RockyLinux系统安全维护指南（新手也能轻松掌握的Linux服务器安全加固技巧）

一、保持系统最新（及时更新补丁）

首要的安全措施就是确保系统和所有已安装的软件包都是最新的。这可以修复已知漏洞，防止攻击者利用旧版本中的安全缺陷。

在终端中运行以下命令：

# 更新所有已安装的软件包sudo dnf update -y# 设置自动安全更新（可选但推荐）sudo dnf install dnf-automatic -ysudo systemctl enable --now dnf-automatic.timer

二、配置防火墙（使用firewalld）

RockyLinux默认使用 firewalld 作为防火墙管理工具。只开放必要的端口可以大大减少攻击面。

# 查看当前防火墙状态sudo firewall-cmd --state# 开放SSH端口（通常为22）sudo firewall-cmd --permanent --add-service=ssh# 如果你运行Web服务，再开放HTTP/HTTPSsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

请务必不要开放不必要的端口，例如数据库端口（如3306）除非有特殊需求且做了IP白名单限制。

三、禁用或删除无用账户与服务

系统中可能存在一些默认账户或未使用的服务，这些都可能成为安全隐患。

• 检查并删除无用用户：cat /etc/passwd
• 禁用不使用的系统服务（如telnet、ftp等）

# 列出所有正在运行的服务systemctl list-units --type=service --state=running# 停止并禁用不需要的服务（以telnet为例）sudo systemctl stop telnet.socketsudo systemctl disable telnet.socket

四、强化SSH安全

SSH是远程管理Linux服务器的主要方式，因此必须加强其安全性。

编辑SSH配置文件：

sudo vi /etc/ssh/sshd_config

建议做如下修改（取消注释并修改）：

# 禁用root直接登录PermitRootLogin no# 仅允许特定用户登录（例如：youruser）AllowUsers youruser# 更改默认SSH端口（可选，但能减少自动化扫描攻击）Port 2222# 禁用密码登录，强制使用密钥认证（更安全）PasswordAuthentication noPubkeyAuthentication yes

修改完成后重启SSH服务：

sudo systemctl restart sshd

⚠️ 注意：在禁用密码登录前，请确保你已经成功配置了SSH密钥登录，否则可能被锁在服务器外！

五、定期审计与日志监控

启用日志记录并定期检查，有助于发现异常行为。RockyLinux使用 rsyslog 和 journalctl 进行日志管理。

# 查看SSH登录失败记录sudo grep "Failed password" /var/log/secure# 实时监控系统日志sudo journalctl -f

你还可以安装 fail2ban 自动封禁多次尝试登录失败的IP地址：

sudo dnf install fail2ban -ysudo systemctl enable --now fail2ban

总结

通过以上五个步骤——及时更新系统、配置防火墙、清理无用服务、强化SSH、监控日志，你可以显著提升RockyLinux系统的安全性。这些操作构成了 RockyLinux系统安全 的基础防线，也是 Linux服务器维护 的核心内容。

记住，安全不是一次性的任务，而是一个持续的过程。建议制定定期检查计划，结合 RockyLinux安全加固 和 系统安全最佳实践，让你的服务器长期处于安全状态。

希望这篇教程能帮助你构建一个更安全、更可靠的RockyLinux环境！