RockyLinux部署安全加固指南（新手也能轻松上手的系统安全配置教程）

一、更新系统并安装必要工具

首先，确保系统是最新的，以修复已知漏洞：

sudo dnf update -ysudo dnf install -y vim firewalld fail2ban  

二、配置防火墙（firewalld）

启用并配置 firewalld 是提升 RockyLinux系统安全 的关键步骤。只开放必要的端口，例如 SSH（22）、HTTP（80）和 HTTPS（443）：

sudo systemctl enable --now firewalld# 查看当前区域sudo firewall-cmd --get-active-zones# 仅允许 SSH、HTTP 和 HTTPSsudo firewall-cmd --permanent --add-service=sshsudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https# 重载防火墙规则sudo firewall-cmd --reload  

三、强化SSH安全

SSH 是远程管理的主要入口，也是攻击者重点目标。修改默认配置可显著提升 RockyLinux服务器防护 能力：

1. 禁止 root 直接登录
2. 更改默认 SSH 端口（可选但推荐）
3. 仅允许密钥认证

编辑 SSH 配置文件：

sudo vim /etc/ssh/sshd_config  

修改以下参数：

PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPort 2222  # 可选：更改默认端口  

保存后重启 SSH 服务：

sudo systemctl restart sshd  

注意：在修改 SSH 配置前，请确保你已配置好公钥登录，否则可能被锁在服务器外！

四、安装并配置 Fail2Ban

Fail2Ban 能自动封禁多次尝试失败的 IP 地址，有效防止暴力破解，是 RockyLinux安全配置 中不可或缺的一环。

sudo systemctl enable --now fail2ban# 复制默认配置sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑本地配置（启用 SSH 监控）sudo vim /etc/fail2ban/jail.local  

在 [sshd] 段落中添加或修改：

[sshd]enabled = trueport = 2222  # 如果你改了 SSH 端口，这里也要对应修改maxretry = 3bantime = 600  

重启 Fail2Ban 使配置生效：

sudo systemctl restart fail2ban  

五、定期审计与日志监控

使用 auditd 和 logwatch 工具可帮助你持续监控系统行为：

sudo dnf install -y audit logwatchsudo systemctl enable --now auditd  

建议每周查看一次日志摘要，及时发现异常活动。

结语

通过以上五个步骤，你可以为 RockyLinux 服务器构建一道坚实的安全防线。记住，安全不是一次性任务，而是一个持续的过程。定期更新、监控和优化你的 RockyLinux安全加固 策略，才能真正保障业务稳定运行。

关键词：RockyLinux安全加固、RockyLinux系统安全、RockyLinux服务器防护、RockyLinux安全配置