RockyLinux桌面安全加固（企业级Linux桌面系统防护实战指南）

一、更新系统与安装基础安全工具

首先，确保你的系统是最新的，并安装必要的安全工具：

sudo dnf update -ysudo dnf install -y firewalld fail2ban lynis openssh-server audit

这些工具的作用如下：

• firewalld：动态防火墙管理工具，用于控制网络访问。
• fail2ban：自动封禁恶意 IP 的入侵防御软件。
• lynis：系统安全审计工具，可扫描潜在风险。
• audit：系统审计框架，记录关键操作日志。

二、启用并配置防火墙（firewalld）

运行以下命令启用并启动 firewalld：

sudo systemctl enable --now firewalld

查看当前区域和开放的服务：

sudo firewall-cmd --get-active-zonessudo firewall-cmd --list-services

通常桌面用户只需开放 SSH（如需远程管理）和 DHCP 客户端服务。其他服务应关闭以减少攻击面。

三、配置 Fail2Ban 防暴力破解

编辑 Fail2Ban 配置文件：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localsudo nano /etc/fail2ban/jail.local

在 [sshd] 部分添加或修改以下内容：

[sshd]enabled = trueport = sshlogpath = %(sshd_log)smaxretry = 3bantime = 600findtime = 600

这表示：若同一 IP 在 10 分钟内尝试登录失败 3 次，将被封禁 10 分钟。保存后重启服务：

sudo systemctl restart fail2ban

四、禁用不必要的服务与账户

使用以下命令列出所有正在运行的服务：

systemctl list-units --type=service --state=running

对于桌面用户，通常可以禁用以下服务（根据实际需求调整）：

sudo systemctl disable avahi-daemon cups bluetooth

同时，删除或锁定不用的系统账户（如 guest、test 等），避免成为攻击入口。

五、定期安全审计（使用 Lynis）

运行 Lynis 进行全面安全扫描：

sudo lynis audit system

Lynis 会输出详细的建议报告，包括内核参数优化、密码策略、日志配置等。建议每月运行一次，持续改进企业级Linux桌面安全水平。

六、总结

通过以上步骤，你已经完成了基础的 RockyLinux安全配置。记住，安全不是一次性任务，而是持续的过程。建议结合自动更新、定期备份和用户权限最小化原则，构建更强大的 RockyLinux系统防护体系。即使是小白用户，只要按部就班操作，也能显著提升桌面系统的安全性。