CentOS香港服务器系统基线检测检查清单

背景

使用CentOS香港服务器时，系统基线检测（指通过预设标准检查系统配置，确保符合安全与稳定要求）如同给服务器做全面体检，能及时识别潜在风险，是保障业务持续运行的基础。以下从六大核心维度整理详细检查清单，助你高效完成检测。

系统基本信息检查

了解系统基础信息是检测的第一步。通过"cat /etc/redhat-release"命令可查看CentOS具体版本（如CentOS Linux release 7.9.2009），不同版本的内核支持与安全补丁存在差异，需确保使用官方维护的稳定版本。执行"uname -a"获取内核信息（如Linux server 3.10.0-1160.el7.x86_64），建议定期通过"yum update kernel"升级至最新稳定内核。

#!/bin/bash
echo "CentOS版本信息："
cat /etc/redhat-release
echo "内核信息："
uname -a

用户账户管理检查

用户账户是服务器安全的第一道防线。执行"cat /etc/passwd"列出所有用户，重点核查UID≥1000的非系统用户（通常为业务账户），删除长期未登录的冗余账户（如测试账号）。使用"id 用户名"查看权限配置，避免普通用户拥有sudo无密码权限（可通过"visudo"修改/etc/sudoers文件限制）。密码策略方面，通过"chage -l 用户名"检查密码过期设置，建议设置最长90天过期，并用"passwd"命令强制复杂度（含大小写字母、数字及特殊符号）。

#!/bin/bash
# 筛选非系统用户并输出
awk -F: '$3 >= 1000 {print "用户："$1" UID："$3}' /etc/passwd
# 示例：禁用testuser账户
# usermod -L testuser

文件和目录权限检查

权限配置不当易导致敏感数据泄露。重点检查/etc（系统配置）、/var/log（日志）、/home（用户目录）等关键路径，使用"ls -ld /路径"查看目录权限，建议/etc目录权限为755（用户读写执行，组和其他用户读执行），重要配置文件（如/etc/shadow）权限应设为600（仅用户读写）。对于/var/www（网站根目录）等业务目录，需根据实际需求调整权限，避免设置为777完全开放。

服务和进程管理检查

冗余服务会消耗资源并增加攻击面。通过"systemctl list-unit-files --type=service"列出所有服务，禁用不必要的服务（如未使用的telnet、rsh），命令为"systemctl disable --now 服务名"。使用"top -b -n 1"或"htop"查看实时进程，重点关注CPU/内存占用超20%的异常进程，通过"ps -ef | grep 进程名"定位归属，无业务关联的进程需及时终止（"kill -9 PID"）。

网络配置检查

网络配置直接影响服务器可用性。执行"ip addr show"查看网卡信息（如eth0的IP地址192.168.1.10），确认与业务需求匹配；"route -n"检查路由表，确保默认网关正确。防火墙方面，使用"firewall-cmd --list-all"查看当前规则，仅开放80（HTTP）、443（HTTPS）等必要端口，命令为"firewall-cmd --add-port=80/tcp --permanent"后重载配置"firewall-cmd --reload"。

日志管理检查

日志是追踪问题的关键依据。定期查看/var/log/messages（系统日志）和/var/log/secure（安全日志），使用"grep 'Failed password' /var/log/secure"检测暴力破解尝试，"grep 'error' /var/log/messages"定位系统错误。同时检查/var/log目录磁盘占用（"df -h /var/log"），建议设置日志轮转（通过logrotate配置），避免单文件过大导致磁盘满。

通过以上六大维度的系统基线检测，可全面掌握CentOS香港服务器的运行状态。建议每周执行一次检测，重要业务节点增加至每日检查，配合自动化脚本提升效率，为业务稳定运行筑牢安全基石。