引言

Rocky Linux 9是一款备受Linux用户喜爱的操作系统，它以其稳定性和兼容性而闻名。然而，随着网络攻击手段的不断更新，确保Rocky Linux 9系统的安全性变得至关重要。本文将为您详细揭秘全方位设置与防护攻略，帮助您构建一个安全可靠的Rocky Linux 9环境。

1. 更新系统与软件

1.1 更新系统内核

定期更新系统内核是确保安全的第一步。通过以下命令更新内核：

sudo dnf update kernel 

1.2 更新软件包

使用以下命令更新所有已安装的软件包：

sudo dnf update 

2. 配置防火墙

2.1 安装firewalld

sudo dnf install firewalld 

2.2 启动并使firewalld服务开机自启

sudo systemctl start firewalld sudo systemctl enable firewalld 

2.3 设置防火墙规则

根据需要开放或关闭端口，例如允许SSH访问：

sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --reload 

3. 配置SELinux

3.1 查看SELinux状态

sestatus 

3.2 修改SELinux安全级别

将SELinux设置为permissive模式以放宽安全限制：

sudo setenforce 0 

或者，将其设置为enforcing模式以强化安全策略：

sudo setenforce 1 

4. 使用安全增强工具

4.1 AppArmor

安装AppArmor并为其配置文件添加规则以限制程序的行为：

sudo dnf install apparmor sudo systemctl enable apparmor sudo systemctl start apparmor 

4.2 SystemTap

SystemTap是一种强大的分析工具，可用于跟踪和监控系统活动：

sudo dnf install systemtap-syscall 

5. 强化SSH服务

5.1 修改SSH端口

更改默认的SSH端口以提高安全性：

sudo firewall-cmd --permanent --add-port=2222/tcp sudo sed -i 's/^#Port 22/Port 2222/' /etc/ssh/sshd_config sudo systemctl restart sshd 

5.2 启用SSH公钥认证

禁止密码登录并使用密钥认证：

sudo sed -i 's/^#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config 

6. 定期备份

定期备份系统是预防数据丢失的重要措施。使用以下命令创建备份脚本：

#!/bin/bash tar -czvf backup-$(date +%Y%m%d%H%M%S).tar.gz /path/to/important/directories 

将此脚本添加到cron作业中，以确保定期执行。

7. 监控与审计

7.1 安装并配置syslog

sudo dnf install rsyslog sudo systemctl enable rsyslog sudo systemctl start rsyslog 

7.2 配置日志审计

启用并配置logwatch来监控日志文件：

sudo dnf install logwatch sudo systemctl enable logwatch sudo systemctl start logwatch 

总结

通过以上全方位的设置与防护攻略，您可以显著提升Rocky Linux 9系统的安全性。然而，安全是一个持续的过程，需要不断更新和适应新的威胁。定期检查和更新系统配置，保持警惕，是确保系统安全的必要条件。