Rocky Linux 9最小化安装后的10个关键安全加固指南当你完成Rocky Linux 9的最小化安装系统虽然干净但远未达到安全标准。作为企业级RHEL的替代品Rocky Linux继承了其稳定性与安全性基因但默认配置仍需优化才能抵御现代网络威胁。本文将分享我在生产环境中反复验证的10项核心安全设置帮助你在30分钟内将系统提升至企业级安全基线。1. SSH服务深度加固SSH是服务器最常被攻击的服务之一。默认配置存在多个安全隐患必须立即调整禁用root直接登录是首要任务。尽管原始安装指南建议开启但实际生产环境中这等同于给攻击者开绿灯。修改/etc/ssh/sshd_config文件sudo sed -i s/^#PermitRootLogin.*/PermitRootLogin no/ /etc/ssh/sshd_config密钥认证替代密码能有效防御暴力破解。生成ED25519密钥对比RSA更安全ssh-keygen -t ed25519 -a 100 -f ~/.ssh/admin_key将公钥部署到服务器后在sshd_config中强制启用密钥认证PasswordAuthentication no AuthenticationMethods publickey更改默认端口可减少自动化扫描攻击。建议选择1024-49151之间的端口Port 28492最后重启服务并验证配置sudo systemctl restart sshd sshd -t # 检查配置语法2. 防火墙策略精细化配置firewalld是Rocky Linux 9的默认防火墙但需要针对性配置才能发挥最大效用。首先确认服务状态sudo systemctl enable --now firewalld sudo firewall-cmd --state基础规则设置应遵循最小权限原则。典型配置示例sudo firewall-cmd --permanent \ --add-servicessh \ --add-servicehttp \ --add-servicehttps sudo firewall-cmd --permanent --remove-servicedhcpv6-client # 非必要服务应急访问保护至关重要。添加管理IP白名单防止误锁sudo firewall-cmd --permanent \ --add-rich-rulerule familyipv4 source address192.168.1.100/32 accept启用日志记录有助于事后分析sudo firewall-cmd --set-log-deniedall sudo firewall-cmd --reload3. 系统更新自动化部署未及时打补丁的系统是最大的安全漏洞。配置自动化更新sudo dnf install -y dnf-automatic sudo sed -i s/^apply_updates .*/apply_updates yes/ /etc/dnf/automatic.conf sudo systemctl enable --now dnf-automatic.timer关键补丁验证流程不可少。创建每周补丁报告echo #!/bin/sh /usr/bin/dnf updateinfo list installed /var/log/patch-report.log | sudo tee /etc/cron.weekly/patch-report sudo chmod x /etc/cron.weekly/patch-report4. 入侵防御系统部署fail2ban能有效阻止暴力破解尝试。安装配置步骤如下sudo dnf install -y fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local针对SSH的强化配置示例[sshd] enabled true port 28492 # 与SSH端口一致 filter sshd logpath /var/log/secure maxretry 3 bantime 1h findtime 10m启动服务并验证sudo systemctl enable --now fail2ban sudo fail2ban-client status sshd5. 用户权限体系优化sudo权限精细化比直接给管理员权限更安全。创建运维组并配置sudosudo groupadd sysadmins sudo visudo添加以下内容确保审计追踪%sysadmins ALL(ALL) /usr/bin/systemctl restart sshd, \ /usr/bin/dnf update, \ /usr/sbin/reboot Defaults:%sysadmins logfile/var/log/sudo.log密码策略强化防止弱口令sudo sed -i s/^PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/ /etc/login.defs sudo sed -i s/^PASS_MIN_LEN.*/PASS_MIN_LEN 12/ /etc/login.defs sudo dnf install -y libpwquality6. 内核参数安全调优sysctl是Linux内核的实时防护盾。创建安全配置文件sudo tee /etc/sysctl.d/99-security.conf EOF # 禁用IP转发和源路由 net.ipv4.ip_forward 0 net.ipv4.conf.all.send_redirects 0 net.ipv4.conf.default.send_redirects 0 # 防护SYN洪水攻击 net.ipv4.tcp_syncookies 1 net.ipv4.tcp_max_syn_backlog 2048 net.ipv4.tcp_synack_retries 3 # 内存保护 kernel.exec-shield 1 kernel.randomize_va_space 2 EOF立即应用配置sudo sysctl -p /etc/sysctl.d/99-security.conf7. 文件系统防护策略文件属性锁定防止关键配置被篡改sudo chattr i /etc/passwd /etc/group /etc/shadow /etc/gshadow sudo chattr i /etc/ssh/sshd_configumask严格化减少新建文件风险echo umask 027 | sudo tee /etc/profile.d/secure-umask.sh sudo chmod x /etc/profile.d/secure-umask.shAIDE入侵检测建立文件指纹库sudo dnf install -y aide sudo aide --init sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz设置每日自动检查echo 0 3 * * * root /usr/sbin/aide --check | sudo tee /etc/cron.d/aide-check8. 服务最小化原则禁用非必要服务减少攻击面sudo systemctl disable --now avahi-daemon cups bluetooth服务加固示例chrony时间服务sudo firewall-cmd --permanent --add-servicentp sudo firewall-cmd --reload sudo sed -i s/^#port.*/port 0/ /etc/chrony.conf9. 日志系统强化配置远程日志归档防止本地篡改sudo dnf install -y rsyslog sudo tee /etc/rsyslog.d/99-remote.conf EOF *.* 192.168.1.50:514 EOF日志轮转优化确保长期存储sudo sed -i s/^rotate.*/rotate 90/ /etc/logrotate.conf sudo systemctl restart rsyslog10. 安全审计与监控auditd系统配置记录关键操作sudo dnf install -y audit sudo tee /etc/audit/rules.d/99-security.rules EOF -w /etc/passwd -p wa -k identity -w /etc/group -p wa -k identity -w /var/log/faillog -p wa -k logins -w /etc/ssh/sshd_config -p wa -k sshd EOF启动审计服务sudo systemctl enable --now auditd实时监控推荐组合sudo dnf install -y atop sysstat sudo systemctl enable --now atop