一、等保测评与CentOS系统的基础认知

等保测评（网络安全等级保护测评）是我国信息安全领域的重要制度，旨在通过标准化流程评估信息系统安全防护能力。对于运行在CentOS上的业务系统，测评需覆盖物理安全、网络安全、主机安全、应用安全及数据安全五大层面。CentOS作为企业级Linux发行版，其开源特性与稳定性使其成为服务器部署的首选，但等保测评中需重点关注其安全配置是否符合三级或四级等保要求。

1.1 等保测评的核心流程

等保测评分为定级、备案、建设整改、等级测评、监督检查五个阶段。针对CentOS系统，测评机构会重点检查其身份鉴别、访问控制、入侵防范、数据完整性等控制点。例如，CentOS的SSH服务配置、防火墙规则、SELinux策略等均是测评的关键项。

1.2 CentOS在等保中的角色定位

CentOS系统通常承载Web服务、数据库、中间件等核心业务，其安全配置直接影响整体等保评分。测评中需验证系统是否满足“最小化安装”“服务禁用”“权限分离”等基本原则，避免因默认配置漏洞导致测评不通过。

二、CentOS系统等保测评的关键查询项

2.1 账户与权限查询

2.1.1 用户账户列表查询

通过cat /etc/passwd可查看系统所有用户账户，需检查是否存在异常账户（如UID为0的非root账户）。测评中要求禁用或删除无用账户，例如：

# 删除测试账户testuser
userdel -r testuser

2.1.2 用户组权限查询

使用cat /etc/group检查用户组分配是否合理，避免敏感目录（如/etc、/var）被非授权组访问。例如，Web服务用户（如nginx）不应属于sudo组。

2.1.3 密码策略查询

通过cat /etc/login.defs和cat /etc/pam.d/system-auth验证密码复杂度、有效期等策略是否符合等保要求（如密码长度≥8位，包含大小写字母、数字及特殊字符）。

2.2 网络服务与端口查询

2.2.1 开放端口扫描

使用netstat -tulnp或ss -tulnp查询当前开放端口，需关闭非必要端口（如21、23、139等高危端口）。例如，禁用Telnet服务：

# 停止并禁用telnet服务
systemctl stop telnet.socket
systemctl disable telnet.socket

2.2.2 防火墙规则查询

CentOS 7+默认使用firewalld，通过firewall-cmd --list-all查看规则，确保仅允许业务必需端口（如80、443、22）。例如，放行HTTPS端口：

firewall-cmd --permanent --add-port=443/tcp
firewall-cmd --reload

2.3 日志与审计查询

2.3.1 系统日志配置

检查/etc/rsyslog.conf和/etc/audit/auditd.conf，确保日志记录完整且存储周期符合等保要求（如≥6个月）。例如，配置审计规则记录所有用户登录事件：

# 添加审计规则
auditctl -w /var/log/secure -p wa -k login_events

2.3.2 日志文件权限

通过ls -l /var/log/验证日志文件权限是否为600或640，避免日志被篡改。例如，修改secure日志权限：

chmod 600 /var/log/secure

三、CentOS系统等保加固的实操建议

3.1 系统更新与补丁管理

定期执行yum update -y安装安全补丁，重点关注内核、OpenSSL、SSH等组件的更新。例如，修复CVE-2023-XXXX漏洞：

yum install --enablerepo=updates openssl-1.0.2k-25.el7

3.2 SELinux策略优化

启用SELinux并配置为强制模式（setenforce 1），通过semanage命令细化文件上下文。例如，为Web目录设置正确的SELinux类型：

semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
restorecon -Rv /var/www/html

3.3 入侵防范配置

3.3.1 限制SSH登录

修改/etc/ssh/sshd_config，禁用root远程登录、设置最大认证尝试次数：

PermitRootLogin no
MaxAuthTries 3

3.3.2 安装入侵检测工具

部署AIDE或Tripwire进行文件完整性检查，例如初始化AIDE数据库：

aide --init
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

四、等保测评中的常见问题与解决方案

4.1 问题：SSH弱密码导致测评扣分

解决方案：强制使用密钥认证，禁用密码登录。修改/etc/ssh/sshd_config：

PasswordAuthentication no
ChallengeResponseAuthentication no

4.2 问题：未配置日志轮转导致磁盘满

解决方案：编辑/etc/logrotate.conf，设置日志按大小或时间轮转。例如，对Nginx日志配置：

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 nginx adm
    sharedscripts
    postrotate
        [ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
    endscript
}

4.3 问题：未禁用IPv6导致网络攻击面扩大

解决方案：若业务无需IPv6，可在内核参数中禁用：

echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
sysctl -p

五、总结与展望

CentOS系统的等保测评需覆盖账户安全、网络防护、日志审计等核心领域，通过自动化工具（如Ansible）可实现批量加固。未来，随着等保2.0对云计算、大数据的新要求，CentOS的容器化部署（如Podman）和零信任架构集成将成为测评重点。企业应建立持续监控机制，定期执行lynis audit system等安全扫描，确保系统长期符合等保标准。

通过本文的查询方法与加固建议，开发者可系统性提升CentOS系统的等保合规性，降低业务风险。实际测评中，建议结合具体等保级别（三级/四级）调整配置策略，并参考《网络安全等级保护基本要求》（GB/T 22239-2019）细化实施。