Rocky Linux 9.x 安全加固实战指南:从系统初始化到生产级防护
摘要:本文详细介绍 Rocky Linux 9.x 系统的安全加固方案,涵盖系统初始化、防火墙配置、SSH 安全、内核参数优化、审计日志、入侵检测等核心内容,帮助运维人员构建生产级安全防护体系。
为什么值得看
Rocky Linux 作为 CentOS 的替代方案,已广泛应用于生产环境
系统默认配置无法满足生产安全要求,必须手动加固
安全加固是等保合规、安全审计的必备要求
预防胜于补救,事前加固远优于事后应急响应
先说结论
- 最小化安装原则:只安装必要的软件包和服务
- 防火墙默认拒绝:只开放业务必需的端口
- SSH 安全加固:禁用 root 登录、启用密钥认证
- 内核参数优化:防范网络攻击和资源耗尽
- 审计日志完整:确保所有操作可追溯
- 定期更新补丁:及时修复已知漏洞
背景与约束
Rocky Linux 9.x 是基于 RHEL 9 的企业级 Linux 发行版
适用于生产环境,但默认配置偏重兼容性而非安全性
本文基于 Rocky Linux 9.3+ 版本,适用于物理机、虚拟机、容器宿主机
方案设计
分层防护策略:网络层、系统层、应用层、数据层
最小权限原则:用户、服务、文件权限最小化
纵深防御:多层防护措施,单一防护失效不影响整体安全
可追溯性:完整的审计日志和监控告警
实战步骤
Step 1: 系统初始化与最小化安装
- 选择 Minimal Install 安装方式
- 移除不必要的软件包和服务
- 禁用不需要的系统服务
Step 2: 防火墙配置(firewalld)
- 启用 firewalld 服务
- 配置默认区域为 drop 或 public
- 只开放业务必需的端口
- 配置 IP 黑白名单
Step 3: SSH 安全加固
- 修改默认端口
- 禁用 root 登录
- 启用密钥认证
- 限制登录用户和 IP
- 配置失败锁定策略
Step 4: 内核参数优化(sysctl)
- 网络参数优化(防 SYN 攻击、ICMP 限制)
- 内存保护(ASLR、核心转储限制)
- 文件系统保护
Step 5: 用户与权限管理
- 密码策略配置(pam_pwquality)
- sudo 权限控制
- 禁用不必要的系统账户
- 配置账户锁定策略
Step 6: 审计日志配置(auditd)
- 启用 auditd 服务
- 配置关键文件和目录的监控
- 配置系统调用审计
- 日志远程备份
Step 7: 入侵检测与监控
- 安装配置 AIDE 文件完整性检查
- 配置 fail2ban 防暴力破解
- 系统资源监控告警
Step 8: 定期更新与漏洞管理
- 配置自动安全更新
- 定期漏洞扫描
- 补丁管理流程
关键代码或命令
# 防火墙配置示例
sudo systemctl enable --now firewalld
sudo firewall-cmd --permanent --zone=public --add-service=ssh
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
sudo firewall-cmd --reload
# SSH 加固配置
sudo vim /etc/ssh/sshd_config
# Port 2222
# PermitRootLogin no
# PasswordAuthentication no
# PubkeyAuthentication yes
# MaxAuthTries 3
# 内核参数优化
sudo vim /etc/sysctl.d/99-security.conf
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_echo_ignore_all = 1
kernel.randomize_va_space = 2
# 审计配置
sudo systemctl enable --now auditd
sudo auditctl -w /etc/passwd -p wa -k identity常见问题
加固后会影响业务吗?
合理的加固不会影响正常业务。建议先在测试环境验证,确认业务端口和服务正常运行后再应用到生产环境。
如何验证加固效果?
可以使用 Lynis、OpenSCAP 等安全扫描工具进行合规性检查,也可以进行渗透测试验证防护效果。
加固配置如何备份和恢复?
建议使用 Ansible 等配置管理工具保存加固脚本,或使用 etckeeper 等工具版本化管理/etc 目录。
是否需要定期重新加固?
系统更新、软件安装可能改变安全配置。建议每季度进行一次安全配置审计,确保加固状态持续有效。
总结
安全加固是一个持续的过程,不是一次性任务
遵循最小权限、纵深防御、可追溯性三大原则
根据业务需求调整加固策略,平衡安全与便利
定期审计和更新是保持安全状态的关键
延伸阅读
如果这篇文章对你有帮助,欢迎关注、收藏、转发,也欢迎在评论区交流你的实践经验。