RockyLinux Web服务器安全加固（从零开始的Web服务器安全配置指南）

一、更新系统与最小化安装

首先，确保你的 Rocky Linux 系统是最新的。这能修复已知漏洞，是安全加固的第一步。

# 更新所有已安装的软件包sudo dnf update -y# 安装必要的工具（如 firewalld、fail2ban）sudo dnf install -y firewalld fail2ban httpd

同时，遵循“最小化安装”原则：只安装 Web 服务必需的软件包，避免安装不必要的服务（如 FTP、Telnet），以减少攻击面。

二、配置防火墙（firewalld）

Rocky Linux 默认使用 firewalld 作为防火墙管理工具。合理配置防火墙是服务器防火墙配置的核心环节。

# 启动并启用 firewalldsudo systemctl enable --now firewalld# 仅开放 HTTP (80) 和 HTTPS (443) 端口sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 如果使用 SSH，建议更改默认端口（例如 2222）并只允许特定 IPsudo firewall-cmd --permanent --add-port=2222/tcp# 重载防火墙规则sudo firewall-cmd --reload

三、强化 SSH 安全

SSH 是远程管理服务器的主要方式，也是黑客重点攻击目标。修改其默认配置可大幅提升安全性。

# 编辑 SSH 配置文件sudo vi /etc/ssh/sshd_config# 修改以下关键参数：Port 2222                    # 更改默认端口PermitRootLogin no           # 禁止 root 直接登录PasswordAuthentication no    # 禁用密码登录，使用密钥认证PubkeyAuthentication yes     # 启用公钥认证# 重启 SSH 服务sudo systemctl restart sshd

记得提前配置好 SSH 密钥对，否则可能被锁在服务器外！

四、安装 Fail2Ban 防暴力破解

Fail2Ban 能自动检测登录失败行为，并临时封禁恶意 IP，是Web服务器安全配置中不可或缺的一环。

# 启用并启动 fail2bansudo systemctl enable --now fail2ban# 创建自定义配置（避免直接修改默认文件）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑 jail.local，启用 SSH 和 Apache 监控sudo vi /etc/fail2ban/jail.local# 在 [sshd] 段落下确保：enabled = trueport = 2222  # 与你设置的 SSH 端口一致# 重启服务sudo systemctl restart fail2ban

五、Web 服务（Apache/Nginx）安全建议

如果你使用 Apache 或 Nginx，还需进行以下RockyLinux安全设置：

• 隐藏服务器版本信息（编辑 httpd.conf 或 nginx.conf，设置 ServerTokens Prod 和 ServerSignature Off）
• 限制目录访问权限，禁止列出目录内容
• 定期更新 Web 服务软件
• 使用 HTTPS（推荐 Let's Encrypt 免费证书）

结语

通过以上步骤，你的 Rocky Linux Web 服务器已经具备了基础的安全防护能力。记住，安全不是一次性任务，而是持续的过程。定期检查日志、更新系统、监控异常行为，才能真正实现RockyLinux Web服务器安全加固的目标。

本文适用于 Rocky Linux 8/9 版本。操作前请务必备份重要数据！