CentOS安全最佳实践（全面指南：从零开始加固你的Linux服务器）

一、更新系统与软件包

保持系统最新是安全的第一步。定期更新可修复已知漏洞。

yum update -yyum upgrade -y

二、配置防火墙（firewalld）

CentOS 7及以上默认使用 firewalld。只开放必要的端口，例如 SSH（22）、HTTP（80）和 HTTPS（443）。

# 启动并设置开机自启systemctl start firewalldsystemctl enable firewalld# 查看当前区域firewall-cmd --get-active-zones# 开放必要端口（以web服务为例）firewall-cmd --permanent --add-service=httpfirewall-cmd --permanent --add-service=httpsfirewall-cmd --permanent --add-port=22/tcp# 重载配置firewall-cmd --reload

三、强化SSH安全

SSH是远程管理的主要方式，但也是攻击者重点目标。建议：

• 禁用 root 登录
• 更改默认端口（如从22改为2222）
• 启用密钥认证，禁用密码登录

编辑SSH配置文件：

vi /etc/ssh/sshd_config# 修改以下参数Port 2222PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yes# 保存后重启SSH服务systemctl restart sshd

四、安装并配置 Fail2Ban

Fail2Ban 可自动封禁多次尝试失败的IP地址，有效防止暴力破解。

# 安装 EPEL 仓库（若未安装）yum install epel-release -y# 安装 Fail2Banyum install fail2ban -y# 创建本地配置文件cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑 jail.local，启用 SSH 监控[sshd]enabled = trueport = 2222  # 注意：如果你改了SSH端口，这里也要对应maxretry = 3bantime = 600# 启动并设置开机自启systemctl start fail2bansystemctl enable fail2ban

五、禁用不必要的服务

减少攻击面的关键是关闭不用的服务。使用以下命令查看并禁用：

# 列出所有运行中的服务systemctl list-units --type=service --state=running# 禁用并停止无用服务（例如 avahi-daemon）systemctl stop avahi-daemonsystemctl disable avahi-daemon

六、定期审计与日志监控

使用 auditd 和 logwatch 工具监控系统行为和日志。

yum install audit logwatch -ysystemctl start auditdsystemctl enable auditd# 每日生成日志摘要报告（可配置邮件发送）logwatch --output mail --mailto admin@example.com --detail High

总结

通过以上步骤，你可以显著提升 CentOS 服务器的安全性。记住，Linux服务器安全不是一次性任务，而是一个持续的过程。定期检查、更新策略，并遵循CentOS最佳实践，才能构建真正可靠的系统环境。

提示：在生产环境中实施任何变更前，请先在测试环境验证，避免服务中断。