一、CentOS系统等保测评的核心价值与适用场景

等保测评（网络安全等级保护测评）是依据《网络安全法》和《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）对信息系统安全防护能力的合规性验证。对于运行在CentOS上的业务系统（如Web服务、数据库、中间件等），等保测评需覆盖操作系统层的安全配置、权限管理、日志审计等关键环节。

适用场景：

1. 金融、政务、医疗等关键行业的信息系统；
2. 存储或处理敏感数据（如个人身份信息、商业机密）的服务器；
3. 需满足等保2.0三级或四级要求的业务环境。

CentOS作为开源Linux发行版，其安全配置的合规性直接影响整体测评结果。企业需通过系统化的查询与核查，确保操作系统层满足等保要求。

二、CentOS等保测评查询方法与工具

1. 系统版本与补丁查询

命令示例：

# 查询CentOS版本
cat /etc/centos-release
# 查询已安装补丁
rpm -qa | grep kernel
yum list installed | grep security

等保要求：

• 操作系统版本需在官方支持周期内（如CentOS 7需在EOL前升级）；
• 关键安全补丁（如内核漏洞、OpenSSH漏洞）需及时修复。

2. 用户与权限管理查询

命令示例：

# 查询特权用户（UID=0）
awk -F: '($3 == 0) {print $1}' /etc/passwd
# 查询sudo权限配置
cat /etc/sudoers | grep -v "^#" | grep -v "^$"
# 查询无效用户
awk -F: '($3 >= 1000 && $3 < 60000) {print $1}' /etc/passwd | xargs -I {} id {} 2>/dev/null | grep -v "uid="

等保要求：

• 禁用默认超级用户（root）直接登录，通过sudo分配权限；
• 删除或禁用无效账户（如离职人员账户）；
• 最小化权限分配，避免“一人多权”。

3. 服务与端口查询

命令示例：

# 查询运行中的服务
systemctl list-units --type=service --state=running
# 查询监听端口
netstat -tulnp | grep LISTEN
ss -tulnp | grep LISTEN
# 查询非必要服务
chkconfig --list | grep "3:on" | grep -v "sshd\|network\|rsyslog"

等保要求：

• 关闭非必要服务（如telnet、ftp）；
• 限制高危端口（如22、3389）的访问源IP；
• 使用防火墙（iptables/firewalld）实现端口级访问控制。

4. 日志与审计查询

命令示例：

# 查询审计日志配置
cat /etc/audit/auditd.conf | grep -E "log_file|max_log_file_action"
# 查询关键命令执行记录
ausearch -c "passwd" --raw | audit2allow -M my-policy
# 查询系统登录日志
last | grep -v "reboot" | head -20

等保要求：

• 启用系统审计（auditd），记录用户登录、权限变更等事件；
• 审计日志保留时间≥6个月；
• 定期分析日志，识别异常行为（如频繁失败登录）。

三、CentOS等保测评常见问题与优化建议

1. 密码策略不合规

问题：

• 密码复杂度不足（如长度<8位、未包含特殊字符）；
• 密码过期时间过长（>90天）。

优化命令：

# 修改密码复杂度策略（需安装libpam-pwquality）
echo "password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1" >> /etc/pam.d/system-auth
# 设置密码过期时间
sed -i 's/^PASS_MAX_DAYS.*/PASS_MAX_DAYS   90/' /etc/login.defs
chage -M 90 root  # 对root用户生效

2. SSH安全配置缺失

问题：

• 允许root直接登录；
• 未禁用密码认证，仅使用密钥认证。

优化配置：

# 修改/etc/ssh/sshd_config
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart sshd

3. 防火墙规则不完善

问题：

• 默认允许所有入站流量；
• 未限制出站流量（如防止数据泄露）。

优化命令：

# 使用firewalld配置（CentOS 7+）
firewall-cmd --permanent --add-service=ssh --add-source=192.168.1.0/24
firewall-cmd --permanent --remove-service=dhcpv6-client
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/8" reject'
firewall-cmd --reload

四、等保测评查询的自动化工具推荐

1. OpenSCAP：
   基于SCAP（安全内容自动化协议）的合规扫描工具，支持CentOS的等保2.0基准策略。

   yum install openscap-scanner scap-security-guide
   oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig_rhel7 /usr/share/xml/scap/ssg/content/ssg-centos7-ds.xml

2. Lynis：
   轻量级系统安全审计工具，可检测密码策略、文件权限等配置问题。

   yum install epel-release
   yum install lynis
   lynis audit system

3. 自定义脚本：
   结合等保要求编写Shell脚本，实现自动化查询与报告生成（示例见附录）。

五、总结与行动建议

CentOS等保测评需覆盖系统版本、用户权限、服务端口、日志审计等核心维度。企业可通过以下步骤提升合规性：

1. 预评估：使用OpenSCAP或Lynis进行初步扫描，识别高风险项；
2. 硬配置：按本文优化建议修复密码策略、SSH、防火墙等配置；
3. 持续监控：部署日志分析工具（如ELK），实时检测异常行为；
4. 定期复测：每年至少开展一次等保测评，确保持续合规。

附录：CentOS等保自查脚本示例

#!/bin/bash
# 检查CentOS版本
echo "=== CentOS版本检查 ==="
cat /etc/centos-release
# 检查SSH配置
echo "=== SSH配置检查 ==="
grep -E "PermitRootLogin|PasswordAuthentication" /etc/ssh/sshd_config
# 检查防火墙规则
echo "=== 防火墙规则检查 ==="
firewall-cmd --list-all 2>/dev/null || iptables -L -n

通过系统化的查询与优化，企业可高效通过等保测评，同时提升系统整体安全性。