centos防火墻安全如何加固

以下是CentOS防火墻安全加固的關鍵措施：

1. 安裝并啟用防火墻
   安裝firewalld并設置為開機自啟：

   sudo yum install firewalld  
   sudo systemctl start firewalld  
   sudo systemctl enable firewalld  
   

2. 配置默認區域與規則

   • 設置默認區域為work或dmz等更嚴格的策略：

     sudo firewall-cmd --set-default-zone=work  
     

   • 開放必要端口（如SSH 22、HTTP 80/HTTPS 443），并限制訪問IP：

     sudo firewall-cmd --permanent --add-port=22/tcp  
     sudo firewall-cmd --permanent --add-rich-rule='rule source address="192.168.1.0/24" service name="ssh" accept'  
     

3. 關閉不必要的服務與端口
   禁用非必要服務（如telnet、ftp）及對應端口，減少攻擊面：

   sudo systemctl stop 服務名  
   sudo systemctl disable 服務名  
   sudo firewall-cmd --permanent --remove-service=服務名  
   

4. 強化SSH安全

   • 禁止root登錄、啟用密鑰認證：修改/etc/ssh/sshd_config，設置PermitRootLogin no、PasswordAuthentication no。
   • 修改默認SSH端口（如改為2222）并限制登錄嘗試次數。

5. 啟用SELinux
   啟用安全增強模塊，限制進程權限：

   sudo setenforce 1  
   sudo sed -i 's/^SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config  
   

6. 日志與監控

   • 啟用防火墻日志記錄，分析異常訪問：

     sudo firewall-cmd --set-log-denied=all  
     

   • 定期查看/var/log/secure等日志，識別潛在攻擊。

7. 定期更新與規則優化

   • 定期更新系統補?。?code>sudo yum update。
   • 清理冗余規則，將常用規則置頂，提升處理效率。

注：部分操作需根據實際業務調整，測試環境驗證后再應用到生產環境。