在当今网络环境中,服务器安全至关重要。RockyLinux作为一款稳定、免费且与RHEL高度兼容的企业级操作系统,被广泛应用于生产环境。然而,刚安装完成的系统往往存在安全隐患,因此进行RockyLinux安全加固是每个运维人员或系统管理员必须掌握的基本技能。
一、更新系统并安装必要工具
首先,确保系统是最新的,以修复已知漏洞:
sudo dnf update -ysudo dnf install -y vim firewalld fail2ban
二、配置防火墙(firewalld)
启用并配置 firewalld 是提升 RockyLinux系统安全 的关键步骤。只开放必要的端口,例如 SSH(22)、HTTP(80)和 HTTPS(443):
sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许 SSH、HTTP 和 HTTPSsudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload
三、强化SSH安全
SSH 是远程管理的主要入口,也是攻击者重点目标。修改默认配置可显著提升 RockyLinux服务器防护 能力:
禁止 root 直接登录 更改默认 SSH 端口(可选但推荐) 仅允许密钥认证编辑 SSH 配置文件:
sudo vim /etc/ssh/sshd_config
修改以下参数:
PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPort 2222 # 可选:更改默认端口
保存后重启 SSH 服务:
sudo systemctl restart sshd
注意:在修改 SSH 配置前,请确保你已配置好公钥登录,否则可能被锁在服务器外!
四、安装并配置 Fail2Ban
Fail2Ban 能自动封禁多次尝试失败的 IP 地址,有效防止暴力破解,是 RockyLinux安全配置 中不可或缺的一环。
sudo systemctl enable --now fail2ban# 复制默认配置sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑本地配置(启用 SSH 监控)sudo vim /etc/fail2ban/jail.local
在 [sshd] 段落中添加或修改:
[sshd]enabled = trueport = 2222 # 如果你改了 SSH 端口,这里也要对应修改maxretry = 3bantime = 600
重启 Fail2Ban 使配置生效:
sudo systemctl restart fail2ban
五、定期审计与日志监控
使用
auditd和
logwatch工具可帮助你持续监控系统行为:
sudo dnf install -y audit logwatchsudo systemctl enable --now auditd
建议每周查看一次日志摘要,及时发现异常活动。
结语
通过以上五个步骤,你可以为 RockyLinux 服务器构建一道坚实的安全防线。记住,安全不是一次性任务,而是一个持续的过程。定期更新、监控和优化你的 RockyLinux安全加固 策略,才能真正保障业务稳定运行。
关键词:RockyLinux安全加固、RockyLinux系统安全、RockyLinux服务器防护、RockyLinux安全配置
