RockyLinux服务安全加固指南（新手也能轻松上手的Linux服务器安全配置教程）

一、更新系统与安装基础安全工具

首先，确保系统为最新版本，并安装必要的安全工具：

sudo dnf update -ysudo dnf install -y firewalld fail2ban vim audit

这一步不仅修复了已知漏洞，还安装了防火墙（firewalld）、暴力破解防护（fail2ban）和系统审计工具（audit），是RockyLinux安全加固的基础。

二、配置防火墙（firewalld）

默认只开放必要端口（如SSH的22端口），关闭其他所有端口：

# 启动并设置开机自启sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许SSH（假设你的SSH端口是22）sudo firewall-cmd --permanent --add-service=ssh# 如果你还运行Web服务，可额外添加http/https# sudo firewall-cmd --permanent --add-service=http# sudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload

通过合理配置RockyLinux服务安全中的网络访问策略，可以大幅降低被攻击的风险。

三、强化SSH安全

SSH是远程管理的关键入口，必须重点保护：

# 编辑SSH配置文件sudo vim /etc/ssh/sshd_config# 修改以下关键参数：Port 22222                    # 更改默认端口（可选但推荐）PermitRootLogin no           # 禁止root直接登录PasswordAuthentication no    # 禁用密码登录，使用密钥认证PubkeyAuthentication yes     # 启用公钥认证# 保存后重启SSH服务sudo systemctl restart sshd

记得提前配置好SSH密钥对，否则可能被锁在服务器外！这是服务器安全配置中最关键的一步。

四、启用Fail2Ban防止暴力破解

Fail2Ban能自动封禁多次尝试失败的IP：

# 启动并设置开机自启sudo systemctl enable --now fail2ban# 创建本地配置（避免升级覆盖）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑jail.local，找到[sshd]部分并启用：[sshd]enabled = trueport = 22222   # 与你SSH配置的端口一致maxretry = 3bantime = 86400  # 封禁1天（秒）# 重启fail2bansudo systemctl restart fail2ban

五、定期审计与日志监控

使用auditd监控关键文件和命令：

sudo systemctl enable --now auditd# 添加规则监控/etc/passwd等敏感文件sudo auditctl -w /etc/passwd -p wa -k passwd_changessudo auditctl -w /etc/shadow -p wa -k shadow_changes# 查看审计日志sudo ausearch -k passwd_changes

结合日志分析，能及时发现异常行为，实现主动防御，这也是高级Linux系统加固的重要组成部分。

总结

通过以上五个步骤，你可以显著提升RockyLinux服务器的安全性。记住：安全不是一次性任务，而是一个持续的过程。定期更新、监控日志、最小权限原则，是保障系统长期安全的核心理念。

关键词回顾：RockyLinux安全加固、RockyLinux服务安全、服务器安全配置、Linux系统加固。