Rocky Linux 9最小化安装后,我第一时间会做的10个安全加固设置(新手必看)
Rocky Linux 9最小化安装后的10个关键安全加固指南
当你完成Rocky Linux 9的最小化安装,系统虽然干净但远未达到安全标准。作为企业级RHEL的替代品,Rocky Linux继承了其稳定性与安全性基因,但默认配置仍需优化才能抵御现代网络威胁。本文将分享我在生产环境中反复验证的10项核心安全设置,帮助你在30分钟内将系统提升至企业级安全基线。
1. SSH服务深度加固
SSH是服务器最常被攻击的服务之一。默认配置存在多个安全隐患,必须立即调整:
禁用root直接登录是首要任务。尽管原始安装指南建议开启,但实际生产环境中这等同于给攻击者开绿灯。修改/etc/ssh/sshd_config文件:
sudo sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config密钥认证替代密码能有效防御暴力破解。生成ED25519密钥对(比RSA更安全):
ssh-keygen -t ed25519 -a 100 -f ~/.ssh/admin_key将公钥部署到服务器后,在sshd_config中强制启用密钥认证:
PasswordAuthentication no AuthenticationMethods publickey更改默认端口可减少自动化扫描攻击。建议选择1024-49151之间的端口:
Port 28492最后重启服务并验证配置:
sudo systemctl restart sshd sshd -t # 检查配置语法2. 防火墙策略精细化配置
firewalld是Rocky Linux 9的默认防火墙,但需要针对性配置才能发挥最大效用。首先确认服务状态:
sudo systemctl enable --now firewalld sudo firewall-cmd --state基础规则设置应遵循最小权限原则。典型配置示例:
sudo firewall-cmd --permanent \ --add-service=ssh \ --add-service=http \ --add-service=https sudo firewall-cmd --permanent --remove-service=dhcpv6-client # 非必要服务应急访问保护至关重要。添加管理IP白名单防止误锁:
sudo firewall-cmd --permanent \ --add-rich-rule='rule family="ipv4" source address="192.168.1.100/32" accept'启用日志记录有助于事后分析:
sudo firewall-cmd --set-log-denied=all sudo firewall-cmd --reload3. 系统更新自动化部署
未及时打补丁的系统是最大的安全漏洞。配置自动化更新:
sudo dnf install -y dnf-automatic sudo sed -i 's/^apply_updates =.*/apply_updates = yes/' /etc/dnf/automatic.conf sudo systemctl enable --now dnf-automatic.timer关键补丁验证流程不可少。创建每周补丁报告:
echo '#!/bin/sh /usr/bin/dnf updateinfo list installed >> /var/log/patch-report.log' | sudo tee /etc/cron.weekly/patch-report sudo chmod +x /etc/cron.weekly/patch-report4. 入侵防御系统部署
fail2ban能有效阻止暴力破解尝试。安装配置步骤如下:
sudo dnf install -y fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local针对SSH的强化配置示例:
[sshd] enabled = true port = 28492 # 与SSH端口一致 filter = sshd logpath = /var/log/secure maxretry = 3 bantime = 1h findtime = 10m启动服务并验证:
sudo systemctl enable --now fail2ban sudo fail2ban-client status sshd5. 用户权限体系优化
sudo权限精细化比直接给管理员权限更安全。创建运维组并配置sudo:
sudo groupadd sysadmins sudo visudo添加以下内容确保审计追踪:
%sysadmins ALL=(ALL) /usr/bin/systemctl restart sshd, \ /usr/bin/dnf update, \ /usr/sbin/reboot Defaults:%sysadmins logfile=/var/log/sudo.log密码策略强化防止弱口令:
sudo sed -i 's/^PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs sudo sed -i 's/^PASS_MIN_LEN.*/PASS_MIN_LEN 12/' /etc/login.defs sudo dnf install -y libpwquality6. 内核参数安全调优
sysctl是Linux内核的实时防护盾。创建安全配置文件:
sudo tee /etc/sysctl.d/99-security.conf <<EOF # 禁用IP转发和源路由 net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 防护SYN洪水攻击 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 3 # 内存保护 kernel.exec-shield = 1 kernel.randomize_va_space = 2 EOF立即应用配置:
sudo sysctl -p /etc/sysctl.d/99-security.conf7. 文件系统防护策略
文件属性锁定防止关键配置被篡改:
sudo chattr +i /etc/passwd /etc/group /etc/shadow /etc/gshadow sudo chattr +i /etc/ssh/sshd_configumask严格化减少新建文件风险:
echo 'umask 027' | sudo tee /etc/profile.d/secure-umask.sh sudo chmod +x /etc/profile.d/secure-umask.shAIDE入侵检测建立文件指纹库:
sudo dnf install -y aide sudo aide --init sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz设置每日自动检查:
echo '0 3 * * * root /usr/sbin/aide --check' | sudo tee /etc/cron.d/aide-check8. 服务最小化原则
禁用非必要服务减少攻击面:
sudo systemctl disable --now avahi-daemon cups bluetooth服务加固示例(chrony时间服务):
sudo firewall-cmd --permanent --add-service=ntp sudo firewall-cmd --reload sudo sed -i 's/^#port.*/port 0/' /etc/chrony.conf9. 日志系统强化配置
远程日志归档防止本地篡改:
sudo dnf install -y rsyslog sudo tee /etc/rsyslog.d/99-remote.conf <<EOF *.* @192.168.1.50:514 EOF日志轮转优化确保长期存储:
sudo sed -i 's/^rotate.*/rotate 90/' /etc/logrotate.conf sudo systemctl restart rsyslog10. 安全审计与监控
auditd系统配置记录关键操作:
sudo dnf install -y audit sudo tee /etc/audit/rules.d/99-security.rules <<EOF -w /etc/passwd -p wa -k identity -w /etc/group -p wa -k identity -w /var/log/faillog -p wa -k logins -w /etc/ssh/sshd_config -p wa -k sshd EOF启动审计服务:
sudo systemctl enable --now auditd实时监控推荐组合:
sudo dnf install -y atop sysstat sudo systemctl enable --now atop