Centos云安全加固实战指南（手把手教你提升Linux服务器安全性）

一、更新系统与安装必要工具

首先，确保你的CentOS系统是最新的。这不仅能修复已知漏洞，还能提升整体稳定性。

# 更新所有已安装的软件包sudo yum update -y# 安装常用安全工具（如fail2ban、firewalld等）sudo yum install -y fail2ban firewalld vim net-tools

二、禁用不必要的服务和端口

减少攻击面是服务器安全配置的核心原则之一。关闭不用的服务可以显著降低风险。

# 查看当前运行的服务systemctl list-units --type=service --state=running# 禁用并停止不需要的服务（例如：postfix、cups等）sudo systemctl stop postfixsudo systemctl disable postfix

三、配置防火墙（firewalld）

使用firewalld限制入站连接，只开放必要的端口（如22用于SSH，80/443用于Web服务）。

# 启动并设置开机自启sudo systemctl start firewalldsudo systemctl enable firewalld# 仅允许SSH（22）、HTTP（80）、HTTPS（443）sudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

四、强化SSH安全

SSH是远程管理服务器的主要方式，也是黑客重点攻击目标。通过以下措施可大幅提升Linux系统安全：

• 禁止root直接登录
• 更改默认端口（如从22改为2222）
• 启用密钥认证，禁用密码登录

编辑SSH配置文件：

sudo vim /etc/ssh/sshd_config# 修改以下参数（取消注释并修改）Port 2222PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yes# 保存后重启SSH服务sudo systemctl restart sshd

⚠️ 注意：在修改SSH配置前，请确保你已配置好公钥登录，否则可能被锁在服务器外！

五、安装Fail2Ban防止暴力破解

Fail2Ban能自动封禁多次尝试失败的IP地址，是云主机防护的重要工具。

# 启动并启用Fail2Bansudo systemctl start fail2bansudo systemctl enable fail2ban# 创建本地配置（避免升级覆盖）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑jail.local，启用SSH防护sudo vim /etc/fail2ban/jail.local# 找到 [sshd] 部分，修改为：[sshd]enabled = trueport = 2222  # 如果你改了SSH端口maxretry = 3bantime = 600

六、定期审计与日志监控

安全不是一次性的任务。建议定期检查系统日志（/var/log/secure、/var/log/messages），并使用工具如auditd进行行为审计。

# 安装auditdsudo yum install -y audit# 启动并启用sudo systemctl start auditdsudo systemctl enable auditd

结语

通过以上六个步骤，你可以显著提升CentOS云服务器的安全性。记住，Centos云安全加固是一个持续的过程，需要结合业务需求不断调整策略。建议定期备份重要数据，并关注官方安全公告。

安全无小事，从今天开始，为你的云主机穿上“铠甲”吧！