RockyLinux服务安全加固指南（从零开始保护你的Linux服务器）

一、更新系统与软件包

保持系统和软件为最新版本是安全的第一步，因为更新通常包含重要的安全补丁。

# 更新所有已安装的软件包sudo dnf update -y# 清理缓存（可选）sudo dnf clean all

二、创建非root用户并禁用root远程登录

直接使用root账户远程登录存在高风险。建议创建普通用户，并通过sudo提权执行管理命令。

# 创建新用户（例如：secureuser）sudo adduser secureuser# 设置密码sudo passwd secureuser# 将用户加入wheel组（启用sudo权限）sudo usermod -aG wheel secureuser

接着，编辑SSH配置文件以禁用root远程登录：

sudo vi /etc/ssh/sshd_config

找到以下行并修改为：

PermitRootLogin no

保存后重启SSH服务：

sudo systemctl restart sshd

三、配置防火墙（firewalld）

RockyLinux默认使用firewalld作为防火墙工具。只开放必要的端口（如SSH的22端口、Web服务的80/443等）。

# 启动并设置开机自启sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许SSH（端口22）sudo firewall-cmd --permanent --add-service=ssh# 如果运行Web服务，再添加HTTP/HTTPSsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

四、安装并配置Fail2ban防止暴力破解

Fail2ban可以自动封禁多次尝试失败的IP地址，有效抵御SSH暴力破解攻击。

# 安装Fail2bansudo dnf install fail2ban -y# 启动并设置开机自启sudo systemctl enable --now fail2ban

创建本地配置文件以避免覆盖默认设置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑 jail.local，确保SSH防护启用（通常默认已启用）：

[sshd]enabled = truemaxretry = 3bantime = 600  # 封禁10分钟

重启Fail2ban使配置生效：

sudo systemctl restart fail2ban

五、定期审计与监控

安全不是一次性任务。建议定期检查日志（如 /var/log/secure）、审查用户账户、监控异常进程。你也可以使用工具如 auditd 或 lynis 进行系统安全审计。

结语

通过以上步骤，你的RockyLinux服务器已经具备了基础但有效的安全防护能力。记住，RockyLinux安全加固 是一个持续过程，结合Linux服务器安全的最佳实践，配合RockyLinux服务配置的精细化管理，才能构建真正可靠的系统环境。希望本篇系统安全最佳实践指南能为你打下坚实的安全基础！