CentOS合规性配置指南（手把手教你满足CentOS安全加固与等保要求）

一、什么是CentOS合规性要求？

CentOS合规性要求是指根据国家法律法规（如《网络安全法》）、行业标准（如等保2.0）或企业内部安全策略，对 CentOS 操作系统进行的一系列安全配置和审计措施。其核心目标是：防止未授权访问、保障数据完整性、提升系统抗攻击能力。

常见的合规项包括：

• 禁用不必要的服务和端口
• 设置强密码策略
• 启用日志审计
• 限制 root 登录
• 定期更新系统补丁

二、准备工作

在开始前，请确保你有以下条件：

• 一台运行 CentOS 7 或 CentOS 8 的服务器（本文以 CentOS 7 为例）
• 具有 sudo 权限的用户账户
• 网络连接正常，可访问 yum 源

三、CentOS合规性配置步骤（小白也能操作）

1. 更新系统并安装必要工具

首先，确保系统是最新的，并安装安全审计工具：

sudo yum update -ysudo yum install -y openscap-scanner scap-security-guide

其中，openscap-scanner 是用于执行合规性扫描的工具，scap-security-guide 包含了官方提供的安全策略（如等保、CIS 基准等）。

2. 执行合规性扫描（以等保2.0为例）

CentOS 官方提供了针对不同标准的合规配置文件。我们可以使用以下命令查看支持的策略：

oscap info /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

要执行一次等保2.0（GB/T 22239-2019）的合规检查，可运行：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_annotated \  --report /tmp/centos7-compliance-report.html \  /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

扫描完成后，报告将保存在 /tmp/centos7-compliance-report.html，你可以用浏览器打开查看详细结果。

3. 自动修复部分不合规项

OpenSCAP 还支持自动修复部分配置问题（注意：建议先备份系统）：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_annotated \  --remediate \  /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

此命令会尝试自动修正如密码复杂度、SSH 配置等问题。

4. 手动加固关键配置

有些项目需手动调整，以下是几个关键点：

① 禁用 root 远程登录

sudo sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_configsudo systemctl restart sshd

② 设置密码策略（使用 pam_pwquality）

sudo sed -i '/^password.*pam_pwquality.so/s/.*/password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1/' /etc/pam.d/system-auth

上述配置要求密码至少8位，包含大小写字母、数字和特殊字符。

③ 启用 auditd 审计服务

sudo yum install -y auditsudo systemctl enable --now auditd

四、定期检查与维护

合规不是一次性工作。建议：

• 每月执行一次 OpenSCAP 扫描
• 及时应用安全补丁（yum update -y）
• 保留日志至少6个月，满足等保审计要求

五、总结

通过本文，你已经掌握了如何在 CentOS 系统上实施基本的CentOS安全加固和CentOS系统合规检查。无论是为了满足CentOS等保要求，还是提升整体安全水位，这些操作都是必不可少的。

记住：合规不是目的，而是保障业务安全运行的手段。坚持定期检查、持续优化，才能构建真正可信的 IT 基础设施。

如果你觉得这篇文章对你有帮助，欢迎收藏并分享给更多需要的同事！