CentOS网络安全加固（Linux系统安全配置与服务器安全最佳实践指南）

一、更新系统与软件包

保持系统和软件为最新版本是安全的第一步，可修复已知漏洞。

# 更新所有已安装的软件包sudo yum update -y# 清理缓存（可选）sudo yum clean all

二、配置防火墙（firewalld）

CentOS 7 及以上默认使用 firewalld 防火墙。合理配置可有效阻止未授权访问，这是 CentOS防火墙设置 的核心。

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 查看当前区域和规则sudo firewall-cmd --list-all# 仅开放必要端口（例如：SSH 22、HTTP 80、HTTPS 443）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

三、禁用不必要的服务

减少攻击面的关键是关闭不用的服务。使用以下命令查看并禁用非必要服务：

# 列出所有正在运行的服务systemctl list-units --type=service --state=running# 禁用并停止某个服务（例如 telnet）sudo systemctl stop telnet.socketsudo systemctl disable telnet.socket

四、加强 SSH 安全

SSH 是远程管理的主要方式，也是黑客常攻击的目标。通过以下配置提升安全性：

# 编辑 SSH 配置文件sudo vi /etc/ssh/sshd_config# 修改以下关键参数：Port 2222                    # 更改默认端口（可选但推荐）PermitRootLogin no           # 禁止 root 直接登录PasswordAuthentication no    # 禁用密码登录，使用密钥认证PubkeyAuthentication yes     # 启用公钥认证# 保存后重启 SSH 服务sudo systemctl restart sshd

⚠️ 注意：在禁用密码登录前，请确保你已成功配置好 SSH 密钥登录，否则可能被锁在服务器外！

五、安装并配置 Fail2ban

Fail2ban 可自动封禁多次尝试失败的 IP 地址，是 服务器安全最佳实践 中的重要工具。

# 安装 EPEL 仓库（如未安装）sudo yum install epel-release -y# 安装 Fail2bansudo yum install fail2ban -y# 创建本地配置文件sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑 jail.local，启用 SSH 保护sudo vi /etc/fail2ban/jail.local# 在 [sshd] 部分添加或修改：[sshd]enabled = truemaxretry = 3bantime = 600# 启动并设置开机自启sudo systemctl start fail2bansudo systemctl enable fail2ban

六、定期审计与日志监控

安全不是一次性的任务。建议定期检查系统日志（如 /var/log/secure、/var/log/messages），使用工具如 logwatch 或 auditd 进行安全审计，这也是 Linux系统安全配置 的重要组成部分。

结语

通过以上步骤，你可以显著提升 CentOS 服务器的安全性。记住，CentOS网络安全加固 是一个持续的过程，需结合实际业务需求不断调整策略。安全无小事，从今天开始行动吧！