一个灵活的框架，用于配置系统的身份验证机制。

PAM配置文件位于/etc/pam.d/目录下，每个服务都有一个对应的配置文件。配置文件的每一行都遵循以下格式：

2. module_interface control_flag module_path module_arguments

复制代码

• module_interface：模块接口类型（auth、account、password、session）
• control_flag：控制标志（required、requisite、sufficient、optional）
• module_path：模块路径
• module_arguments：模块参数

2. # pam_unix.so：传统的Unix身份验证
3. auth sufficient pam_unix.so
5. # pam_pwquality.so：密码质量检查
6. password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
8. # pam_tally2.so：登录失败计数
9. auth required pam_tally2.so deny=5 unlock_time=1800 onerr=fail
11. # pam_limits.so：资源限制
12. session required pam_limits.so
14. # pam_time.so：时间限制
15. account required pam_time.so

复制代码

2. # 编辑服务的PAM配置文件
3. vi /etc/pam.d/sshd
5. # 添加双因素认证
6. auth required pam_google_authenticator.so

复制代码

4.4 文件系统加密

加密文件系统可以保护敏感数据，即使物理介质被盗也能保证数据安全。

2. # 安装cryptsetup
3. yum install -y cryptsetup
5. # 准备分区
6. fdisk /dev/sdb
8. # 创建加密卷
9. cryptsetup luksFormat /dev/sdb1
11. # 打开加密卷
12. cryptsetup luksOpen /dev/sdb1 encrypted_data
14. # 创建文件系统
15. mkfs.ext4 /dev/mapper/encrypted_data
17. # 挂载文件系统
18. mount /dev/mapper/encrypted_data /mnt/encrypted
20. # 卸载并关闭加密卷
21. umount /mnt/encrypted
22. cryptsetup luksClose encrypted_data

复制代码

2. # 编辑crypttab文件
3. vi /etc/crypttab
5. # 添加以下行
6. encrypted_data /dev/sdb1 /etc/luks_keyfile luks
8. # 创建密钥文件
9. dd if=/dev/urandom of=/etc/luks_keyfile bs=4096 count=1
10. chmod 400 /etc/luks_keyfile
12. # 添加密钥到LUKS卷
13. cryptsetup luksAddKey /dev/sdb1 /etc/luks_keyfile
15. # 编辑fstab文件
16. vi /etc/fstab
18. # 添加以下行
19. /dev/mapper/encrypted_data /mnt/encrypted ext4 defaults 0 0

复制代码

5. 实用技巧与案例

在这一部分，我们将介绍一些实用的用户与权限管理技巧，并通过实际案例来说明如何应用这些技巧提升系统安全性。

5.1 创建安全的开发环境

在开发环境中，通常需要为开发人员提供适当的权限，同时确保系统安全。

2. # 创建开发组
3. groupadd developers
5. # 创建开发用户
6. useradd -g developers -s /bin/bash devuser1
7. useradd -g developers -s /bin/bash devuser2
9. # 设置密码
10. passwd devuser1
11. passwd devuser2
13. # 创建项目目录
14. mkdir -p /var/www/projects
15. chown root:developers /var/www/projects
16. chmod 775 /var/www/projects
18. # 设置SGID，确保新创建的文件属于developers组
19. chmod g+s /var/www/projects
21. # 配置ACL，允许developers组成员读写
22. setfacl -m g:developers:rwx /var/www/projects
23. setfacl -d -m g:developers:rwx /var/www/projects
25. # 配置sudoers，允许开发人员重启服务
26. echo "%developers ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd" >> /etc/sudoers
28. # 限制开发人员的系统访问
29. echo "%developers hard nproc 100" >> /etc/security/limits.conf
30. echo "%developers hard nofile 1024" >> /etc/security/limits.conf

复制代码

5.2 实现文件服务器安全

文件服务器需要严格的权限控制，以确保只有授权用户才能访问敏感文件。

2. # 创建部门组
3. groupadd sales
4. groupadd hr
5. groupadd finance
7. # 创建共享目录结构
8. mkdir -p /srv/shared/{sales,hr,finance,common}
9. chown root:sales /srv/shared/sales
10. chown root:hr /srv/shared/hr
11. chown root:finance /srv/shared/finance
12. chown root:root /srv/shared/common
14. # 设置目录权限
15. chmod 770 /srv/shared/sales
16. chmod 770 /srv/shared/hr
17. chmod 770 /srv/shared/finance
18. chmod 755 /srv/shared/common
20. # 设置SGID
21. chmod g+s /srv/shared/sales
22. chmod g+s /srv/shared/hr
23. chmod g+s /srv/shared/finance
24. chmod g+s /srv/shared/common
26. # 配置ACL
27. setfacl -m g:sales:rwx /srv/shared/sales
28. setfacl -d -m g:sales:rwx /srv/shared/sales
29. setfacl -m g:hr:rwx /srv/shared/hr
30. setfacl -d -m g:hr:rwx /srv/shared/hr
31. setfacl -m g:finance:rwx /srv/shared/finance
32. setfacl -d -m g:finance:rwx /srv/shared/finance
34. # 创建用户并添加到相应组
35. useradd -G sales salesuser1
36. useradd -G hr hruser1
37. useradd -G finance financeuser1
39. # 设置密码
40. passwd salesuser1
41. passwd hruser1
42. passwd financeuser1

复制代码

5.3 配置Web服务器安全

Web服务器是常见的攻击目标，需要特别关注其安全配置。

2. # 创建Apache用户和组
3. groupadd apache
4. useradd -r -g apache -s /sbin/nologin apache
6. # 创建网站目录结构
7. mkdir -p /var/www/{example.com,example.org}
8. chown -R root:root /var/www
9. chmod 755 /var/www
11. # 创建网站内容目录
12. mkdir -p /var/www/example.com/{public_html,logs}
13. mkdir -p /var/www/example.org/{public_html,logs}
15. # 设置网站目录权限
16. chown -R apache:apache /var/www/example.com/public_html
17. chown -R apache:apache /var/www/example.org/public_html
18. chmod 750 /var/www/example.com/public_html
19. chmod 750 /var/www/example.org/public_html
21. # 设置日志目录权限
22. chown -R apache:apache /var/www/example.com/logs
23. chown -R apache:apache /var/www/example.org/logs
24. chmod 750 /var/www/example.com/logs
25. chmod 750 /var/www/example.org/logs
27. # 配置SELinux
28. semanage fcontext -a -t httpd_sys_content_t "/var/www/example.com(/.*)?"
29. restorecon -Rv /var/www/example.com
30. semanage fcontext -a -t httpd_sys_content_t "/var/www/example.org(/.*)?"
31. restorecon -Rv /var/www/example.org
33. # 允许Apache网络连接
34. setsebool -P httpd_can_network_connect on
36. # 配置防火墙
37. firewall-cmd --permanent --add-service=http
38. firewall-cmd --permanent --add-service=https
39. firewall-cmd --reload

复制代码

5.4 实现数据库服务器安全

数据库服务器存储敏感数据，需要严格的访问控制。

2. # 创建MySQL用户和组
3. groupadd mysql
4. useradd -r -g mysql -s /sbin/nologin mysql
6. # 创建数据目录
7. mkdir -p /var/lib/mysql
8. chown -R mysql:mysql /var/lib/mysql
9. chmod 750 /var/lib/mysql
11. # 创建日志目录
12. mkdir -p /var/log/mysql
13. chown -R mysql:mysql /var/log/mysql
14. chmod 750 /var/log/mysql
16. # 配置SELinux
17. semanage fcontext -a -t mysqld_db_t "/var/lib/mysql(/.*)?"
18. restorecon -Rv /var/lib/mysql
19. semanage fcontext -a -t mysqld_log_t "/var/log/mysql(/.*)?"
20. restorecon -Rv /var/log/mysql
22. # 允许MySQL网络连接
23. setsebool -P mysql_connect_any on
25. # 配置防火墙
26. firewall-cmd --permanent --add-service=mysql
27. firewall-cmd --reload
29. # 初始化MySQL数据库
30. mysqld --initialize --user=mysql
32. # 启动MySQL服务
33. systemctl start mysqld
34. systemctl enable mysqld
36. # 安全配置MySQL
37. mysql_secure_installation

复制代码

6. 监控与审计

监控和审计是用户与权限管理的重要组成部分，可以帮助检测和防止安全事件。

6.1 系统日志监控

系统日志记录了系统活动，包括用户登录、权限变更等。

2. # 编辑logrotate配置文件
3. vi /etc/logrotate.conf
5. # 示例配置
6. weekly
7. rotate 4
8. create
9. dateext
10. include /etc/logrotate.d
11. /var/log/wtmp {
12.     monthly
13.     create 0664 root utmp
14.     minsize 1M
15.     rotate 1
16. }

复制代码

2. # 安装rsyslog
3. yum install -y rsyslog
5. # 编辑rsyslog配置文件
6. vi /etc/rsyslog.conf
8. # 添加以下行以启用TCP日志接收
9. $ModLoad imtcp
10. $InputTCPServerRun 514
12. # 添加以下行以将日志发送到远程服务器
13. *.* @@logserver.example.com:514
15. # 重启rsyslog服务
16. systemctl restart rsyslog
17. systemctl enable rsyslog

复制代码

6.2 用户活动监控

监控用户活动可以帮助检测异常行为。

2. # 安装auditd
3. yum install -y audit
5. # 启动auditd服务
6. systemctl start auditd
7. systemctl enable auditd
9. # 添加审计规则
10. auditctl -w /etc/passwd -p wa -k identity
11. auditctl -w /etc/shadow -p wa -k identity
12. auditctl -w /etc/sudoers -p wa -k identity
13. auditctl -w /etc/ssh/sshd_config -p wa -k ssh_config
15. # 永久保存审计规则
16. vi /etc/audit/rules.d/audit.rules
18. # 添加以下行
19. -w /etc/passwd -p wa -k identity
20. -w /etc/shadow -p wa -k identity
21. -w /etc/sudoers -p wa -k identity
22. -w /etc/ssh/sshd_config -p wa -k ssh_config
24. # 查看审计日志
25. ausearch -k identity
26. ausearch -k ssh_config

复制代码

2. # 查看最近登录的用户
3. last
5. # 查看失败的登录尝试
6. lastb
8. # 查看系统重启记录
9. last reboot

复制代码

6.3 文件完整性监控

文件完整性监控可以检测未授权的文件变更。

2. # 安装AIDE
3. yum install -y aide
5. # 初始化AIDE数据库
6. aide --init
8. # 重命名数据库
9. mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
11. # 执行检查
12. aide --check
14. # 更新数据库
15. aide --update
16. mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
18. # 配置定时检查
19. crontab -e
21. # 添加以下行以每天凌晨3点运行AIDE检查
22. 0 3 * * * /usr/sbin/aide --check | mail -s "AIDE Report" admin@example.com

复制代码

2. # 安装EPEL仓库
3. yum install -y epel-release
5. # 安装Tripwire
6. yum install -y tripwire
8. # 初始化Tripwire数据库
9. tripwire --init
11. # 执行检查
12. tripwire --check
14. # 更新数据库
15. tripwire --update
17. # 配置Tripwire
18. vi /etc/tripwire/twcfg.txt
19. vi /etc/tripwire/twpol.txt
21. # 重新生成配置文件
22. twadmin -m F -c /etc/tripwire/tw.cfg -S /etc/tripwire/site.key /etc/tripwire/twcfg.txt
23. twadmin -m P -p /etc/tripwire/tw.pol -S /etc/tripwire/site.key /etc/tripwire/twpol.txt

复制代码

6.4 实时监控与警报

实时监控和警报可以帮助管理员快速响应安全事件。

2. # 安装OSSEC
3. yum install -y ossec-hids
5. # 配置OSSEC
6. vi /var/ossec/etc/ossec.conf
8. # 示例配置
9. <ossec_config>
10.   <global>
11.     <email_notification>yes</email_notification>
12.     <email_to>admin@example.com</email_to>
13.     <smtp_server>smtp.example.com</smtp_server>
14.     <email_from>ossec@example.com</email_from>
15.   </global>
16.   
17.   <rules>
18.     <include>rules_config.xml</include>
19.     <include>sshd_rules.xml</include>
20.     <include>syslog_rules.xml</include>
21.     <include>attack_rules.xml</include>
22.   </rules>
23.   
24.   <syscheck>
25.     <frequency>7200</frequency>
26.     <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
27.     <directories check_all="yes">/bin,/sbin</directories>
28.     <ignore>/etc/mtab</ignore>
29.     <ignore>/etc/hosts.deny</ignore>
30.   </syscheck>
31.   
32.   <rootcheck>
33.     <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
34.     <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
35.   </rootcheck>
36.   
37.   <localfile>
38.     <log_format>syslog</log_format>
39.     <location>/var/log/messages</location>
40.   </localfile>
41.   
42.   <localfile>
43.     <log_format>syslog</log_format>
44.     <location>/var/log/secure</location>
45.   </localfile>
46. </ossec_config>
48. # 启动OSSEC
49. systemctl start ossec-hids
50. systemctl enable ossec-hids

复制代码

2. # 安装Fail2ban
3. yum install -y fail2ban
5. # 配置Fail2ban
6. cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
7. vi /etc/fail2ban/jail.local
9. # 示例配置
10. [DEFAULT]
11. bantime = 1h
12. findtime = 10m
13. maxretry = 3
15. [sshd]
16. enabled = true
17. port = ssh
18. logpath = %(sshd_log)s
20. [apache-auth]
21. enabled = true
22. port = http,https
23. logpath = %(apache_error_log)s
25. # 启动Fail2ban
26. systemctl start fail2ban
27. systemctl enable fail2ban
29. # 查看被禁止的IP
30. fail2ban-client status sshd

复制代码

7. 总结

CentOS Stream的用户与权限管理是系统安全的基础。通过合理配置用户账户、权限和访问控制，可以显著提高系统的安全性。本文介绍了CentOS Stream中用户与权限管理的基础知识、安全最佳实践、高级权限管理技术以及监控与审计方法。

关键要点包括：

1. 遵循最小权限原则，确保用户和进程只拥有完成其任务所必需的最低权限。
2. 实施强密码策略和账户锁定策略，防止未授权访问。
3. 限制root访问，使用sudo替代直接使用root。
4. 利用SELinux、AppArmor和PAM等高级安全工具增强系统安全性。
5. 实施文件系统加密，保护敏感数据。
6. 配置适当的监控和审计机制，及时发现和响应安全事件。

通过实施这些技巧和最佳实践，系统管理员可以显著提高CentOS Stream系统的安全性，保护系统免受各种安全威胁。