centos如何配置filesystem安全策略

在CentOS系统中，配置文件系统安全策略通常涉及以下几个方面：

1. 使用SELinux

SELinux（Security-Enhanced Linux）是CentOS默认的安全模块，提供了强制访问控制（MAC）功能。

启用SELinux

1. 检查SELinux状态：

   sestatus 

2. 临时启用SELinux（重启后失效）：

   setenforce 1 

3. 永久启用SELinux： 编辑 /etc/selinux/config 文件，将 SELINUX=enforcing 设置为默认值。

   SELINUX=enforcing 

4. 重启系统以应用更改。

配置SELinux策略

1. 查看当前SELinux策略：

   getenforce 

2. 修改SELinux策略：

   • 使用 audit2allow 工具生成自定义策略模块。
   • 编辑 /etc/selinux/config 文件，调整 SELINUXTYPE 参数（如 targeted 或 mls）。

2. 使用文件系统权限

确保文件和目录的权限设置正确，以防止未经授权的访问。

常用命令

• 查看权限：

  ls -l /path/to/directory 

• 修改权限：

  chmod 755 /path/to/directory 

• 修改所有者：

  chown user:group /path/to/directory 

3. 使用文件系统加密

对于敏感数据，可以使用LUKS（Linux Unified Key Setup）进行磁盘加密。

安装和配置LUKS

1. 安装cryptsetup：

   yum install cryptsetup 

2. 加密磁盘：

   cryptsetup luksFormat /dev/sdX 

3. 打开加密卷：

   cryptsetup luksOpen /dev/sdX my_encrypted_volume 

4. 格式化并挂载加密卷：

   mkfs.ext4 /dev/mapper/my_encrypted_volume mount /dev/mapper/my_encrypted_volume /mnt/encrypted 

5. 自动挂载加密卷： 编辑 /etc/crypttab 和 /etc/fstab 文件。

4. 使用防火墙

配置防火墙（如firewalld）以限制对系统的访问。

启用和配置firewalld

1. 安装firewalld：

   yum install firewalld 

2. 启动firewalld：

   systemctl start firewalld 

3. 启用firewalld服务：

   systemctl enable firewalld 

4. 配置防火墙规则：

   firewall-cmd --permanent --add-service=http firewall-cmd --reload 

5. 定期审计和监控

使用工具如 auditd 进行系统审计，监控文件系统的变化。

安装和配置auditd

1. 安装auditd：

   yum install audit 

2. 启动auditd服务：

   systemctl start auditd systemctl enable auditd 

3. 配置审计规则： 编辑 /etc/audit/audit.rules 文件，添加所需的审计规则。

通过以上步骤，你可以有效地配置CentOS系统的文件系统安全策略，确保系统的安全性和数据的保密性。