RockyLinux大数据安全加固（从零开始构建高安全性的大数据平台）

一、更新系统并安装基础安全工具

首先，确保你的 RockyLinux 系统是最新的，并安装必要的安全工具：

# 更新系统软件包sudo dnf update -y# 安装常用安全工具sudo dnf install -y firewalld fail2ban openssh-server lynis# 启用并启动防火墙sudo systemctl enable --now firewalld

二、配置 SSH 安全（关键步骤！）

SSH 是远程管理服务器的主要方式，但默认配置存在风险。我们需要修改 /etc/ssh/sshd_config 文件以增强SSH安全设置：

# 备份原始配置sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak# 编辑配置文件sudo vi /etc/ssh/sshd_config# 修改以下关键参数：Port 22222                    # 更改默认端口（可选但推荐）PermitRootLogin no            # 禁止 root 直接登录PasswordAuthentication no     # 禁用密码登录，仅允许密钥认证PubkeyAuthentication yes      # 启用公钥认证AllowUsers your_username      # 仅允许特定用户登录

保存后重启 SSH 服务：

sudo systemctl restart sshd

⚠️ 注意：在禁用密码登录前，请确保你已成功配置好 SSH 密钥登录，否则可能被锁在服务器外！

三、配置防火墙规则（RockyLinux防火墙配置）

使用 firewalld 限制不必要的端口访问，只开放大数据组件所需的端口（例如 Hadoop 的 9870、8088 等）：

# 查看当前区域sudo firewall-cmd --get-active-zones# 添加允许的端口（示例：Hadoop NameNode Web UI）sudo firewall-cmd --permanent --add-port=9870/tcp# 添加自定义 SSH 端口（如果你改了端口）sudo firewall-cmd --permanent --add-port=22222/tcp# 重载防火墙sudo firewall-cmd --reload# 查看当前规则sudo firewall-cmd --list-all

四、启用 Fail2Ban 防暴力破解

Fail2Ban 可自动封禁多次尝试登录失败的 IP 地址，有效防止暴力破解：

# 启用并启动 fail2bansudo systemctl enable --now fail2ban# 创建自定义配置（避免直接修改默认文件）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑 jail.local，确保 [sshd] 部分启用[sshd]enabled = trueport = 22222   # 如果你改了 SSH 端口maxretry = 3bantime = 600  # 封禁 10 分钟

五、定期安全审计与日志监控

使用 lynis 工具对系统进行全面安全审计：

# 执行安全审计sudo lynis audit system# 查看审计报告（通常位于 /var/log/lynis.log）cat /var/log/lynis.log | grep warning

同时，建议配置集中式日志系统（如 ELK 或 Rsyslog），以便实时监控 大数据系统安全 状况。

总结

通过以上五个步骤——系统更新、SSH 安全设置、防火墙配置、Fail2Ban 防护以及定期审计，你可以显著提升 RockyLinux 上大数据平台的安全性。记住，安全不是一次性任务，而是一个持续的过程。定期检查、更新策略，才能真正守护你的数据资产。

希望这篇教程能帮助你顺利完成 RockyLinux安全加固！如有疑问，欢迎在评论区交流。