CentOS 8美国服务器安全配置：防火墙与SSH防护指南

使用CentOS 8美国服务器时，安全配置是保障业务稳定运行的基础。其中，防火墙规则与SSH访问策略如同服务器的"内外双锁"——前者拦截外部恶意流量，后者规范内部访问权限。掌握这两项核心配置，能大幅降低服务器被攻击的风险。

防火墙：为服务器筑起"电子城墙"

CentOS 8默认搭载的Firewalld（防火墙管理工具），就像服务器的"智能门卫"。它通过预设规则决定哪些流量可以进入，哪些需要拦截。配置前需确保服务已正确启动。

基础操作：启动与状态检查

首次使用时，需先启动Firewalld并设置开机自启：

sudo systemctl start firewalld  # 启动服务
sudo systemctl enable firewalld  # 开机自启

通过以下命令可查看运行状态：

sudo systemctl status firewalld

若输出显示"active (running)"，说明服务已正常运行。

规则配置：最小权限原则落地

安全领域有个重要原则——"最小权限"（仅开放必要功能）。例如部署网站时，只需开放HTTP（80端口）和HTTPS（443端口）：

sudo firewall-cmd --permanent --add-service=http  # 允许HTTP
sudo firewall-cmd --permanent --add-service=https  # 允许HTTPS

若需开放数据库（如MySQL的3306端口），可指定端口号：

sudo firewall-cmd --permanent --add-port=3306/tcp

所有规则修改后需重载生效：

sudo firewall-cmd --reload

规则管理：动态调整与清理

查看当前所有规则：

sudo firewall-cmd --list-all

若需删除冗余规则（如不再使用的3306端口）：

sudo firewall-cmd --permanent --remove-port=3306/tcp
sudo firewall-cmd --reload

SSH策略：守护服务器的"数字钥匙"

SSH（安全外壳协议）是远程管理服务器的常用工具，但默认配置存在安全隐患。通过调整端口、限制登录权限和启用密钥认证，能显著提升访问安全性。

第一步：修改默认端口

SSH默认使用22端口，由于众所周知，常被攻击者扫描。建议改为1024-65535间的非标准端口（如2222）：

sudo vi /etc/ssh/sshd_config  # 编辑配置文件

找到"Port 22"行，修改为"Port 2222"后保存退出。

第二步：禁用root直接登录

root用户拥有最高权限，一旦被破解后果严重。在配置文件中找到"PermitRootLogin yes"，改为"PermitRootLogin no"，禁止root远程登录。

第三步：启用密钥认证替代密码

密码易被暴力破解，密钥认证（公钥+私钥）更安全。本地生成密钥对（默认保存在~/.ssh目录）：

ssh-keygen -t rsa  # 按提示完成生成（可直接回车使用默认参数）

将公钥上传至服务器（假设用户名是"admin"，服务器IP为"192.168.1.100"，端口2222）：

ssh-copy-id -i ~/.ssh/id_rsa.pub admin@192.168.1.100 -p 2222

上传后，远程登录时只需使用私钥，无需输入密码。

最后：重启服务生效

所有修改完成后，重启SSH服务使配置生效：

sudo systemctl restart sshd

完成以上配置后，CentOS 8美国服务器的安全防护将提升一个台阶。防火墙像"外层防线"过滤恶意流量，SSH策略如"内层锁芯"规范访问权限，双重保障让服务器更安全可靠。若需进一步优化，可结合日志监控（如查看/var/log/firewalld和/var/log/secure文件）持续跟踪异常行为。