CentOS服务安全加固（手把手教你提升Linux服务器安全性）

一、更新系统与安装必要工具

首先，确保你的系统是最新的，这能修复已知漏洞：

# 更新所有已安装的软件包sudo yum update -y# 安装常用安全工具sudo yum install -y fail2ban firewalld vim net-tools

二、配置SSH安全（关键步骤）

SSH 是远程管理服务器的主要方式，也是攻击者最常尝试入侵的入口。进行以下 SSH安全设置 可大幅降低风险：

1. 禁用 root 登录：避免直接使用 root 账户远程登录。
2. 更改默认端口：将 SSH 端口从 22 改为非常用端口（如 2222）。
3. 仅允许密钥认证：禁用密码登录，使用更安全的 SSH 密钥。

编辑 SSH 配置文件：

sudo vim /etc/ssh/sshd_config# 修改以下参数（取消注释并修改）Port 2222PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesAllowUsers your_username# 保存后重启 SSH 服务sudo systemctl restart sshd

⚠️ 注意：在修改 SSH 配置前，请确保你已成功配置好 SSH 密钥登录，并保留一个会话窗口以防配置错误导致无法连接！

三、启用并配置 Firewalld 防火墙

CentOS 默认使用 firewalld 作为防火墙工具。合理配置可有效阻止未授权访问，这是 CentOS防火墙配置 的核心内容。

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅开放必要的端口（例如新SSH端口2222和HTTP 80）sudo firewall-cmd --permanent --add-port=2222/tcpsudo firewall-cmd --permanent --add-service=http# 重载配置sudo firewall-cmd --reload

四、安装 Fail2Ban 防暴力破解

Fail2Ban 能自动检测登录失败行为，并临时封禁 IP，是保护 SSH 和 Web 服务的重要工具。

# 启动 Fail2Bansudo systemctl start fail2bansudo systemctl enable fail2ban# 创建自定义配置（避免修改默认文件）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑 jail.local，确保 [sshd] 部分启用[sshd]enabled = trueport = 2222maxretry = 3bantime = 600

五、定期审计与日志监控

安全不是一次性的任务。建议定期检查系统日志：

# 查看 SSH 登录日志sudo grep "Accepted" /var/log/secure# 查看 Fail2Ban 封禁记录sudo fail2ban-client status sshd

结语

通过以上步骤，你已经完成了基础的 CentOS服务安全加固。记住，安全是一个持续的过程。建议结合定期更新、最小权限原则和备份策略，构建更全面的 Linux服务器安全 体系。

如果你是企业用户，还可考虑部署入侵检测系统（如 OSSEC）或使用 SELinux 进行更细粒度的访问控制。

—— 安全无小事，从每一台服务器做起 ——