RockyLinux 是一款由社区驱动、与 RHEL(Red Hat Enterprise Linux)100% 兼容的企业级操作系统。随着越来越多用户将其用于桌面环境,RockyLinux桌面安全加固变得尤为重要。本文将手把手教你如何从零开始对 RockyLinux 桌面系统进行全方位安全加固,即使你是 Linux 新手也能轻松上手。
一、更新系统与安装基础安全工具
首先,确保你的系统是最新的,并安装必要的安全工具:
这些工具的作用如下: 运行以下命令启用并启动 firewalld: 查看当前区域和开放的服务: 通常桌面用户只需开放 SSH(如需远程管理)和 DHCP 客户端服务。其他服务应关闭以减少攻击面。 编辑 Fail2Ban 配置文件: 在 [sshd] 部分添加或修改以下内容: 这表示:若同一 IP 在 10 分钟内尝试登录失败 3 次,将被封禁 10 分钟。保存后重启服务: 使用以下命令列出所有正在运行的服务: 对于桌面用户,通常可以禁用以下服务(根据实际需求调整): 同时,删除或锁定不用的系统账户(如 guest、test 等),避免成为攻击入口。 运行 Lynis 进行全面安全扫描: Lynis 会输出详细的建议报告,包括内核参数优化、密码策略、日志配置等。建议每月运行一次,持续改进企业级Linux桌面安全水平。 通过以上步骤,你已经完成了基础的 RockyLinux安全配置。记住,安全不是一次性任务,而是持续的过程。建议结合自动更新、定期备份和用户权限最小化原则,构建更强大的 RockyLinux系统防护体系。即使是小白用户,只要按部就班操作,也能显著提升桌面系统的安全性。sudo dnf update -ysudo dnf install -y firewalld fail2ban lynis openssh-server audit 二、启用并配置防火墙(firewalld)
sudo systemctl enable --now firewalld sudo firewall-cmd --get-active-zonessudo firewall-cmd --list-services 三、配置 Fail2Ban 防暴力破解
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localsudo nano /etc/fail2ban/jail.local [sshd]enabled = trueport = sshlogpath = %(sshd_log)smaxretry = 3bantime = 600findtime = 600 sudo systemctl restart fail2ban 四、禁用不必要的服务与账户
systemctl list-units --type=service --state=running sudo systemctl disable avahi-daemon cups bluetooth 五、定期安全审计(使用 Lynis)
sudo lynis audit system 六、总结
