CentOS部署安全加固指南（从零开始的Linux服务器安全配置实战）

一、更新系统与软件包

首先，确保你的CentOS系统及所有已安装的软件包都是最新版本。这可以修复已知漏洞，是安全加固的第一步。

sudo yum clean allsudo yum update -y

二、配置防火墙（firewalld）

CentOS 7及以上版本默认使用firewalld作为防火墙工具。合理配置防火墙规则可有效阻止未授权访问。

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 仅开放必要端口（例如SSH 22、HTTP 80、HTTPS 443）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载配置sudo firewall-cmd --reload

三、禁用不必要的服务

关闭不需要的服务可以减少攻击面。例如，如果你不使用FTP或Telnet，应将其关闭。

# 查看当前运行的服务systemctl list-units --type=service --state=running# 停止并禁用不需要的服务（以postfix为例）sudo systemctl stop postfixsudo systemctl disable postfix

四、强化SSH安全

SSH是远程管理服务器的主要方式，但也是黑客常攻击的目标。通过以下配置可大幅提升安全性。

# 编辑SSH配置文件sudo vi /etc/ssh/sshd_config# 修改以下关键参数：Port 22222                     # 更改默认端口（避免暴力扫描）PermitRootLogin no            # 禁止root直接登录PasswordAuthentication no     # 禁用密码登录，使用密钥认证PubkeyAuthentication yes      # 启用公钥认证AllowUsers your_username      # 仅允许指定用户登录# 重启SSH服务sudo systemctl restart sshd

注意：在禁用密码登录前，请确保你已成功配置SSH密钥登录，否则可能被锁在服务器外！

五、安装并配置Fail2ban

Fail2ban能自动封禁多次尝试失败的IP地址，有效防御暴力破解攻击。

# 安装Fail2bansudo yum install epel-release -ysudo yum install fail2ban -y# 创建本地配置文件sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑配置（启用SSH防护）sudo vi /etc/fail2ban/jail.local# 在[sshd]部分添加或修改：[sshd]enabled = trueport = 22222maxretry = 3bantime = 600# 启动并设置开机自启sudo systemctl start fail2bansudo systemctl enable fail2ban

六、定期审计与日志监控

安全不是一次性的任务。建议定期检查系统日志（如/var/log/secure、/var/log/messages），使用工具如auditd进行系统调用审计，并考虑部署集中式日志系统（如ELK）。

通过以上步骤，你的CentOS服务器已经具备了基础但有效的安全防护能力。记住，网络安全防护是一个持续的过程，需要不断更新策略和响应新威胁。

总结

本文详细介绍了CentOS安全加固的核心步骤，包括系统更新、防火墙配置、服务精简、SSH强化、Fail2ban部署等。这些措施共同构成了Linux系统加固的基础框架，能显著提升服务器的抗攻击能力。无论你是个人开发者还是企业运维，都应将服务器安全配置纳入日常管理流程。

安全无小事，从今天开始加固你的CentOS服务器吧！