CentOS安全防护全攻略（新手也能轻松掌握的服务器安全加固指南）

一、更新系统与软件包

保持系统最新是安全防护的第一步。过时的软件可能存在已知漏洞，及时更新可有效防止被利用。

# 更新所有已安装的软件包sudo yum update -y# 清理缓存（可选）sudo yum clean all

二、配置防火墙（firewalld）

CentOS 7 及以上版本默认使用 firewalld 作为防火墙管理工具。合理配置防火墙规则可以阻止未经授权的访问，这是实现CentOS防火墙配置的关键步骤。

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 查看当前活动区域sudo firewall-cmd --get-active-zones# 仅开放必要的端口（例如 SSH 22、HTTP 80、HTTPS 443）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙配置sudo firewall-cmd --reload

三、禁用不必要的服务

运行不必要的服务会增加系统被攻击的风险。建议关闭不用的服务，如 FTP、Telnet 等。

# 列出所有正在运行的服务systemctl list-units --type=service --state=running# 停止并禁用某个服务（以 avahi-daemon 为例）sudo systemctl stop avahi-daemonsudo systemctl disable avahi-daemon

四、加强 SSH 安全

SSH 是远程管理服务器的主要方式，也是攻击者常盯上的入口。通过以下措施可显著提升安全性：

• 禁止 root 用户直接登录
• 更改默认 SSH 端口（可选但推荐）
• 启用密钥认证，禁用密码登录

编辑 SSH 配置文件：

sudo vi /etc/ssh/sshd_config# 修改以下参数：PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPort 2222  # 可选：更改端口# 保存后重启 SSH 服务sudo systemctl restart sshd

提示： 在禁用密码登录前，请确保你已成功配置好 SSH 密钥登录，否则可能被锁在服务器外！

五、定期审计与日志监控

良好的系统安全最佳实践包括定期检查系统日志，及时发现异常行为。可以使用 fail2ban 自动封禁多次尝试失败的 IP。

# 安装 fail2bansudo yum install epel-release -ysudo yum install fail2ban -y# 启动并启用sudo systemctl start fail2bansudo systemctl enable fail2ban

六、创建非 root 用户并赋予 sudo 权限

日常操作应避免使用 root 用户。创建普通用户并通过 sudo 执行管理命令更安全。

# 创建新用户sudo adduser myuser# 设置密码sudo passwd myuser# 将用户加入 wheel 组（CentOS 中具有 sudo 权限的组）sudo usermod -aG wheel myuser

总结

通过以上六个步骤，你可以为你的 CentOS 服务器构建一道坚实的安全防线。记住，CentOS安全防护不是一次性任务，而是一个持续的过程。定期更新、监控日志、审查权限，才能真正保障服务器长期稳定运行。

希望这篇面向新手的教程能帮助你迈出服务器安全加固的第一步！如果你觉得有用，欢迎收藏或分享给更多需要的朋友。