RockyLinux网络安全加固（从零开始的系统安全配置实战指南）

一、更新系统并安装必要工具

首先，确保你的系统是最新的。这不仅能修复已知漏洞，还能获得最新的安全补丁。

sudo dnf update -ysudo dnf install -y firewalld fail2ban vim net-tools

二、配置防火墙（firewalld）

启用并配置 firewalld 是RockyLinux安全配置的第一步。只开放必要的端口，如 SSH（22）、HTTP（80）或 HTTPS（443）。

sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许 SSH 和 HTTPS（根据实际需求调整）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

三、强化 SSH 安全

SSH 是远程管理 Linux 服务器的主要方式，因此必须加强其安全性。编辑 SSH 配置文件：

sudo vim /etc/ssh/sshd_config

修改以下关键参数：

• PermitRootLogin no：禁止 root 直接登录
• PasswordAuthentication no：禁用密码登录，改用密钥认证（更安全）
• Port 2222：更改默认 SSH 端口（可选但推荐）
• MaxAuthTries 3：限制认证尝试次数

保存后重启 SSH 服务：

sudo systemctl restart sshd

四、安装并配置 Fail2Ban

fail2ban 能自动封禁多次尝试失败的 IP 地址，是系统安全加固指南中不可或缺的一环。

sudo systemctl enable --now fail2ban# 复制默认配置cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑本地配置（以 SSH 为例）sudo vim /etc/fail2ban/jail.local

在 [sshd] 段落中添加或修改：

[sshd]enabled = trueport = 2222  # 如果你改了 SSH 端口filter = sshdlogpath = /var/log/securemaxretry = 3bantime = 600  # 封禁 10 分钟

重启 Fail2Ban 生效：

sudo systemctl restart fail2ban

五、定期审计与日志监控

使用 auditd 和 logwatch 工具监控系统行为和日志，及时发现异常活动。这是Linux服务器安全长期维护的关键。

sudo dnf install -y audit logwatchsudo systemctl enable --now auditd

六、其他建议

• 禁用不必要的服务（如 telnet、ftp）
• 设置强密码策略（使用 pam_pwquality）
• 定期备份重要数据
• 使用 SELinux 并保持 enforcing 模式

通过以上步骤，你的 Rocky Linux 系统已经具备了基础但有效的安全防护能力。记住，网络安全是一个持续的过程，而非一次性任务。定期检查、更新和测试你的安全策略，才能真正守护你的服务器免受威胁。