RockyLinux安全最佳实践（全面指南：从零开始加固你的Linux服务器）

1. 保持系统更新

及时安装安全补丁是防御漏洞的第一道防线。使用以下命令定期更新系统：

sudo dnf update -y  

建议设置自动安全更新（可选）：

sudo dnf install dnf-automatic -ysudo systemctl enable --now dnf-automatic.timer  

2. 配置防火墙（firewalld）

RockyLinux 默认使用 firewalld 作为防火墙工具。只开放必要的端口（如 SSH 的 22 端口、Web 服务的 80/443 等）。

# 启用并启动防火墙sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许 SSH（假设使用默认端口 22）sudo firewall-cmd --permanent --add-service=ssh# 如果运行 Web 服务，再添加 HTTP/HTTPSsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载配置sudo firewall-cmd --reload  

3. 强化 SSH 安全

SSH 是远程管理的主要入口，必须加强保护：

• 禁用 root 直接登录
• 使用密钥认证代替密码
• 更改默认端口（可选但推荐）

编辑 SSH 配置文件：

sudo vi /etc/ssh/sshd_config  

修改以下关键参数：

PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPort 2222  # 可选：更改端口以减少暴力扫描  

保存后重启 SSH 服务：

sudo systemctl restart sshd  

⚠️ 注意：在修改 SSH 配置前，请确保你已通过密钥成功登录，避免被锁在服务器外！

4. 创建非 root 用户并配置 sudo 权限

永远不要用 root 账户日常操作。创建普通用户并赋予必要权限：

sudo adduser deploysudo passwd deploysudo usermod -aG wheel deploy  # 将用户加入 wheel 组以获得 sudo 权限  

5. 安装并配置 Fail2Ban（防暴力破解）

Fail2Ban 可自动封禁多次尝试失败的 IP 地址：

sudo dnf install fail2ban -ysudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local  

编辑 jail.local，启用 SSH 监控：

[sshd]enabled = trueport = 2222  # 如果你改了 SSH 端口，这里也要改maxretry = 3bantime = 600  

启动服务：

sudo systemctl enable --now fail2ban  

6. 定期审计与日志监控

使用 auditd 和 journalctl 监控系统行为：

sudo dnf install audit -ysudo systemctl enable --now auditd  

查看关键日志：

# 查看认证日志sudo journalctl -u sshd# 查看系统日志sudo tail -f /var/log/messages  

结语

以上步骤构成了 RockyLinux最佳实践 的核心安全策略。通过系统更新、防火墙配置、SSH 强化、用户权限管理、入侵防护和日志监控，你可以显著提升服务器的安全性。记住，Linux服务器安全 不是一次性任务，而是一个持续的过程。定期复查配置，关注安全公告，才能让你的系统长期稳定运行。

关键词：RockyLinux安全配置, RockyLinux最佳实践, 系统安全加固, Linux服务器安全