Rocky Linux 作为CentOS的官方继承者，以其稳定性、可靠性和兼容性受到广大用户的青睐。然而，在享受其带来的便利的同时，保障系统安全同样至关重要。本文将为您揭秘 Rocky Linux 的安全奥秘，提供一份全面的安全指南，助您筑牢系统防线。

一、系统更新与加固

1. 定期更新系统

保持 Rocky Linux 系统更新是防范安全风险的基础。通过定期更新，可以获取最新的安全补丁和修复程序，防止漏洞被恶意攻击者利用。

sudo dnf update

2. 安装最小化系统

在安装 Rocky Linux 时，选择最小化安装，只安装必要的软件包，以减少系统中的潜在风险。

二、用户权限与密码策略

1. 强化用户权限

确保系统上不允许使用 root 用户进行日常操作，而是通过 sudo 权限分配来执行需要的管理员操作。

# 编辑sudoers文件
visudo
# 示例：允许用户user1运行特定命令
user1 ALL(ALL) NOPASSWD: /usr/bin/systemctl,

2. 使用强密码策略

强制用户使用复杂的密码，并定期更换密码。禁用空密码和默认账户。

三、SSH安全配置

1. 禁用root用户登录

禁用通过 SSH 进行的 Root 登录，以降低被破解的风险。

sudo vi /etc/ssh/sshd_config
PermitRootLogin no

2. 使用密钥认证登录

禁用密码登录，仅使用公钥身份验证。

# 生成密钥对
ssh-keygen -t rsa -b 4096 -C "youremail@example.com"

# 将公钥复制到服务器
ssh-copy-id -i ~/.ssh/id_rsa.pub username@serverip

3. 修改默认SSH端口

不建议使用默认的22端口，建议选10000-65535范围内端口，增加黑客识别SSH端口难度。

# 修改SSH端口
sudo vi /etc/ssh/sshd_config
Port 2222

四、防火墙配置

1. 启用防火墙

启用防火墙以限制进入和离开服务器的网络流量。

sudo systemctl start firewalld
sudo systemctl enable firewalld

2. 配置防火墙规则

仅允许所需的端口和协议通过防火墙。

sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --reload

五、入侵检测系统

1. 安装Fail2Ban

Fail2Ban是一款基于Debian的系统（如Ubuntu）和基于Redhat系统（如CentOS）的入侵防御工具。

sudo dnf install fail2ban

2. 配置Fail2Ban

创建本地配置文件/etc/fail2ban/jail.local，监听端口22（SSH默认端口），使用sshd过滤器来分析/var/log/auth.log日志文件中的登录失败事件。

sudo vi /etc/fail2ban/jail.local
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

六、物理安全

1. 限制物理访问

确保服务器物理访问受到限制，只允许授权人员进入服务器房间。

2. 监控服务器环境

对服务器环境进行监控，如温度、湿度、电源等，确保服务器稳定运行。

通过以上措施，您可以有效提高 Rocky Linux 服务器的安全性，筑牢系统防线。在实际操作中，请根据具体情况进行调整和优化。