CentOS Web服务器安全（从零开始的Linux服务器加固与Web应用安全防护指南）

一、更新系统与最小化安装

首先，确保你的CentOS系统是最新的。这可以修复已知的安全漏洞：

# 更新所有已安装的软件包sudo yum update -y# 如果你使用的是CentOS 8或Stream，也可以使用 dnfsudo dnf update -y

同时，建议采用“最小化安装”原则——只安装Web服务必需的软件包，避免安装不必要的服务（如图形界面、打印服务等），以减少攻击面。

二、配置防火墙（firewalld）

CentOS 默认使用 firewalld 作为防火墙工具。合理配置防火墙是CentOS防火墙配置的核心步骤：

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 只开放必要的端口（例如HTTP 80、HTTPS 443、SSH 22）sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=httpssudo firewall-cmd --permanent --add-service=ssh# 重载配置sudo firewall-cmd --reload

注意：不要随意开放所有端口！只允许业务所需的端口通信。

三、加强SSH安全

SSH 是远程管理服务器的主要方式，也是黑客重点攻击目标。建议进行以下加固：

1. 禁用 root 直接登录
2. 更改默认 SSH 端口（可选但推荐）
3. 启用密钥认证，禁用密码登录

编辑 SSH 配置文件：

sudo vi /etc/ssh/sshd_config# 修改以下参数PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPort 2222  # 可选：改为非标准端口# 保存后重启SSH服务sudo systemctl restart sshd

⚠️ 提示：在修改 SSH 配置前，请确保你已配置好公钥登录，否则可能被锁在服务器外！

四、Web服务安全（以Nginx/Apache为例）

Web服务器本身也需要安全配置。以下是通用建议：

• 隐藏服务器版本号（防止信息泄露）
• 限制上传文件类型和大小
• 启用 HTTPS（使用 Let's Encrypt 免费证书）
• 定期备份网站数据和配置

以 Nginx 为例，隐藏版本号的方法：

# 编辑 nginx.confsudo vi /etc/nginx/nginx.conf# 在 http 块中添加server_tokens off;# 重载配置sudo nginx -s reload

五、定期监控与日志分析

安全不是一次性工作。建议安装 fail2ban 等工具自动封禁暴力破解IP，并定期检查系统日志（/var/log/secure、/var/log/messages）和Web访问日志。

结语

通过以上步骤，你可以显著提升 Linux服务器加固 水平，有效防范常见网络攻击。记住，Web应用安全防护 是一个持续过程，需要不断学习和更新策略。希望本教程能帮助你在 CentOS 上构建一个更安全、更可靠的 Web 服务环境！

© 2023 Web安全实践指南 | 专注 CentOS Web服务器安全