如何设置CentOS系统以防止恶意代码的自动执行

来源:站长查询作者:缓存小熊猫头衔:程序员
导读:本期聚焦于小伙伴创作的《如何设置CentOS系统以防止恶意代码的自动执行》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何设置CentOS系统以防止恶意代码的自动执行》有用,将其分享出去将是对创作者最好的鼓励。

CentOS系统默认的部分配置存在被恶意代码利用自动执行的风险,通过调整系统参数、限制不必要权限、管控自动运行入口,可以大幅降低这类安全威胁的发生概率。

如何设置CentOS系统以防止恶意代码的自动执行

限制可执行文件的权限范围

恶意代码通常需要执行权限才能运行,首先需要对系统关键目录和文件设置合理的权限,避免普通用户随意执行可疑程序。

第一步是修改系统关键目录的权限,禁止普通用户写入和执行非必要文件:

# 限制/bin、/sbin、/usr/bin、/usr/sbin目录的权限,仅root可写
chmod 755 /bin /sbin /usr/bin /usr/sbin
# 检查/home目录下用户目录的权限,避免其他用户可访问
chmod 700 /home/*

第二步是启用文件的不可修改属性,对核心系统文件添加chattr的i属性,防止被恶意替换:

# 对常用系统命令添加不可修改属性
chattr +i /bin/ls /bin/ps /bin/netstat /usr/bin/top
# 查看文件属性确认设置生效
lsattr /bin/ls

管控定时任务与自动启动服务

定时任务和开机自启服务是恶意代码常用的自动执行入口,需要严格限制这类功能的配置权限。

限制定时任务配置权限

仅允许root用户配置定时任务,普通用户无法添加crontab任务:

# 禁止普通用户使用crontab
echo "ALL:ALL" >> /etc/cron.deny
# 检查cron服务状态,确保仅必要任务运行
systemctl status crond
# 列出当前所有定时任务,排查可疑任务
crontab -l -u root
cat /etc/crontab
ls /etc/cron.d/

精简开机自启服务

关闭不必要的系统服务,减少恶意代码可利用的自启入口:

# 列出所有开机自启服务
systemctl list-unit-files --type=service --state=enabled
# 关闭不必要的服务,比如telnet、rsh等不安全服务
systemctl disable telnet.socket
systemctl disable rsh.socket
# 禁止普通用户配置systemd自启服务
chmod 700 /etc/systemd/system

配置SELinux增强访问控制

SELinux是CentOS自带的安全增强模块,通过强制访问控制可以限制恶意代码的执行行为。

首先确保SELinux处于强制模式:

# 查看SELinux状态
getenforce
# 若为permissive或disabled,修改为强制模式,需要重启生效
sed -i 's/SELINUX=.*/SELINUX=enforcing/g' /etc/selinux/config
reboot

其次配置SELinux策略,限制未授权程序的执行权限:

# 禁止在/tmp、/var/tmp目录执行程序
semanage fcontext -a -t tmp_t "/tmp(/.*)?"
semanage fcontext -a -t tmp_t "/var/tmp(/.*)?"
restorecon -Rv /tmp /var/tmp
# 查看当前SELinux策略规则
seinfo -t | grep exec

限制脚本自动执行能力

恶意代码常通过Shell脚本、Python脚本等自动执行,需要限制脚本解释器的执行权限。

可以修改脚本解释器的权限,仅允许指定用户使用:

# 限制bash、python、perl等解释器的执行权限
chmod 750 /bin/bash /usr/bin/python3 /usr/bin/perl
# 将允许使用解释器的用户加入root组
usermod -aG root 合法用户名
# 禁止在/tmp目录执行脚本
chmod 700 /tmp

监控可疑执行行为

除了前置配置,还需要配置日志监控,及时发现恶意代码的自动执行尝试。

可以使用auditd服务监控可执行文件的调用行为:

# 安装并启动auditd服务
yum install audit -y
systemctl enable auditd
systemctl start auditd
# 添加规则监控/tmp目录下的文件执行
auditctl -w /tmp -p x -k tmp_exec
# 查看审计日志中的执行记录
ausearch -k tmp_exec

完成以上配置后,CentOS系统的恶意代码自动执行路径会被大幅压缩,同时建议定期更新系统补丁,保持安全配置的长期有效性。

CentOS恶意代码防护系统安全配置自动执行拦截修改时间:2026-06-13 11:30:29

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。