当前位置：首页 > article >正文

Rocky Linux 9最小化安装后，我第一时间会做的10个安全加固设置（新手必看）

article 2026/3/28 14:40:44

Rocky Linux 9最小化安装后的10个关键安全加固指南当你完成Rocky Linux 9的最小化安装系统虽然干净但远未达到安全标准。作为企业级RHEL的替代品Rocky Linux继承了其稳定性与安全性基因但默认配置仍需优化才能抵御现代网络威胁。本文将分享我在生产环境中反复验证的10项核心安全设置帮助你在30分钟内将系统提升至企业级安全基线。1. SSH服务深度加固SSH是服务器最常被攻击的服务之一。默认配置存在多个安全隐患必须立即调整禁用root直接登录是首要任务。尽管原始安装指南建议开启但实际生产环境中这等同于给攻击者开绿灯。修改/etc/ssh/sshd_config文件sudo sed -i s/^#PermitRootLogin.*/PermitRootLogin no/ /etc/ssh/sshd_config密钥认证替代密码能有效防御暴力破解。生成ED25519密钥对比RSA更安全ssh-keygen -t ed25519 -a 100 -f ~/.ssh/admin_key将公钥部署到服务器后在sshd_config中强制启用密钥认证PasswordAuthentication no AuthenticationMethods publickey更改默认端口可减少自动化扫描攻击。建议选择1024-49151之间的端口Port 28492最后重启服务并验证配置sudo systemctl restart sshd sshd -t # 检查配置语法2. 防火墙策略精细化配置firewalld是Rocky Linux 9的默认防火墙但需要针对性配置才能发挥最大效用。首先确认服务状态sudo systemctl enable --now firewalld sudo firewall-cmd --state基础规则设置应遵循最小权限原则。典型配置示例sudo firewall-cmd --permanent \ --add-servicessh \ --add-servicehttp \ --add-servicehttps sudo firewall-cmd --permanent --remove-servicedhcpv6-client # 非必要服务应急访问保护至关重要。添加管理IP白名单防止误锁sudo firewall-cmd --permanent \ --add-rich-rulerule familyipv4 source address192.168.1.100/32 accept启用日志记录有助于事后分析sudo firewall-cmd --set-log-deniedall sudo firewall-cmd --reload3. 系统更新自动化部署未及时打补丁的系统是最大的安全漏洞。配置自动化更新sudo dnf install -y dnf-automatic sudo sed -i s/^apply_updates .*/apply_updates yes/ /etc/dnf/automatic.conf sudo systemctl enable --now dnf-automatic.timer关键补丁验证流程不可少。创建每周补丁报告echo #!/bin/sh /usr/bin/dnf updateinfo list installed /var/log/patch-report.log | sudo tee /etc/cron.weekly/patch-report sudo chmod x /etc/cron.weekly/patch-report4. 入侵防御系统部署fail2ban能有效阻止暴力破解尝试。安装配置步骤如下sudo dnf install -y fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local针对SSH的强化配置示例[sshd] enabled true port 28492 # 与SSH端口一致 filter sshd logpath /var/log/secure maxretry 3 bantime 1h findtime 10m启动服务并验证sudo systemctl enable --now fail2ban sudo fail2ban-client status sshd5. 用户权限体系优化sudo权限精细化比直接给管理员权限更安全。创建运维组并配置sudosudo groupadd sysadmins sudo visudo添加以下内容确保审计追踪%sysadmins ALL(ALL) /usr/bin/systemctl restart sshd, \ /usr/bin/dnf update, \ /usr/sbin/reboot Defaults:%sysadmins logfile/var/log/sudo.log密码策略强化防止弱口令sudo sed -i s/^PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/ /etc/login.defs sudo sed -i s/^PASS_MIN_LEN.*/PASS_MIN_LEN 12/ /etc/login.defs sudo dnf install -y libpwquality6. 内核参数安全调优sysctl是Linux内核的实时防护盾。创建安全配置文件sudo tee /etc/sysctl.d/99-security.conf EOF # 禁用IP转发和源路由 net.ipv4.ip_forward 0 net.ipv4.conf.all.send_redirects 0 net.ipv4.conf.default.send_redirects 0 # 防护SYN洪水攻击 net.ipv4.tcp_syncookies 1 net.ipv4.tcp_max_syn_backlog 2048 net.ipv4.tcp_synack_retries 3 # 内存保护 kernel.exec-shield 1 kernel.randomize_va_space 2 EOF立即应用配置sudo sysctl -p /etc/sysctl.d/99-security.conf7. 文件系统防护策略文件属性锁定防止关键配置被篡改sudo chattr i /etc/passwd /etc/group /etc/shadow /etc/gshadow sudo chattr i /etc/ssh/sshd_configumask严格化减少新建文件风险echo umask 027 | sudo tee /etc/profile.d/secure-umask.sh sudo chmod x /etc/profile.d/secure-umask.shAIDE入侵检测建立文件指纹库sudo dnf install -y aide sudo aide --init sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz设置每日自动检查echo 0 3 * * * root /usr/sbin/aide --check | sudo tee /etc/cron.d/aide-check8. 服务最小化原则禁用非必要服务减少攻击面sudo systemctl disable --now avahi-daemon cups bluetooth服务加固示例chrony时间服务sudo firewall-cmd --permanent --add-servicentp sudo firewall-cmd --reload sudo sed -i s/^#port.*/port 0/ /etc/chrony.conf9. 日志系统强化配置远程日志归档防止本地篡改sudo dnf install -y rsyslog sudo tee /etc/rsyslog.d/99-remote.conf EOF *.* 192.168.1.50:514 EOF日志轮转优化确保长期存储sudo sed -i s/^rotate.*/rotate 90/ /etc/logrotate.conf sudo systemctl restart rsyslog10. 安全审计与监控auditd系统配置记录关键操作sudo dnf install -y audit sudo tee /etc/audit/rules.d/99-security.rules EOF -w /etc/passwd -p wa -k identity -w /etc/group -p wa -k identity -w /var/log/faillog -p wa -k logins -w /etc/ssh/sshd_config -p wa -k sshd EOF启动审计服务sudo systemctl enable --now auditd实时监控推荐组合sudo dnf install -y atop sysstat sudo systemctl enable --now atop

Rocky Linux 9最小化安装后，我第一时间会做的10个安全加固设置（新手必看）

相关文章：

Rocky Linux 9最小化安装后，我第一时间会做的10个安全加固设置（新手必看）

Arduino按钮新玩法：一个按键实现开关机、模式切换，附完整项目代码

Batex：Blender批量FBX导出终极指南，3D艺术家必备的高效工作流解决方案

深度学习驱动的场景文本检测与识别：技术演进与前沿应用

如何快速上手IINA：macOS上最强大的免费视频播放器终极指南

别再被英文界面劝退！手把手教你用AVL Cruise 2019搭建第一个纯电动车仿真模型

避开这些坑！Anthropic Computer Use在Mac上的安全使用指南（含Streamlit界面优化技巧）

Z-Image-Turbo_Sugar脸部Lora入门指南：从零开始搭建Sugar专属AI人脸生成系统

C# dynamic 关键字实战：5个真实场景教你如何优雅处理动态数据

哔哩下载姬(downkyi)全功能指南：从入门到精通的视频下载解决方案

别再死记硬背了！用‘抽奖游戏’和‘股票涨跌’轻松搞懂马尔可夫链的几种变体

用STM32F103和TMC2209给步进电机加个‘防丢步’外挂：手把手实现位置式PID闭环

手把手教你用LiuJuan Z-Image：从下载到出图，小白也能搞定高清人像生成

小白也能玩转AI语音：VoxCPM-1.5-WEBUI快速入门指南

Python实战：用WordCloud打造个性化圆形词云图

BERT文本分割-中文-通用领域开发者指南：源码路径/usr/local/bin/webui.py解析

避坑指南：金融风控建模中最容易被忽略的5个数据陷阱（以贷款违约预测为例）

从GDF到特征矩阵：基于MNE的BCI Competition IV 2a运动想象数据全流程预处理指南

对公司在使用AI变成的思考，我们是牧羊人吗？

cv_resnet18_ocr-detection新手入门：3步完成图片文字识别

verl分布式训练实战：从单机多卡到多机多卡的完整配置指南

深入剖析torchvision Faster-RCNN ResNet-50 FPN中的RPN机制与实现细节

VMware虚拟机磁盘链乱了怎么办？手把手教你用vmware-vdiskmanager和自制工具修复VMDK快照关系

RexUniNLU镜像免配置：预置中文分词增强模块，提升未登录词与新词识别率

汽车电子 - AutoSAR CAN通信栈：从硬件对象到软件缓冲的实战解析

Jupyter Notebook内核崩溃？别急着重装！试试这个Anaconda环境修复方案

Audacity：终极免费音频编辑软件的完整使用指南

北斗网格位置码实战：从编码原理到Java实现（非极地）

大语言模型+进化算法：LLM-LNS如何解决传统MILP优化难题？

深入解析JLink与SWD接口：从引脚定义到实际调试应用