在当今网络环境中,服务器安全至关重要。RockyLinux作为一款稳定、开源的企业级Linux发行版,被广泛用于生产环境。然而,若未进行适当的安全加固,系统可能面临被入侵、数据泄露等风险。本教程将手把手教你如何对RockyLinux服务器进行基础但关键的安全加固,即使是刚接触Linux的小白也能轻松上手。
一、更新系统与软件包
保持系统和软件为最新版本是安全的第一步,因为更新通常包含重要的安全补丁。
# 更新所有已安装的软件包sudo dnf update -y# 清理缓存(可选)sudo dnf clean all
二、创建非root用户并禁用root远程登录
直接使用root账户远程登录存在高风险。建议创建普通用户,并通过sudo提权执行管理命令。
# 创建新用户(例如:secureuser)sudo adduser secureuser# 设置密码sudo passwd secureuser# 将用户加入wheel组(启用sudo权限)sudo usermod -aG wheel secureuser
接着,编辑SSH配置文件以禁用root远程登录:
sudo vi /etc/ssh/sshd_config
找到以下行并修改为:
PermitRootLogin no
保存后重启SSH服务:
sudo systemctl restart sshd
三、配置防火墙(firewalld)
RockyLinux默认使用firewalld作为防火墙工具。只开放必要的端口(如SSH的22端口、Web服务的80/443等)。
# 启动并设置开机自启sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许SSH(端口22)sudo firewall-cmd --permanent --add-service=ssh# 如果运行Web服务,再添加HTTP/HTTPSsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload
四、安装并配置Fail2ban防止暴力破解
Fail2ban可以自动封禁多次尝试失败的IP地址,有效抵御SSH暴力破解攻击。
# 安装Fail2bansudo dnf install fail2ban -y# 启动并设置开机自启sudo systemctl enable --now fail2ban
创建本地配置文件以避免覆盖默认设置:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑 jail.local,确保SSH防护启用(通常默认已启用):
[sshd]enabled = truemaxretry = 3bantime = 600 # 封禁10分钟
重启Fail2ban使配置生效:
sudo systemctl restart fail2ban
五、定期审计与监控
安全不是一次性任务。建议定期检查日志(如 /var/log/secure)、审查用户账户、监控异常进程。你也可以使用工具如 auditd 或 lynis 进行系统安全审计。
结语
通过以上步骤,你的RockyLinux服务器已经具备了基础但有效的安全防护能力。记住,RockyLinux安全加固 是一个持续过程,结合Linux服务器安全的最佳实践,配合RockyLinux服务配置的精细化管理,才能构建真正可靠的系统环境。希望本篇系统安全最佳实践指南能为你打下坚实的安全基础!
来源:
https://www.vpshk.cn/
