在当今网络环境中,服务器安全至关重要。作为 CentOS 的继任者,RockyLinux 因其稳定性和社区支持而广受欢迎。然而,安装完系统后若不进行安全加固,极易成为攻击目标。本文将带你从零开始,使用开源工具对 RockyLinux安全基线检查,并完成基础的安全加固配置,即使是 Linux 新手也能轻松上手。
什么是安全基线?
安全基线是指一套最低限度的安全配置标准,用于确保操作系统在部署后具备基本的防护能力。它通常包括:账户安全、密码策略、服务最小化、日志审计、防火墙配置等。
对于 RockyLinux系统安全 来说,遵循安全基线可以有效防止常见漏洞被利用,提升整体防御水平。
推荐工具:OpenSCAP + scap-security-guide
OpenSCAP 是一个开源的安全合规评估框架,配合
scap-security-guide提供的 RockyLinux 安全策略文件,可自动执行 RockyLinux安全配置 检查。
第一步:安装所需工具
sudo dnf install -y openscap-scanner scap-security-guide
第二步:查看可用的安全策略
运行以下命令,列出所有适用于 RockyLinux 的安全配置文件:
cd /usr/share/xml/scap/ssg/content/ls ssg-rockylinux*-ds.xml
你可能会看到类似
ssg-rockylinux9-ds.xml的文件(具体版本取决于你的 RockyLinux 版本)。
第三步:执行安全基线扫描
使用以下命令生成 HTML 格式的检查报告(便于阅读):
sudo oscap xccdf eval \ --profile xccdf_org.ssgproject.content_profile_stig \ --report rockylinux-security-report.html \ /usr/share/xml/scap/ssg/content/ssg-rockylinux9-ds.xml
其中
--profile指定了安全策略级别,常用选项有:
xccdf_org.ssgproject.content_profile_stig:符合美国国防部 STIG 标准(较严格)
xccdf_org.ssgproject.content_profile_cis:符合 CIS 基准(推荐通用场景)
xccdf_org.ssgproject.content_profile_anssi_bp28_high:法国 ANSSI 高安全级别
第四步:查看报告并修复问题
扫描完成后,会在当前目录生成
rockylinux-security-report.html文件。用浏览器打开它,即可看到详细的检查结果,包括“通过”、“失败”和“未检查”的项目。
针对“失败”项,报告通常会提供修复建议。例如,若发现 SSH 允许 root 登录,可手动编辑
/etc/ssh/sshd_config文件:
# 禁止 root 通过 SSH 登录PermitRootLogin no# 重启 SSH 服务生效sudo systemctl restart sshd
额外建议:定期执行安全检查
为了持续保障 RockyLinux安全加固 效果,建议将基线检查加入定时任务(cron)。例如每周日凌晨 2 点自动扫描:
sudo crontab -e# 添加以下行0 2 * * 0 /usr/bin/oscap xccdf eval \ --profile xccdf_org.ssgproject.content_profile_cis \ --results /var/log/openscap/rockylinux-scan-$(date +\%Y\%m\%d).xml \ /usr/share/xml/scap/ssg/content/ssg-rockylinux9-ds.xml
总结
通过 OpenSCAP 和 scap-security-guide,我们可以高效地完成 RockyLinux安全基线检查,及时发现并修复安全隐患。无论你是运维新手还是资深工程师,这套方法都能显著提升你的服务器安全水位。
记住:安全不是一次性的任务,而是持续的过程。定期检查、及时更新、最小权限原则,是守护系统安全的三大基石。
关键词回顾:RockyLinux安全基线检查、RockyLinux安全加固、RockyLinux系统安全、RockyLinux安全配置
