RockyLinux安全防护措施配置（新手也能轻松上手的系统安全加固指南）

一、更新系统并安装必要工具

首先，确保你的系统是最新的，这能修复已知漏洞：

sudo dnf update -ysudo dnf install -y firewalld fail2ban vim  

二、配置防火墙（FirewallD）

RockyLinux 防火墙设置是基础安全的第一步。RockyLinux 默认使用 firewalld 作为防火墙管理工具。

启动并启用防火墙服务：

sudo systemctl start firewalldsudo systemctl enable firewalld  

查看当前活动区域和开放端口：

sudo firewall-cmd --get-active-zonessudo firewall-cmd --list-all  

例如，只允许 SSH（22端口）和 HTTP（80端口）访问：

sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --reload  

三、启用并配置 Fail2Ban 防暴力破解

Fail2Ban 可自动封禁多次尝试登录失败的 IP 地址，有效防止 SSH 暴力破解。

创建配置文件：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local  

编辑 jail.local，启用 SSH 监控：

[sshd]enabled = truemaxretry = 3bantime = 600  # 封禁10分钟  

启动服务：

sudo systemctl start fail2bansudo systemctl enable fail2ban  

四、启用 SELinux（增强系统安全）

RockyLinux SELinux（Security-Enhanced Linux）是内核级的安全模块，可限制程序权限，即使被入侵也难以提权。

检查 SELinux 状态：

sestatus  

建议保持为 enforcing 模式。如需修改，编辑配置文件：

sudo vim /etc/selinux/config  

确保包含以下行：

SELINUX=enforcingSELINUXTYPE=targeted  

重启生效（或使用 setenforce 1 临时启用）。

五、其他系统安全加固建议

• 禁用 root 远程登录：编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no，然后重启 SSH 服务。
• 创建普通用户并使用 sudo 权限操作。
• 定期审计日志：/var/log/secure、/var/log/messages。
• 安装并配置自动安全更新：sudo dnf install dnf-automatic -y。

总结

通过以上步骤，你已经完成了基本的 RockyLinux 安全配置 和 系统安全加固。这些措施虽不能保证 100% 安全，但能大幅降低被攻击的风险。安全是一个持续过程，建议定期检查系统状态、更新软件并关注安全公告。

希望这篇教程对你有帮助！如果你是刚接触 Linux 的小白，不妨一步步跟着操作，你会发现服务器安全其实并不难。