如何用一键脚本全面检查CentOS服务器安全？

在服务器运维领域，CentOS凭借其稳定性和与Red Hat Enterprise Linux（RHEL）的兼容性，占据了举足轻重的地位，任何操作系统都并非天生安全，其安全性在很大程度上取决于配置的严谨性和持续的监控，手动进行安全检查不仅耗时耗力，而且容易遗漏关键项，一个功能全面、自动化的CentOS安全检查脚本，成为了系统管理员不可或缺的利器，它能够快速、系统地对服务器进行“体检”，发现潜在的安全风险,为后续的加固工作提供明确指引。

安全检查脚本的核心功能模块

一个设计良好的安全检查脚本，通常会覆盖以下几个核心领域,对系统进行全方位的评估。

系统基础信息核查
这是安全评估的起点，脚本会首先收集系统的基础信息，建立评估基线,这包括：

• 操作系统版本与内核版本：确认是否存在已知的、特定于版本的漏洞。
• 系统启动时间与运行时长：异常的重启可能意味着系统被入侵或存在稳定性问题。
• 当前登录用户：识别是否有未授权的会话存在。

用户与权限安全审计
用户身份是安全的第一道防线,此模块重点关注：

• 空口令用户：检查 /etc/shadow 文件,识别是否存在没有设置密码的账户。
• 特权用户（UID为0）：除了root用户，列出所有UID为0的账户，这些账户拥有与root同等的权限,是攻击者的主要目标。
• sudoers文件配置：分析 /etc/sudoers 文件，检查是否存在过于宽松的授权策略,例如允许普通用户无密码执行所有命令。

网络端口与服务监听
开放的端口是系统对外提供服务的窗口，也是潜在的攻击入口,脚本会：

• 列出所有正在监听的TCP和UDP端口。
• 识别出与端口关联的服务进程。
• 对比常见的高危端口列表,发出警告。

下表展示了部分常见网络服务及其默认端口,脚本会重点检查这些服务的暴露情况。

服务名称	默认端口	潜在风险
SSH	22/TCP	暴力破解、漏洞利用
Telnet	23/TCP	明文传输，极不安全
FTP	21/TCP	匿名登录、明文传输
Rsync	873/TCP	未授权访问、信息泄露
MySQL	3306/TCP	弱口令、未授权访问
Redis	6379/TCP	未授权访问、远程代码执行

文件系统权限检查
不当的文件权限可能导致信息泄露或权限提升,脚本会检查：

• 关键系统文件权限：如 /etc/passwd, /etc/shadow, /etc/group 等，确保其权限符合安全基线（/etc/shadow 应为600或更严格）。
• 查找SUID/SGID文件：扫描整个文件系统，找出设置了SUID或SGID位的可执行文件，这些文件在执行时可能会赋予普通用户临时的特权,是权限提升的常见途径。
• 全局可写目录/文件：查找系统中所有用户都可写的目录和文件,这可能导致任意文件写入或覆盖。

系统更新与补丁管理
一个未及时更新的系统是“行走的漏洞库”，脚本会执行 yum check-update 命令，检查是否有可用的安全更新或程序包更新,并提示管理员及时进行系统升级。

防火墙状态核查
防火墙是网络安全的第一道屏障，脚本会检查 firewalld 或 iptables 服务的运行状态，并输出当前的规则集,确认是否存在不必要的放行策略。

脚本核心逻辑示例

为了让读者更直观地理解，以下是一个简化的脚本片段,展示了如何检查空口令用户和开放端口。

#!/bin/bash
# 定义颜色输出，便于区分结果
GREEN=" 33[32m[OK] 33[0m"
RED=" 33[31m[WARNING] 33[0m"
YELLOW=" 33[33m[INFO] 33[0m"
echo -e "${YELLOW}--- 开始检查空口令用户 ---${NC}"
# 检查 /etc/shadow 中密码字段为空的用户
empty_password_users=$(awk -F: '($2 == "" ) { print $1 }' /etc/shadow)
if [ -z "$empty_password_users" ]; then
    echo -e "${GREEN} 未发现空口令用户。${NC}"
else
    echo -e "${RED} 发现以下空口令用户: $empty_password_users${NC}"
fi
echo -e "n${YELLOW}--- 开始检查监听中的高危端口 ---${NC}"
# 检查是否监听了Telnet端口 (23)
telnet_port=$(ss -tuln | grep ':23 ')
if [ -z "$telnet_port" ]; then
    echo -e "${GREEN} 未检测到Telnet服务(端口23)在监听。${NC}"
else
    echo -e "${RED} 检测到Telnet服务正在监听，存在极高风险！${NC}"
fi

如何使用与深化应用

使用这类脚本通常非常简单：

1. 获取脚本：将脚本内容保存为文件，centos_security_check.sh。
2. 赋予执行权限：chmod +x centos_security_check.sh。
3. 执行检查：./centos_security_check.sh。
4. 分析报告：脚本会直接在终端输出结果，通常会用颜色或标签（如[OK], [WARNING]）来标识风险等级,管理员应根据报告逐一排查并修复问题。

为了最大化脚本的价值,建议将其与日常工作流结合：

• 定期执行：通过 cron 任务设置每日或每周自动执行,并将结果通过邮件发送给管理员。
• 持续定制：根据业务需求，增加特定的检查项,例如检查某个应用配置文件的安全性。
• 结合专业工具：将脚本作为初步筛查工具，对于复杂环境，可以结合Lynis、OpenSCAP等专业安全扫描工具进行深度评估。

相关问答 (FAQs)

问1：运行了安全检查脚本并修复了所有发现的问题，是否意味着我的服务器就100%安全了？
答： 不是的，安全检查脚本是保障服务器安全的重要工具，但它不能提供100%的安全保证，它主要帮助发现已知的、常见的配置错误和漏洞，真正的安全是一个持续的过程，还需要结合最小权限原则、应用层安全、入侵检测系统（IDS）、定期的安全审计和应急响应计划等多层防御策略，脚本是“体检”，而不是“免疫疫苗”。

问2：我该如何根据自己服务器的特定应用来定制这个安全检查脚本？
答： 定制脚本的关键在于识别你特定应用的风险点，你需要了解该应用的关键配置文件、日志文件、运行端口和进程名，你可以在脚本中添加新的检查函数，如果你的服务器运行了Nginx，你可以添加一个函数来检查 nginx.conf 文件中是否隐藏了版本号，或者检查worker进程是否以非root用户运行，通过 grep, awk, ps 等命令组合，你可以轻松地实现对特定应用状态的检查,并将其结果整合到脚本的最终报告中。