在CentOS系统中,防火墙是保护系统安全的重要工具。通过配置防火墙,可以有效地控制进出系统的网络流量,防止未经授权的访问。以下是一些CentOS防火墙安全加固的步骤:
首先,确保Firewalld已经安装并启用。如果没有安装,可以使用以下命令进行安装:
sudo yum install firewalld
然后,启动并启用Firewalld服务:
sudo systemctl start firewalld
sudo systemctl enable firewalld
sudo firewall-cmd --state
sudo firewall-cmd --list-all
sudo firewall-cmd --permanent --add-port 22/tcp
sudo firewall-cmd --permanent --add-port 80/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
sudo firewall-cmd --reload
sudo systemctl stop <service_name>
sudo systemctl disable <service_name>
查看当前默认区域:
sudo firewall-cmd --get-default-zone
修改默认区域策略,例如将默认区域设置为“work”:
sudo firewall-cmd --set-default-zone=work
配置IP白名单,只允许特定IP地址访问服务器:
sudo firewall-cmd --permanent --zone=trusted --add-source=192.168.12.0/24
sudo firewall-cmd --reload
修改SSH配置文件 /etc/ssh/sshd_config,增强SSH安全性:
禁用root登录:
PermitRootLogin no
使用密钥认证代替密码认证:
PasswordAuthentication no
重启SSH服务:
sudo systemctl restart sshd
保持系统和软件的最新状态,及时修补已知的安全漏洞:
sudo yum update
SELinux是CentOS中的安全增强模块,可以帮助保护系统免受攻击:
sudo setenforce 1
要使SELinux设置永久生效,编辑 /etc/selinux/config 文件并将 SELINUX 设置为 enforcing。
开启审计守护进程,配置日志记录策略,定期检查和分析日志文件:
# 安装auditd服务
sudo yum install auditd
# 启动并启用auditd服务
sudo systemctl start auditd
sudo systemctl enable auditd
通过上述步骤,可以显著提高CentOS服务器的安全性,有效防御外部攻击和内部威胁。