CentOS系统默认的部分配置存在被恶意代码利用自动执行的风险,通过调整系统参数、限制不必要权限、管控自动运行入口,可以大幅降低这类安全威胁的发生概率。

限制可执行文件的权限范围
恶意代码通常需要执行权限才能运行,首先需要对系统关键目录和文件设置合理的权限,避免普通用户随意执行可疑程序。
第一步是修改系统关键目录的权限,禁止普通用户写入和执行非必要文件:
# 限制/bin、/sbin、/usr/bin、/usr/sbin目录的权限,仅root可写 chmod 755 /bin /sbin /usr/bin /usr/sbin # 检查/home目录下用户目录的权限,避免其他用户可访问 chmod 700 /home/*
第二步是启用文件的不可修改属性,对核心系统文件添加chattr的i属性,防止被恶意替换:
# 对常用系统命令添加不可修改属性 chattr +i /bin/ls /bin/ps /bin/netstat /usr/bin/top # 查看文件属性确认设置生效 lsattr /bin/ls
管控定时任务与自动启动服务
定时任务和开机自启服务是恶意代码常用的自动执行入口,需要严格限制这类功能的配置权限。
限制定时任务配置权限
仅允许root用户配置定时任务,普通用户无法添加crontab任务:
# 禁止普通用户使用crontab echo "ALL:ALL" >> /etc/cron.deny # 检查cron服务状态,确保仅必要任务运行 systemctl status crond # 列出当前所有定时任务,排查可疑任务 crontab -l -u root cat /etc/crontab ls /etc/cron.d/
精简开机自启服务
关闭不必要的系统服务,减少恶意代码可利用的自启入口:
# 列出所有开机自启服务 systemctl list-unit-files --type=service --state=enabled # 关闭不必要的服务,比如telnet、rsh等不安全服务 systemctl disable telnet.socket systemctl disable rsh.socket # 禁止普通用户配置systemd自启服务 chmod 700 /etc/systemd/system
配置SELinux增强访问控制
SELinux是CentOS自带的安全增强模块,通过强制访问控制可以限制恶意代码的执行行为。
首先确保SELinux处于强制模式:
# 查看SELinux状态 getenforce # 若为permissive或disabled,修改为强制模式,需要重启生效 sed -i 's/SELINUX=.*/SELINUX=enforcing/g' /etc/selinux/config reboot
其次配置SELinux策略,限制未授权程序的执行权限:
# 禁止在/tmp、/var/tmp目录执行程序 semanage fcontext -a -t tmp_t "/tmp(/.*)?" semanage fcontext -a -t tmp_t "/var/tmp(/.*)?" restorecon -Rv /tmp /var/tmp # 查看当前SELinux策略规则 seinfo -t | grep exec
限制脚本自动执行能力
恶意代码常通过Shell脚本、Python脚本等自动执行,需要限制脚本解释器的执行权限。
可以修改脚本解释器的权限,仅允许指定用户使用:
# 限制bash、python、perl等解释器的执行权限 chmod 750 /bin/bash /usr/bin/python3 /usr/bin/perl # 将允许使用解释器的用户加入root组 usermod -aG root 合法用户名 # 禁止在/tmp目录执行脚本 chmod 700 /tmp
监控可疑执行行为
除了前置配置,还需要配置日志监控,及时发现恶意代码的自动执行尝试。
可以使用auditd服务监控可执行文件的调用行为:
# 安装并启动auditd服务 yum install audit -y systemctl enable auditd systemctl start auditd # 添加规则监控/tmp目录下的文件执行 auditctl -w /tmp -p x -k tmp_exec # 查看审计日志中的执行记录 ausearch -k tmp_exec
完成以上配置后,CentOS系统的恶意代码自动执行路径会被大幅压缩,同时建议定期更新系统补丁,保持安全配置的长期有效性。