深入解析Fedora 32安全设置从基础配置到高级防护全方位指南

威震华夏关云长

引言

Fedora 32作为Red Hat赞助的社区项目，是一个功能强大且安全的Linux发行版，它融合了最新的开源技术和严格的安全策略。作为用户，了解如何正确配置Fedora 32的安全设置至关重要，这不仅能够保护您的系统免受各种威胁，还能确保数据的完整性和隐私性。本文将从基础配置到高级防护，全方位解析Fedora 32的安全设置，帮助您构建一个安全可靠的系统环境。

基础安全配置

系统更新与补丁管理

保持系统更新是维护系统安全的基础步骤。Fedora 32使用DNF（Dandified YUM）作为其包管理器，定期更新系统可以修复已知的安全漏洞。

检查并安装系统更新：

2. # 检查可用更新
3. sudo dnf check-update
5. # 安装所有可用更新
6. sudo dnf update
8. # 如果只想安装安全更新
9. sudo dnf update --security

复制代码

自动更新配置：

为了确保系统始终保持最新状态，可以配置自动更新：

2. # 安装dnf-automatic包
3. sudo dnf install dnf-automatic
5. # 编辑自动更新配置文件
6. sudo nano /etc/dnf/automatic.conf

复制代码

在配置文件中，设置以下参数：

2. [commands]
3. upgrade_type = security
4. download_updates = yes
5. apply_updates = yes
7. [emitters]
8. system_name = my-fedora-system
9. emit_via = motd
11. [email]
12. email_from = root@my-fedora-system
13. email_to = admin@example.com
14. email_host = localhost
16. [command]
17. # 可选：定义在更新前后执行的命令

复制代码

启用并启动dnf-automatic服务：

2. sudo systemctl enable --now dnf-automatic.timer

复制代码

安全内核更新：

对于关键系统，特别是服务器，可能需要单独管理内核更新：

2. # 安装内核更新
3. sudo dnf update kernel
5. # 查看已安装的内核
6. rpm -qa kernel
8. # 设置默认启动的内核
9. sudo grubby --set-default=/boot/vmlinuz-5.6.6-300.fc32.x86_64

复制代码

用户和权限管理

良好的用户和权限管理是系统安全的关键。Fedora 32提供了多种工具来管理用户账户和权限。

创建和管理用户：

2. # 创建新用户
3. sudo useradd -m -s /bin/bash newuser
5. # 设置用户密码
6. sudo passwd newuser
8. # 删除用户及其主目录
9. sudo userdel -r newuser

复制代码

使用sudo进行权限管理：

2. # 安装sudo（如果未安装）
3. sudo dnf install sudo
5. # 将用户添加到wheel组以获取sudo权限
6. sudo usermod -aG wheel username
8. # 编辑sudoers文件以更精细地控制权限
9. sudo visudo

复制代码

在sudoers文件中，可以添加如下规则：

2. # 允许特定用户执行特定命令
3. username ALL=(ALL) /usr/bin/systemctl restart httpd
5. # 允许wheel组成员执行任何命令
6. %wheel ALL=(ALL) ALL
8. # 无需密码执行特定命令
9. username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd

复制代码

用户账户安全策略：

2. # 设置密码策略
3. sudo nano /etc/login.defs

复制代码

在login.defs文件中，可以设置：

2. # 密码过期天数
3. PASS_MAX_DAYS   90
4. # 密码最小长度
5. PASS_MIN_LEN    12
6. # 密码过期前警告天数
7. PASS_WARN_AGE   7

复制代码

强制密码复杂度：

2. # 安装libpwquality
3. sudo dnf install libpwquality
5. # 编辑密码质量配置
6. sudo nano /etc/security/pwquality.conf

复制代码

在pwquality.conf中设置：

2. minlen = 12
3. minclass = 3
4. dcredit = -1
5. ucredit = -1
6. lcredit = -1
7. ocredit = -1
8. maxrepeat = 3

复制代码

账户锁定策略：

2. # 编辑PAM配置文件
3. sudo nano /etc/pam.d/system-auth

复制代码

添加以下行以设置账户锁定策略：

2. auth required pam_tally2.so deny=5 onerr=fail unlock_time=1800

复制代码

查看失败的登录尝试：

2. sudo pam_tally2 --user=username

复制代码

解锁被锁定的账户：

2. sudo pam_tally2 --user=username --reset

复制代码

防火墙基础配置

Fedora 32使用firewalld作为其默认的防火墙管理工具，它提供了动态管理的防火墙，支持网络/防火墙区域定义。

检查firewalld状态：

2. # 检查firewalld服务状态
3. sudo systemctl status firewalld
5. # 启动并启用firewalld
6. sudo systemctl enable --now firewalld

复制代码

基本区域管理：

2. # 查看默认区域
3. sudo firewall-cmd --get-default-zone
5. # 查看所有可用区域
6. sudo firewall-cmd --get-zones
8. # 查看当前活动的区域
9. sudo firewall-cmd --get-active-zones
11. # 查看特定区域的配置
12. sudo firewall-cmd --zone=public --list-all

复制代码

服务管理：

2. # 列出所有预定义的服务
3. sudo firewall-cmd --get-services
5. # 允许服务通过防火墙
6. sudo firewall-cmd --permanent --zone=public --add-service=http
7. sudo firewall-cmd --permanent --zone=public --add-service=https
9. # 重新加载防火墙配置
10. sudo firewall-cmd --reload

复制代码

端口管理：

2. # 开放特定端口
3. sudo firewall-cmd --permanent --zone=public --add-port=8080/tcp
5. # 移除开放的端口
6. sudo firewall-cmd --permanent --zone=public --remove-port=8080/tcp
8. # 重新加载防火墙配置
9. sudo firewall-cmd --reload

复制代码

高级规则配置：

2. # 添加富规则（rich rules）
3. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
5. # 阻止特定IP地址
6. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.5" reject'
8. # 端口转发
9. sudo firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080

复制代码

创建自定义服务：

2. # 创建自定义服务定义文件
3. sudo nano /etc/firewalld/services/custom-service.xml

复制代码

添加以下内容：

2. <?xml version="1.0" encoding="utf-8"?>
3. <service>
4.   <short>Custom Service</short>
5.   <description>This is a custom service for our application.</description>
6.   <port protocol="tcp" port="1234"/>
7.   <port protocol="udp" port="1235"/>
8. </service>

复制代码

重新加载防火墙并添加服务：

2. sudo firewall-cmd --reload
3. sudo firewall-cmd --permanent --zone=public --add-service=custom-service
4. sudo firewall-cmd --reload

复制代码

SELinux基础设置

SELinux（Security-Enhanced Linux）是Fedora 32中的强制访问控制（MAC）系统，它提供了比传统Linux权限更精细的安全控制。

检查SELinux状态：

2. # 查看当前SELinux状态
3. getenforce
5. # 查看SELinux详细状态
6. sestatus

复制代码

SELinux模式管理：

2. # 设置SELinux为强制模式（Enforcing）
3. sudo setenforce 1
5. # 设置SELinux为宽容模式（Permissive）
6. sudo setenforce 0
8. # 永久更改SELinux模式
9. sudo nano /etc/selinux/config

复制代码

在配置文件中设置：

2. SELINUX=enforcing

复制代码

SELinux布尔值管理：

2. # 列出所有布尔值
3. getsebool -a
5. # 查看特定布尔值
6. getsebool httpd_can_network_connect
8. # 设置布尔值
9. sudo setsebool -P httpd_can_network_connect on

复制代码

文件和进程的SELinux上下文：

2. # 查看文件SELinux上下文
3. ls -Z /var/www/html/
5. # 查看进程SELinux上下文
6. ps -eZ
8. # 更改文件SELinux上下文
9. sudo chcon -t httpd_sys_content_t /var/www/html/index.html
11. # 恢复默认SELinux上下文
12. sudo restorecon -Rv /var/www/html/

复制代码

SELinux故障排除：

2. # 安装SELinux故障排除工具
3. sudo dnf install setroubleshoot
5. # 查看SELinux拒绝日志
6. sudo sealert -a /var/log/audit/audit.log
8. # 生成分析报告
9. sudo sealert -l "*"

复制代码

创建自定义SELinux策略模块：

2. # 安装必要的工具
3. sudo dnf install policycoreutils-python-utils
5. # 检查SELinux拒绝并生成类型强制规则
6. sudo grep nginx /var/log/audit/audit.log | audit2allow -M nginx_policy
8. # 安装生成的策略模块
9. sudo semodule -i nginx_policy.pp

复制代码

中级安全设置

服务安全配置

Fedora 32上运行的服务需要适当配置以确保安全性。以下是一些关键服务的安全配置方法。

SSH服务安全配置：

2. # 安装SSH服务器（如果未安装）
3. sudo dnf install openssh-server
5. # 启动并启用SSH服务
6. sudo systemctl enable --now sshd
8. # 编辑SSH配置文件
9. sudo nano /etc/ssh/sshd_config

复制代码

在sshd_config中，建议进行以下安全设置：

2. # 禁用root登录
3. PermitRootLogin no
5. # 只允许特定用户登录
6. AllowUsers username1 username2
8. # 更改默认端口
9. Port 2222
11. # 禁用密码认证，使用密钥认证
12. PasswordAuthentication no
13. PubkeyAuthentication yes
15. # 设置登录尝试次数
16. MaxAuthTries 3
18. # 设置空闲超时时间
19. ClientAliveInterval 300
20. ClientAliveCountMax 0
22. # 禁用X11转发
23. X11Forwarding no

复制代码

重新启动SSH服务以应用更改：

2. sudo systemctl restart sshd

复制代码

SSH密钥管理：

2. # 生成SSH密钥对
3. ssh-keygen -t rsa -b 4096
5. # 将公钥复制到远程服务器
6. ssh-copy-id -i ~/.ssh/id_rsa.pub username@remote_host
8. # 设置SSH代理
9. eval "$(ssh-agent -s)"
10. ssh-add ~/.ssh/id_rsa

复制代码

Apache/Nginx Web服务器安全配置：

对于Apache：

2. # 安装Apache
3. sudo dnf install httpd
5. # 启动并启用Apache
6. sudo systemctl enable --now httpd
8. # 编辑Apache安全配置
9. sudo nano /etc/httpd/conf.d/security.conf

复制代码

在security.conf中添加：

2. # 隐藏Apache版本信息
3. ServerTokens Prod
4. ServerSignature Off
6. # 禁用目录浏览
7. Options -Indexes
9. # 设置严格的文件权限
10. <Directory "/var/www/html">
11.     Options FollowSymLinks
12.     AllowOverride None
13.     Require all granted
14. </Directory>
16. # 限制HTTP方法
17. <LimitExcept GET POST HEAD>
18.     Require all denied
19. </LimitExcept>
21. # 启用HTTPS
22. SSLEngine on
23. SSLCertificateFile /etc/pki/tls/certs/localhost.crt
24. SSLCertificateKeyFile /etc/pki/tls/private/localhost.key

复制代码

对于Nginx：

2. # 安装Nginx
3. sudo dnf install nginx
5. # 启动并启用Nginx
6. sudo systemctl enable --now nginx
8. # 编辑Nginx安全配置
9. sudo nano /etc/nginx/conf.d/security.conf

复制代码

在security.conf中添加：

2. # 隐藏Nginx版本信息
3. server_tokens off;
5. # 禁用目录浏览
6. autoindex off;
8. # 设置严格的文件权限
9. location / {
10.     try_files $uri $uri/ =404;
11. }
13. # 限制HTTP方法
14. if ($request_method !~ ^(GET|HEAD|POST)$ ) {
15.     return 405;
16. }
18. # 添加安全头
19. add_header X-Frame-Options "SAMEORIGIN";
20. add_header X-Content-Type-Options "nosniff";
21. add_header X-XSS-Protection "1; mode=block";
22. add_header Referrer-Policy "strict-origin-when-cross-origin";
24. # 配置SSL
25. ssl_certificate /etc/pki/tls/certs/localhost.crt;
26. ssl_certificate_key /etc/pki/tls/private/localhost.key;
27. ssl_protocols TLSv1.2 TLSv1.3;
28. ssl_prefer_server_ciphers on;

复制代码

数据库服务安全配置：

对于MariaDB/MySQL：

2. # 安装MariaDB
3. sudo dnf install mariadb-server
5. # 启动并启用MariaDB
6. sudo systemctl enable --now mariadb
8. # 运行安全安装脚本
9. sudo mysql_secure_installation

复制代码

编辑MariaDB配置文件：

2. sudo nano /etc/my.cnf.d/mariadb-server.cnf

复制代码

在配置文件中添加：

2. [mysqld]
3. # 禁用远程root登录
4. skip-networking
5. # 或者绑定到特定IP
6. # bind-address = 127.0.0.1
8. # 禁用符号链接以防止安全风险
9. symbolic-links=0
11. # 禁用本地文件加载
12. local-infile=0
14. # 设置适当的日志级别
15. log_warnings=2

复制代码

对于PostgreSQL：

2. # 安装PostgreSQL
3. sudo dnf install postgresql-server
5. # 初始化数据库
6. sudo postgresql-setup --initdb
8. # 启动并启用PostgreSQL
9. sudo systemctl enable --now postgresql
11. # 设置postgres用户密码
12. sudo -u postgres psql -c "ALTER USER postgres WITH PASSWORD 'secure_password';"

复制代码

编辑PostgreSQL配置文件：

2. sudo nano /var/lib/pgsql/data/pg_hba.conf

复制代码

在pg_hba.conf中设置：

2. # 只允许本地连接使用MD5加密
3. host    all             all             127.0.0.1/32            md5
4. host    all             all             ::1/128                 md5
6. # 如果需要远程连接，限制特定IP
7. host    all             all             192.168.1.0/24         md5

复制代码

编辑postgresql.conf：

2. sudo nano /var/lib/pgsql/data/postgresql.conf

复制代码

在postgresql.conf中设置：

2. # 监听特定地址
3. listen_addresses = 'localhost'
5. # 启用连接日志
6. log_connections = on
7. log_disconnections = on
8. log_duration = on
10. # 设置SSL
11. ssl = on
12. ssl_cert_file = 'server.crt'
13. ssl_key_file = 'server.key'

复制代码

网络安全强化

网络安全是保护Fedora 32系统的重要组成部分，包括网络配置、协议安全和网络监控等方面。

网络参数调整：

2. # 编辑sysctl配置文件
3. sudo nano /etc/sysctl.d/99-security.conf

复制代码

添加以下网络参数：

2. # 启用IP欺骗保护
3. net.ipv4.conf.all.rp_filter = 1
4. net.ipv4.conf.default.rp_filter = 1
6. # 禁用ICMP重定向接受
7. net.ipv4.conf.all.accept_redirects = 0
8. net.ipv4.conf.default.accept_redirects = 0
9. net.ipv4.conf.all.secure_redirects = 0
10. net.ipv4.conf.default.secure_redirects = 0
12. # 禁用IP源路由
13. net.ipv4.conf.all.accept_source_route = 0
14. net.ipv4.conf.default.accept_source_route = 0
16. # 忽略ICMP广播请求
17. net.ipv4.icmp_echo_ignore_broadcasts = 1
19. # 启用错误消息保护
20. net.ipv4.icmp_ignore_bogus_error_responses = 1
22. # 启用TCP SYN Cookie保护
23. net.ipv4.tcp_syncookies = 1
25. # 禁用IPv6（如果不需要）
26. net.ipv6.conf.all.disable_ipv6 = 1
27. net.ipv6.conf.default.disable_ipv6 = 1
29. # 增加文件描述符限制
30. fs.file-max = 65536
32. # 优化网络队列
33. net.core.netdev_max_backlog = 10000
34. net.ipv4.tcp_max_syn_backlog = 10000

复制代码

应用更改：

2. sudo sysctl -p /etc/sysctl.d/99-security.conf

复制代码

TCP/IP堆栈加固：

2. # 编辑TCP/IP配置
3. sudo nano /etc/sysctl.d/99-tcp.conf

复制代码

添加以下参数：

2. # TCP超时设置
3. net.ipv4.tcp_fin_timeout = 30
4. net.ipv4.tcp_keepalive_time = 1200
5. net.ipv4.tcp_keepalive_intvl = 15
6. net.ipv4.tcp_keepalive_probes = 5
8. # TCP窗口调整
9. net.ipv4.tcp_window_scaling = 1
10. net.ipv4.tcp_rmem = 4096 87380 16777216
11. net.ipv4.tcp_wmem = 4096 65536 16777216
12. net.core.rmem_max = 16777216
13. net.core.wmem_max = 16777216
14. net.core.netdev_max_backlog = 30000
16. # TCP BBR拥塞控制算法（需要内核4.9+）
17. net.core.default_qdisc = fq
18. net.ipv4.tcp_congestion_control = bbr

复制代码

应用更改：

2. sudo sysctl -p /etc/sysctl.d/99-tcp.conf

复制代码

网络服务限制：

2. # 安装tcp_wrappers
3. sudo dnf install tcp_wrappers
5. # 编辑hosts.allow文件
6. sudo nano /etc/hosts.allow

复制代码

添加允许访问的服务和主机：

2. # 允许特定IP访问SSH
3. sshd: 192.168.1.0/24, 10.0.0.5
5. # 允许特定IP访问FTP
6. vsftpd: 192.168.1.0/24

复制代码

编辑hosts.deny文件：

2. sudo nano /etc/hosts.deny

复制代码

添加拒绝规则：

2. # 拒绝所有其他连接
3. ALL: ALL

复制代码

网络连接监控：

2. # 安装网络监控工具
3. sudo dnf install net-tools nmap-ncat
5. # 查看所有网络连接
6. sudo netstat -tulnp
8. # 查看监听的端口
9. sudo ss -tulnp
11. # 监控网络连接
12. sudo watch -n 1 "netstat -an | grep ':80 '"

复制代码

使用fail2ban防止暴力破解：

2. # 安装fail2ban
3. sudo dnf install fail2ban
5. # 启动并启用fail2ban
6. sudo systemctl enable --now fail2ban
8. # 创建本地配置文件
9. sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
11. # 编辑jail.local配置
12. sudo nano /etc/fail2ban/jail.local

复制代码

在jail.local中设置：

2. [DEFAULT]
3. # 封禁时间（秒）
4. bantime = 3600
5. # 找到失败次数后封禁
6. findtime = 600
7. # 最大尝试次数
8. maxretry = 3
10. [sshd]
11. enabled = true
12. port = 22,2222
13. filter = sshd
14. logpath = /var/log/secure
15. maxretry = 3
16. bantime = 3600
18. [apache-auth]
19. enabled = true
20. port = http,https
21. filter = apache-auth
22. logpath = /var/log/httpd/error_log
23. maxretry = 3
24. bantime = 3600

复制代码

重启fail2ban服务：

2. sudo systemctl restart fail2ban

复制代码

查看fail2ban状态：

2. sudo fail2ban-client status
3. sudo fail2ban-client status sshd

复制代码

文件系统安全

文件系统安全是保护系统数据的关键部分，包括权限设置、加密和监控等方面。

文件和目录权限：

2. # 查看文件权限
3. ls -l /path/to/file
5. # 设置文件权限
6. chmod 644 /path/to/file
8. # 设置目录权限
9. chmod 755 /path/to/directory
11. # 递归设置目录权限
12. chmod -R 755 /path/to/directory
14. # 设置所有者和组
15. chown user:group /path/to/file
17. # 递归设置所有者和组
18. chown -R user:group /path/to/directory

复制代码

特殊权限设置：

2. # 设置SUID权限（允许用户以文件所有者权限执行）
3. chmod u+s /path/to/executable
5. # 设置SGID权限（在目录中创建的文件继承目录的组）
6. chmod g+s /path/to/directory
8. # 设置粘滞位（只有文件所有者才能删除或重命名文件）
9. chmod +t /path/to/directory

复制代码

查找并修复不安全的文件权限：

2. # 查找全局可写的文件
3. sudo find / -type f -perm -o+w -exec ls -l {} \;
5. # 查找没有所有者的文件
6. sudo find / -nouser -o -nogroup
8. # 查找SUID/SGID文件
9. sudo find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -l {} \;

复制代码

文件系统加密：

使用LUKS加密磁盘分区：

2. # 安装cryptsetup
3. sudo dnf install cryptsetup
5. # 准备分区（假设为/dev/sdb1）
6. sudo fdisk /dev/sdb
8. # 加密分区
9. sudo cryptsetup luksFormat /dev/sdb1
11. # 打开加密分区
12. sudo cryptsetup open /dev/sdb1 encrypted_disk
14. # 格式化加密分区
15. sudo mkfs.ext4 /dev/mapper/encrypted_disk
17. # 挂载加密分区
18. sudo mkdir /mnt/encrypted
19. sudo mount /dev/mapper/encrypted_disk /mnt/encrypted
21. # 关闭加密分区
22. sudo umount /mnt/encrypted
23. sudo cryptsetup close encrypted_disk

复制代码

配置自动挂载加密分区：

2. # 编辑/etc/crypttab
3. sudo nano /etc/crypttab

复制代码

添加以下行：

2. encrypted_disk /dev/sdb1 none luks

复制代码

编辑/etc/fstab：

2. sudo nano /etc/fstab

复制代码

添加以下行：

2. /dev/mapper/encrypted_disk /mnt/encrypted ext4 defaults 0 0

复制代码

文件完整性检查：

使用AIDE（Advanced Intrusion Detection Environment）监控文件完整性：

2. # 安装AIDE
3. sudo dnf install aide
5. # 初始化AIDE数据库
6. sudo aide --init
8. # 重命名数据库
9. sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
11. # 执行文件系统检查
12. sudo aide --check
14. # 更新数据库
15. sudo aide --update

复制代码

配置AIDE：

2. sudo nano /etc/aide.conf

复制代码

在配置文件中，可以设置要监控的文件和目录：

2. # 定义检查规则
3. ALL = p+i+n+u+g+s+m+c+md5+sha1
5. # 监控关键目录
6. /bin ALL
7. /sbin ALL
8. /usr/bin ALL
9. /usr/sbin ALL
10. /etc ALL
11. !/etc/aide.conf

复制代码

设置定期检查：

2. # 创建AIDE检查脚本
3. sudo nano /usr/local/bin/aide-check.sh

复制代码

添加以下内容：

2. #!/bin/bash
3. /usr/sbin/aide --check | mail -s "AIDE Integrity Check Report" admin@example.com

复制代码

使脚本可执行并添加到cron：

2. sudo chmod +x /usr/local/bin/aide-check.sh
3. sudo crontab -e

复制代码

添加以下行以每天运行检查：

2. 0 3 * * * /usr/local/bin/aide-check.sh

复制代码

安全审计和日志管理

有效的安全审计和日志管理对于检测和响应安全事件至关重要。

系统日志配置：

2. # 安装rsyslog（如果未安装）
3. sudo dnf install rsyslog
5. # 启动并启用rsyslog
6. sudo systemctl enable --now rsyslog
8. # 编辑rsyslog配置
9. sudo nano /etc/rsyslog.conf

复制代码

在rsyslog.conf中，可以设置日志记录规则：

2. # 将所有日志发送到远程服务器
3. *.* @remote-log-server:514
5. # 设置特定日志级别
6. *.info;mail.none;authpriv.none;cron.none /var/log/messages
7. authpriv.* /var/log/secure
8. mail.* -/var/log/maillog
9. cron.* /var/log/cron
10. *.emerg :omusrmsg:*
11. uucp,news.crit /var/log/spooler
12. local7.* /var/log/boot.log

复制代码

创建自定义日志规则：

2. sudo nano /etc/rsyslog.d/security.conf

复制代码

添加以下内容：

2. # 记录所有sudo命令
3. authpriv.* /var/log/sudo.log
5. # 记录所有登录尝试
6. auth.* /var/log/auth.log
8. # 记录防火墙活动
9. kern.* /var/log/firewall.log

复制代码

重启rsyslog服务：

2. sudo systemctl restart rsyslog

复制代码

使用auditd进行系统审计：

2. # 安装auditd
3. sudo dnf install audit
5. # 启动并启用auditd
6. sudo systemctl enable --now auditd
8. # 编辑audit规则
9. sudo nano /etc/audit/rules.d/audit.rules

复制代码

添加以下审计规则：

2. # 监控文件访问
3. -w /etc/passwd -p wa -k identity
4. -w /etc/shadow -p wa -k identity
5. -w /etc/group -p wa -k identity
6. -w /etc/sudoers -p wa -k identity
8. # 监控系统调用
9. -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
10. -a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
12. # 监控登录活动
13. -w /var/log/faillog -p wa -k logins
14. -w /var/log/lastlog -p wa -k logins
15. -w /var/log/tallylog -p wa -k logins
17. # 监控网络配置
18. -w /etc/hosts -p wa -k network
19. -w /etc/sysconfig/network -p wa -k network

复制代码

加载审计规则：

2. sudo augenrules --load

复制代码

查看审计日志：

2. # 查看所有审计日志
3. sudo ausearch -i -m ALL
5. # 查看特定类型的审计日志
6. sudo ausearch -i -m LOGIN
8. # 查看特定用户的审计日志
9. sudo ausearch -i -ua username
11. # 生成审计报告
12. sudo aureport -x

复制代码

日志轮转配置：

2. # 编辑logrotate配置
3. sudo nano /etc/logrotate.conf

复制代码

在logrotate.conf中设置全局轮转策略：

2. # 每周轮转一次
3. weekly
5. # 保留4周的日志
6. rotate 4
8. # 创建新的日志文件
9. create
11. # 压缩旧日志
12. compress
14. # 延迟压缩
15. delaycompress
17. # 忽略空日志文件
18. missingok
20. # 不显示错误
21. notifempty

复制代码

为特定服务创建自定义轮转规则：

2. sudo nano /etc/logrotate.d/custom-service

复制代码

添加以下内容：

2. /var/log/custom-service/*.log {
3.     daily
4.     missingok
5.     rotate 30
6.     compress
7.     delaycompress
8.     notifempty
9.     create 644 root root
10.     postrotate
11.         /usr/bin/systemctl reload custom-service.service > /dev/null 2>&1 || true
12.     endscript
13. }

复制代码

测试logrotate配置：

2. sudo logrotate -d /etc/logrotate.conf
3. sudo logrotate -f /etc/logrotate.conf

复制代码

高级安全防护

入侵检测系统配置

入侵检测系统（IDS）是网络安全的重要组成部分，可以帮助检测和防止潜在的入侵活动。

使用OSSEC进行主机入侵检测：

2. # 安装OSSEC
3. sudo dnf install ossec-hids
5. # 初始化OSSEC配置
6. sudo /var/ossec/bin/ossec-control enable
7. sudo /var/ossec/bin/ossec-control start
9. # 编辑OSSEC配置
10. sudo nano /var/ossec/etc/ossec.conf

复制代码

在ossec.conf中配置基本设置：

2. <ossec_config>
3.   <global>
4.     <email_notification>yes</email_notification>
5.     <email_to>admin@example.com</email_to>
6.     <smtp_server>smtp.example.com</smtp_server>
7.     <email_from>ossec@example.com</email_from>
8.   </global>
10.   <rules>
11.     <include>rules_config.xml</include>
12.     <include>pam_rules.xml</include>
13.     <include>sshd_rules.xml</include>
14.     <include>web_rules.xml</include>
15.   </rules>
17.   <syscheck>
18.     <frequency>7200</frequency>
19.     <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
20.     <directories check_all="yes">/bin,/sbin</directories>
21.     <ignore>/etc/mtab</ignore>
22.     <ignore>/etc/hosts.deny</ignore>
23.   </syscheck>
25.   <rootcheck>
26.     <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
27.     <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
28.   </rootcheck>
30.   <localfile>
31.     <log_format>syslog</log_format>
32.     <location>/var/log/messages</location>
33.   </localfile>
35.   <localfile>
36.     <log_format>syslog</log_format>
37.     <location>/var/log/secure</location>
38.   </localfile>
40.   <active-response>
41.     <command>host-deny</command>
42.     <location>local</location>
43.     <rules_id>5716</rules_id>
44.   </active-response>
45. </ossec_config>

复制代码

重启OSSEC服务：

2. sudo /var/ossec/bin/ossec-control restart

复制代码

使用Suricata进行网络入侵检测：

2. # 安装Suricata
3. sudo dnf install suricata
5. # 启动并启用Suricata
6. sudo systemctl enable --now suricata
8. # 下载Emerging Threats规则集
9. sudo suricata-update
11. # 编辑Suricata配置
12. sudo nano /etc/suricata/suricata.yaml

复制代码

在suricata.yaml中配置网络接口和规则：

2. af-packet:
3.   - interface: eth0
4.     cluster-id: 99
5.     cluster-type: cluster_flow
6.     defrag: yes
7.     mmap: yes
9. vars:
10.   address-groups:
11.     HOME_NET: "[192.168.1.0/24]"
12.     EXTERNAL_NET: "!$HOME_NET"
13.   port-groups:
14.     HTTP_PORTS: "80"
15.     SHELLCODE_PORTS: "!80"
16.     SSH_PORTS: 22
18. default-rule-path: /etc/suricata/rules
19. rule-files:
20.   - suricata.rules

复制代码

更新Suricata规则：

2. sudo suricata-update
3. sudo systemctl restart suricata

复制代码

查看Suricata日志：

2. sudo tail -f /var/log/suricata/fast.log

复制代码

安全加固工具使用

Fedora 32提供了多种工具来帮助加固系统安全。

使用Lynis进行系统安全审计：

2. # 安装Lynis
3. sudo dnf install lynis
5. # 运行Lynis审计
6. sudo lynis audit system
8. # 查看审计报告
9. sudo cat /var/log/lynis-report.dat
11. # 查看详细日志
12. sudo cat /var/log/lynis.log

复制代码

使用OpenSCAP进行安全合规性检查：

2. # 安装OpenSCAP
3. sudo dnf install openscap-scanner scap-security-guide
5. # 列出可用的安全配置文件
6. sudo oscap info /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml
8. # 运行系统扫描
9. sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml
11. # 生成HTML报告
12. sudo oscap xccdf generate report arf.xml > report.html

复制代码

使用Tripwire进行文件完整性检查：

2. # 安装Tripwire
3. sudo dnf install tripwire
5. # 初始化Tripwire数据库
6. sudo tripwire --init
8. # 执行完整性检查
9. sudo tripwire --check
11. # 更新数据库
12. sudo tripwire --update

复制代码

配置Tripwire策略：

2. sudo nano /etc/tripwire/twpol.txt

复制代码

在策略文件中定义要监控的文件和目录：

2. (
3.   rulename = "System Boot Changes",
4.   severity = $(SIG_HI)
5. )
6. {
7.   /boot               -> $(SEC_CRIT) ;
8.   /boot/System.map    -> $(SEC_CRIT) ;
9.   /boot/grub/grub.conf -> $(SEC_CRIT) ;
10. }
12. (
13.   rulename = "Root Configuration Files",
14.   severity = $(SIG_HI)
15. )
16. {
17.   /root               -> $(SEC_CRIT) ;
18.   /root/.bashrc       -> $(SEC_CRIT) ;
19.   /root/.bash_profile -> $(SEC_CRIT) ;
20.   /root/.ssh          -> $(SEC_CRIT) ;
21. }

复制代码

更新策略并重新初始化数据库：

2. sudo twadmin -m P /etc/tripwire/twpol.txt
3. sudo tripwire --init

复制代码

加密和隐私保护

加密和隐私保护是确保数据安全的关键措施。

全盘加密：

在安装Fedora 32时选择全盘加密选项，或使用LUKS加密现有分区：

2. # 安装cryptsetup
3. sudo dnf install cryptsetup
5. # 备份数据（重要！）
7. # 加密分区（以/dev/sda3为例）
8. sudo cryptsetup luksFormat /dev/sda3
10. # 打开加密分区
11. sudo cryptsetup open /dev/sda3 luks-12345678-1234-1234-1234-123456789012
13. # 格式化加密分区
14. sudo mkfs.ext4 /dev/mapper/luks-12345678-1234-1234-1234-123456789012
16. # 挂载加密分区
17. sudo mount /dev/mapper/luks-12345678-1234-1234-1234-123456789012 /mnt
19. # 更新/etc/crypttab和/etc/fstab以实现自动挂载
20. echo "luks-12345678-1234-1234-1234-123456789012 UUID=$(sudo blkid -s UUID -o value /dev/sda3) none luks" | sudo tee -a /etc/crypttab
21. echo "/dev/mapper/luks-12345678-1234-1234-1234-123456789012 /mnt ext4 defaults 0 0" | sudo tee -a /etc/fstab

复制代码

使用GnuPG加密文件：

2. # 安装GnuPG
3. sudo dnf install gnupg2
5. # 生成密钥对
6. gpg2 --full-generate-key
8. # 列出密钥
9. gpg2 --list-keys
11. # 加密文件
12. gpg2 -e -r recipient@example.com sensitive_file.txt
14. # 解密文件
15. gpg2 -d sensitive_file.txt.gpg > sensitive_file.txt
17. # 签名文件
18. gpg2 -s sensitive_file.txt
20. # 验证签名
21. gpg2 --verify sensitive_file.txt.sig

复制代码

使用VeraCrypt创建加密容器：

2. # 下载并安装VeraCrypt
3. wget https://launchpad.net/veracrypt/trunk/1.24-update7/+download/veracrypt-1.24-Update7-Fedora-29-x86_64.rpm
4. sudo dnf install ./veracrypt-1.24-Update7-Fedora-29-x86_64.rpm
6. # 创建加密容器
7. veracrypt -t -c
9. # 挂载加密容器
10. veracrypt /path/to/container /mnt/point
12. # 卸载加密容器
13. veracrypt -d /mnt/point

复制代码

使用Tor网络保护隐私：

2. # 安装Tor
3. sudo dnf install tor
5. # 配置Tor
6. sudo nano /etc/tor/torrc

复制代码

在torrc中添加以下配置：

2. SocksPort 9050
3. ControlPort 9051
4. CookieAuthentication 1

复制代码

启动并启用Tor：

2. sudo systemctl enable --now tor

复制代码

配置应用程序使用Tor代理：

2. # 配置curl使用Tor
3. curl --socks5-hostname 127.0.0.1:9050 https://check.torproject.org/
5. # 配置Firefox使用Tor
6. # 在Firefox中设置网络代理为SOCKS5，地址为127.0.0.1，端口为9050

复制代码

使用Firejail沙盒化应用程序：

2. # 安装Firejail
3. sudo dnf install firejail
5. # 沙盒化运行应用程序
6. firejail firefox
8. # 创建自定义沙盒配置
9. nano ~/.config/firejail/firefox.profile

复制代码

在配置文件中添加：

2. private-etc passwd,group,hosts,resolv.conf,firefox,pulse
3. private-tmp
4. seccomp
5. nodvd
6. nosound
7. notv
8. nou2f
9. novideo
10. nowhitelist ${HOME}/.ssh

复制代码

使用自定义配置运行Firefox：

2. firejail --profile=~/.config/firejail/firefox.profile firefox

复制代码

安全合规性检查

确保系统符合安全标准和最佳实践是维护系统安全的重要部分。

使用OpenSCAP进行安全合规性检查：

2. # 安装OpenSCAP和SCAP安全指南
3. sudo dnf install openscap-scanner scap-security-guide
5. # 列出可用的安全配置文件
6. sudo oscap info /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml
8. # 运行标准安全配置文件扫描
9. sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml
11. # 生成HTML报告
12. sudo oscap xccdf generate report arf.xml > report.html
14. # 查看报告
15. firefox report.html

复制代码

使用Lynis进行安全审计：

2. # 安装Lynis
3. sudo dnf install lynis
5. # 运行系统审计
6. sudo lynis audit system
8. # 查看审计报告
9. sudo cat /var/log/lynis-report.dat
11. # 查看详细日志
12. sudo cat /var/log/lynis.log

复制代码

使用Auditd进行持续监控：

2. # 安装auditd
3. sudo dnf install audit
5. # 启动并启用auditd
6. sudo systemctl enable --now auditd
8. # 配置审计规则
9. sudo nano /etc/audit/rules.d/audit.rules

复制代码

添加以下审计规则：

2. # 监控文件访问
3. -w /etc/passwd -p wa -k identity
4. -w /etc/shadow -p wa -k identity
5. -w /etc/group -p wa -k identity
6. -w /etc/sudoers -p wa -k identity
8. # 监控系统调用
9. -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
10. -a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=1000 -F auid!=4294967295 -k perm_mod
12. # 监控登录活动
13. -w /var/log/faillog -p wa -k logins
14. -w /var/log/lastlog -p wa -k logins
15. -w /var/log/tallylog -p wa -k logins

复制代码

加载审计规则：

2. sudo augenrules --load

复制代码

查看审计日志：

2. # 查看所有审计日志
3. sudo ausearch -i -m ALL
5. # 查看特定类型的审计日志
6. sudo ausearch -i -m LOGIN
8. # 查看特定用户的审计日志
9. sudo ausearch -i -ua username
11. # 生成审计报告
12. sudo aureport -x

复制代码

安全最佳实践和建议

定期安全评估

定期安全评估是维护系统安全的关键环节。建议至少每季度进行一次全面的安全评估，包括漏洞扫描、配置审计和渗透测试。

漏洞扫描：

2. # 安装OpenVAS
3. sudo dnf install openvas
5. # 初始化OpenVAS
6. sudo gvm-setup
8. # 启动OpenVAS服务
9. sudo systemctl start gvmd
10. sudo systemctl start gsad
11. sudo systemctl start openvas
13. # 创建扫描任务
14. # 通过Web界面 https://localhost:9392 创建和管理扫描任务

复制代码

配置审计：

2. # 使用Lynis进行配置审计
3. sudo lynis audit system
5. # 使用OpenSCAP进行合规性检查
6. sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results-arf arf.xml /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml

复制代码

安全意识培训

安全意识培训是保护系统安全的重要组成部分。建议定期为系统管理员和用户提供安全意识培训，包括密码管理、社会工程学防范、安全浏览习惯等。

密码管理最佳实践：

1. 使用强密码：至少12个字符，包含大小写字母、数字和特殊字符
2. 定期更改密码：每90天更换一次密码
3. 不要重复使用密码：每个账户使用唯一密码
4. 使用密码管理器：如KeePassXC或Bitwarden

社会工程学防范：

1. 不要点击可疑链接或附件
2. 验证发件人身份
3. 不要在电话或电子邮件中提供敏感信息
4. 报告可疑活动

备份和恢复策略

定期备份是保护数据安全的重要措施。建议实施3-2-1备份策略：3份数据副本，2种不同存储介质，1份异地存储。

备份工具：

2. # 安装BorgBackup
3. sudo dnf install borgbackup
5. # 初始化Borg仓库
6. borg init --encryption=repokey /path/to/backup/repo
8. # 创建备份
9. borg create --stats --progress /path/to/backup/repo::archive-$(date +%Y-%m-%d) /path/to/data
11. # 列出备份
12. borg list /path/to/backup/repo
14. # 恢复备份
15. borg extract /path/to/backup/repo::archive-2020-06-01

复制代码

自动化备份脚本：

2. # 创建备份脚本
3. nano /usr/local/bin/backup.sh

复制代码

添加以下内容：

2. #!/bin/bash
4. # 设置变量
5. BACKUP_REPO="/path/to/backup/repo"
6. DATA_DIR="/path/to/data"
7. LOG_FILE="/var/log/backup.log"
9. # 记录备份开始时间
10. echo "Backup started at $(date)" >> $LOG_FILE
12. # 创建备份
13. borg create --stats --progress $BACKUP_REPO::archive-$(date +%Y-%m-%d) $DATA_DIR >> $LOG_FILE 2>&1
15. # 清理旧备份（保留最近7天的备份）
16. borg prune --keep-daily=7 $BACKUP_REPO >> $LOG_FILE 2>&1
18. # 记录备份结束时间
19. echo "Backup completed at $(date)" >> $LOG_FILE

复制代码

使脚本可执行并添加到cron：

2. sudo chmod +x /usr/local/bin/backup.sh
3. sudo crontab -e

复制代码

添加以下行以每天运行备份：

2. 0 2 * * * /usr/local/bin/backup.sh

复制代码

总结

Fedora 32作为一个功能强大且安全的Linux发行版，提供了丰富的安全特性和工具，帮助用户构建安全可靠的系统环境。本文从基础配置到高级防护，全方位解析了Fedora 32的安全设置，包括系统更新与补丁管理、用户和权限管理、防火墙配置、SELinux设置、服务安全配置、网络安全强化、文件系统安全、安全审计和日志管理、入侵检测系统配置、安全加固工具使用、加密和隐私保护以及安全合规性检查等方面。

通过正确配置这些安全设置，用户可以显著提高Fedora 32系统的安全性，有效防范各种安全威胁。然而，安全是一个持续的过程，需要定期评估、更新和改进。建议用户结合本文提供的最佳实践和建议，根据自身需求和环境特点，制定适合的安全策略，并定期进行安全评估和更新，以确保系统始终保持最佳的安全状态。

最后，记住技术只是安全的一部分，安全意识和培训同样重要。通过提高安全意识，遵循最佳实践，并制定完善的事件响应计划，用户可以构建一个全面的安全防护体系，有效保护Fedora 32系统和数据的安全。

mai2

感謝分享