当前位置:首页 > Centos > 正文

CentOS端口安全实战指南(手把手教你加固Linux服务器防火墙)

在当今网络环境中,CentOS端口安全是保障服务器稳定运行的第一道防线。开放不必要的端口就像给黑客敞开大门,因此掌握如何正确管理端口、配置防火墙是每一位运维人员和开发者的必备技能。本文将从零开始,带你一步步完成 CentOS 系统的网络安全加固,即使是 Linux 小白也能轻松上手。

CentOS端口安全实战指南(手把手教你加固Linux服务器防火墙) CentOS端口安全 防火墙配置 网络安全加固 Linux系统安全 第1张

一、为什么需要关注端口安全?

每个网络服务(如 SSH、Web、数据库等)都通过特定端口与外界通信。如果这些端口未加保护,攻击者可能利用漏洞入侵系统、窃取数据甚至控制整台服务器。例如:

  • SSH 默认使用 22 端口,若弱密码+开放端口 = 被暴力破解
  • MySQL 默认 3306 端口若对外暴露,可能导致数据库泄露
  • 未使用的端口长期开放,增加攻击面

因此,实施Linux系统安全策略时,必须严格控制端口访问权限。

二、查看当前开放的端口

首先,我们需要知道系统当前有哪些端口正在监听。在 CentOS 中,可以使用以下命令:

# 安装 netstat(如未安装)sudo yum install -y net-tools# 查看所有监听的 TCP/UDP 端口netstat -tuln# 或使用更现代的 ss 命令ss -tuln

输出示例:

Proto Recv-Q Send-Q Local Address           Foreign Address         State      tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     tcp6       0      0 :::80                   :::*                    LISTEN

注意:0.0.0.0 表示对所有 IP 开放,而 127.0.0.1 仅限本机访问,相对安全。

三、使用 firewalld 配置防火墙(CentOS 7/8 推荐方式)

CentOS 7 及以上版本默认使用 firewalld 作为防火墙管理工具。它比传统的 iptables 更易用,支持动态规则更新。

1. 启动并启用 firewalld

sudo systemctl start firewalldsudo systemctl enable firewalld

2. 查看当前防火墙状态

sudo firewall-cmd --statesudo firewall-cmd --list-all

3. 开放必要端口(以 Web 服务为例)

假设你运行了一个网站,需要开放 80(HTTP)和 443(HTTPS)端口:

# 永久开放 80 和 443 端口sudo firewall-cmd --permanent --add-port=80/tcpsudo firewall-cmd --permanent --add-port=443/tcp# 重载防火墙使配置生效sudo firewall-cmd --reload

4. 关闭危险或未使用端口

比如你不需要 FTP 服务(默认端口 21),可以将其关闭:

# 移除 21 端口(如果之前开放过)sudo firewall-cmd --permanent --remove-port=21/tcpsudo firewall-cmd --reload

四、高级技巧:限制 SSH 访问来源

为了进一步提升防火墙配置的安全性,你可以只允许特定 IP 访问 SSH(22 端口)。例如,只允许公司办公网段 192.168.1.0/24 访问:

# 添加富规则(rich rule)sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept'# 拒绝其他所有 IP 访问 22 端口(可选)sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="22" drop'sudo firewall-cmd --reload
⚠️ 注意:操作前请确保你有其他方式(如控制台)能登录服务器,避免被自己锁在外面!

五、定期检查与维护

安全不是一次性的任务。建议:

  • 每月审查一次开放端口
  • 关闭不再使用的服务(如 telnet、FTP)
  • 使用 fail2ban 防止 SSH 暴力破解
  • 保持系统和软件更新,修补已知漏洞

结语

通过本文的步骤,你已经掌握了 CentOS 系统中端口安全管理的核心方法。记住:最小化开放原则是安全的黄金法则——只开放必要的端口,只允许必要的 IP 访问。坚持良好的网络安全加固习惯,你的服务器将远离绝大多数自动化攻击。

如果你觉得这篇文章对你有帮助,欢迎收藏并在评论区分享你的实践经验!

免费vps免费服务器性价比服务器
本文由主机测评网于2025-12-14发表在主机测评网_免费VPS_免费云服务器_免费独立服务器,如有疑问,请联系我们。
本文链接:https://vpshk.cn/2025127592.html

相关文章