在当今网络环境中,服务器安全至关重要。作为 CentOS 的继任者之一,RockyLinux 是一款稳定、开源的企业级 Linux 发行版。本文将手把手教你如何对 RockyLinux 进行安全防护措施配置,即使是 Linux 新手也能轻松完成。
一、更新系统并安装必要工具
首先,确保你的系统是最新的,这能修复已知漏洞:
sudo dnf update -ysudo dnf install -y firewalld fail2ban vim
二、配置防火墙(FirewallD)
RockyLinux 防火墙设置是基础安全的第一步。RockyLinux 默认使用
firewalld作为防火墙管理工具。
启动并启用防火墙服务:
sudo systemctl start firewalldsudo systemctl enable firewalld
查看当前活动区域和开放端口:
sudo firewall-cmd --get-active-zonessudo firewall-cmd --list-all
例如,只允许 SSH(22端口)和 HTTP(80端口)访问:
sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --reload
三、启用并配置 Fail2Ban 防暴力破解
Fail2Ban 可自动封禁多次尝试登录失败的 IP 地址,有效防止 SSH 暴力破解。
创建配置文件:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
编辑
jail.local,启用 SSH 监控:
[sshd]enabled = truemaxretry = 3bantime = 600 # 封禁10分钟
启动服务:
sudo systemctl start fail2bansudo systemctl enable fail2ban
四、启用 SELinux(增强系统安全)
RockyLinux SELinux(Security-Enhanced Linux)是内核级的安全模块,可限制程序权限,即使被入侵也难以提权。
检查 SELinux 状态:
sestatus
建议保持为
enforcing模式。如需修改,编辑配置文件:
sudo vim /etc/selinux/config
确保包含以下行:
SELINUX=enforcingSELINUXTYPE=targeted
重启生效(或使用
setenforce 1临时启用)。
五、其他系统安全加固建议
禁用 root 远程登录:编辑/etc/ssh/sshd_config,设置
PermitRootLogin no,然后重启 SSH 服务。 创建普通用户并使用 sudo 权限操作。 定期审计日志:
/var/log/secure、
/var/log/messages。 安装并配置自动安全更新:
sudo dnf install dnf-automatic -y。
总结
通过以上步骤,你已经完成了基本的 RockyLinux 安全配置 和 系统安全加固。这些措施虽不能保证 100% 安全,但能大幅降低被攻击的风险。安全是一个持续过程,建议定期检查系统状态、更新软件并关注安全公告。
希望这篇教程对你有帮助!如果你是刚接触 Linux 的小白,不妨一步步跟着操作,你会发现服务器安全其实并不难。
