CentOS部署合规性检查（手把手教你实现Linux系统安全合规配置）

一、什么是合规性检查？

合规性检查是指对系统配置、权限设置、日志记录等方面进行审核，以确保其符合行业标准（如等保2.0、ISO 27001、CIS基准等）。在CentOS中，这通常包括关闭不必要的服务、强化密码策略、启用审计日志等操作。

二、准备工作

在开始之前，请确保你拥有以下条件：

• 一台已安装CentOS 7或8的服务器（建议使用最小化安装）
• 具备root或sudo权限
• 网络连接正常，便于安装工具

三、使用OpenSCAP进行自动化合规扫描

OpenSCAP 是一个开源的安全合规评估工具，支持CIS、NIST等标准。我们以CentOS 7为例，演示如何安装并运行合规性检查。

1. 安装OpenSCAP及相关内容包

sudo yum install -y openscap-scanner scap-security-guide

2. 查看可用的安全策略配置文件

执行以下命令查看CentOS支持的合规基线：

oscap info /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

你会看到多个Profile，例如：

• xccdf_org.ssgproject.content_profile_cis（CIS基准）
• xccdf_org.ssgproject.content_profile_ospp（OSPP安全配置）

3. 执行合规性扫描

以CIS基准为例，运行以下命令生成HTML格式的报告：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --report /tmp/centos7-cis-report.html \  /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

扫描完成后，打开 /tmp/centos7-cis-report.html 即可查看详细的合规性结果，包括通过项、失败项及修复建议。

四、手动加固常见安全配置

除了自动化工具，你也可以手动检查和加固系统。以下是几个关键点：

1. 密码复杂度策略

编辑PAM配置文件，强制密码包含大小写字母、数字和特殊字符：

sudo vi /etc/pam.d/system-auth# 在 password requisite pam_pwquality.so 行后添加：password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= \  minlen=12 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

2. 禁用root远程登录

修改SSH配置，提升安全性：

sudo vi /etc/ssh/sshd_config# 修改以下行：PermitRootLogin no# 重启SSH服务sudo systemctl restart sshd

3. 启用审计日志（auditd）

sudo yum install -y auditsudo systemctl enable --now auditd

五、定期执行与持续监控

合规不是一次性任务。建议将OpenSCAP扫描加入定时任务（cron），例如每周执行一次：

# 编辑crontabsudo crontab -e# 添加以下行（每周日凌晨2点执行）0 2 * * 0 /usr/bin/oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis --results /var/log/openscap/$(date +\%Y\%m\%d)-cis-results.xml /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

六、总结

通过本教程，你已经掌握了如何在CentOS系统中实施Linux系统安全配置和合规性审计工具的使用方法。无论是通过OpenSCAP自动化扫描，还是手动加固关键安全项，都能有效提升系统的安全等级，满足CentOS安全加固的基本要求。

记住：安全是一个持续的过程。定期检查、及时修复、保持更新，才能构建真正可靠的服务器环境。