在CentOS系统中,配置防火墙是确保系统安全的重要步骤之一。以下是一些基本的配置步骤和最佳实践,以帮助你提高CentOS防火墙的安全性。
安装和启动firewalld:
sudo yum install firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo systemctl status firewalld
或firewall-cmd --state
配置防火墙规则:
sudo firewall-cmd --list-all
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
这条命令将在公共区域添加一个规则,允许TCP协议的流量通过80端口。--permanent
选项表示这个规则将在重启后依然生效。sudo firewall-cmd --zone=public --add-service=http --permanent
这条命令将永久开放HTTP服务(端口80)。sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
sudo firewall-cmd --reload
配置默认区域策略:
sudo firewall-cmd --get-default-zone
sudo firewall-cmd --set-default-zone=work
使用IP白名单:
sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.12.0/24
sudo firewall-cmd --reload
禁用不必要的服务和端口:
sudo systemctl stop <service_name>
sudo systemctl disable <service_name>
强化SSH安全配置:
/etc/ssh/sshd_config
,增强SSH安全性:
PermitRootLogin no
PasswordAuthentication no
sudo systemctl restart sshd
定期更新系统和软件:
sudo yum update
启用SELinux:
sestatus
sudo setenforce 1
监控和记录关键系统活动:
sudo yum install auditd
sudo systemctl start auditd
sudo systemctl enable auditd
sudo systemctl enable firewalld
确保防火墙在系统启动时自动运行。通过遵循上述步骤和最佳实践,你可以有效地配置CentOS防火墙,从而提高系统的安全性。