筑牢数字防线（Linux网络系统安全配置从入门到实践）

一、更新系统与最小化安装

首先，确保你的 Linux 系统是最新的。过时的软件包可能包含已知漏洞。

# Ubuntu/Debian 系统sudo apt update && sudo apt upgrade -y# CentOS/RHEL 系统sudo yum update -y# 或使用 dnf（较新版本）sudo dnf update -y

同时，遵循“最小化安装”原则：只安装必要的服务和软件包，减少潜在攻击面。

二、配置防火墙（UFW / firewalld）

防火墙是网络访问的第一道屏障。防火墙设置能有效控制进出系统的流量。

Ubuntu/Debian（使用 UFW）：

# 安装 UFW（如未安装）sudo apt install ufw -y# 默认拒绝所有入站，允许所有出站sudo ufw default deny incomingsudo ufw default allow outgoing# 允许 SSH（端口 22）sudo ufw allow ssh# 或指定端口：sudo ufw allow 22/tcp# 启用防火墙sudo ufw enable

CentOS/RHEL（使用 firewalld）：

# 启动并启用 firewalldsudo systemctl start firewalldsudo systemctl enable firewalld# 拒绝所有非必要端口，仅开放 SSHsudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --reload

三、SSH 安全加固

SSH 是远程管理 Linux 的主要方式，但默认配置存在风险。SSH安全加固至关重要。

编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

修改以下关键选项：

• Port 2222（修改默认端口，减少自动化扫描）
• PermitRootLogin no（禁止 root 直接登录）
• PasswordAuthentication no（禁用密码，改用密钥认证）
• AllowUsers your_username（仅允许特定用户登录）

保存后重启 SSH 服务：

sudo systemctl restart sshd

⚠️ 注意：在禁用密码登录前，请先配置好 SSH 密钥对，否则可能被锁在系统外！

四、启用系统日志监控

日志是发现异常行为的关键。系统日志监控能帮助你及时响应安全事件。

查看 SSH 登录日志：

# Ubuntu/Debiantail -f /var/log/auth.log# CentOS/RHELtail -f /var/log/secure

建议安装 fail2ban 自动封禁暴力破解 IP：

sudo apt install fail2ban -y  # Debian/Ubuntusudo yum install fail2ban -y   # CentOS/RHEL

五、定期审计与备份

安全不是一次性的任务。建议：

• 每月运行一次安全扫描（如 Lynis）
• 定期备份重要配置和数据
• 关注 CVE 漏洞公告，及时打补丁

通过以上步骤，你已经为 Linux 系统构建了坚实的安全基础。记住：安全是一个持续的过程，而非终点。