centos

centos防火墙如何配置才能安全

小樊
45
2025-06-30 12:08:12
栏目: 智能运维

在CentOS系统中,配置防火墙是确保系统安全的重要步骤之一。以下是一些基本的配置步骤和最佳实践,以帮助你提高CentOS防火墙的安全性。

基本配置步骤

  1. 安装和启动firewalld

    • 如果系统尚未安装firewalld,可以使用以下命令进行安装:
      sudo yum install firewalld
      
    • 启动firewalld服务并设置开机自启:
      sudo systemctl start firewalld
      sudo systemctl enable firewalld
      
    • 检查firewalld服务状态:
      sudo systemctl status firewalld
      
      firewall-cmd --state
      
  2. 配置防火墙规则

    • 查看当前规则
      sudo firewall-cmd --list-all
      
    • 添加允许特定端口的规则
      sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
      
      这条命令将在公共区域添加一个规则,允许TCP协议的流量通过80端口。--permanent选项表示这个规则将在重启后依然生效。
    • 允许特定服务
      sudo firewall-cmd --zone=public --add-service=http --permanent
      
      这条命令将永久开放HTTP服务(端口80)。
    • 添加新的防火墙规则,允许TCP协议的8080端口通过
      sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
      
    • 重新加载防火墙配置以应用更改
      sudo firewall-cmd --reload
      
  3. 配置默认区域策略

    • 查看当前默认区域:
      sudo firewall-cmd --get-default-zone
      
    • 修改默认区域策略,例如将默认区域设置为“work”:
      sudo firewall-cmd --set-default-zone=work
      
  4. 使用IP白名单

    • 配置IP白名单,只允许特定IP地址访问服务器:
      sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.12.0/24
      
    • 重新加载防火墙配置以应用更改:
      sudo firewall-cmd --reload
      
  5. 禁用不必要的服务和端口

    • 禁用不需要的服务和端口,降低被攻击的风险:
      sudo systemctl stop <service_name>
      sudo systemctl disable <service_name>
      
  6. 强化SSH安全配置

    • 修改SSH配置文件 /etc/ssh/sshd_config,增强SSH安全性:
      • 禁用root登录:
        PermitRootLogin no
        
      • 使用密钥认证代替密码认证:
        PasswordAuthentication no
        
    • 重启SSH服务:
      sudo systemctl restart sshd
      
  7. 定期更新系统和软件

    • 保持系统和软件的最新状态,及时修补已知的安全漏洞:
      sudo yum update
      
  8. 启用SELinux

    • SELinux是CentOS中的安全增强模块,可以帮助保护系统免受攻击。可以通过以下命令检查SELinux状态:
      sestatus
      
    • 如果SELinux未启用,可以使用以下命令启用它:
      sudo setenforce 1
      
  9. 监控和记录关键系统活动

    • 开启审计守护进程,配置日志记录策略,定期检查和分析日志文件:
      • 安装auditd服务:
        sudo yum install auditd
        
      • 启动并启用auditd服务:
        sudo systemctl start auditd
        sudo systemctl enable auditd
        

安全配置最佳实践

通过遵循上述步骤和最佳实践,你可以有效地配置CentOS防火墙,从而提高系统的安全性。

0
看了该问题的人还看了