云服务器Linux系统安全防护：防火墙与权限配置指南

云服务器Linux系统的安全防护，是每个运维人员和企业用户都绕不开的必修课。尤其是防火墙配置和账号权限管理，就像给服务器上了双保险——前者挡外部攻击，后者防内部越权。本文结合实际运维经验，手把手教你配置Firewalld/iptables防火墙，以及精细化管理用户权限，帮你避开常见安全漏洞。

防火墙：云服务器的“网络门卫”

对云服务器来说，防火墙就像小区保安——没它守着，网络世界里的“不速之客”随时可能溜进来搞破坏。Linux系统常用的防火墙工具有两种：Firewalld（CentOS 7及以上默认的动态防火墙管理工具）和iptables（传统规则型防火墙），按需选一个用就行。

Firewalld：新手友好的动态配置

如果你用的是CentOS 7或更高版本，优先选Firewalld，操作更直观。第一步先检查服务状态，打开终端输入：

systemctl status firewalld

要是显示“inactive”（未运行），用这条命令启动：

systemctl start firewalld

想让它开机自动运行，执行：

systemctl enable firewalld

配置规则时，比如要开放80端口（HTTP服务常用），输入：

firewall-cmd --permanent --add-port=80/tcp

改完记得重载规则让设置生效：

firewall-cmd --reload

（小提醒：加了--permanent参数才是永久生效，不然重启后会失效）

iptables：传统但灵活的“老选手”

如果是CentOS 6或其他旧版本系统，iptables更常见。想查看当前规则，输入：

iptables -L

要开放80端口，添加这条规则：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

但iptables有个麻烦点——重启后规则会丢失，得手动保存。在CentOS里，用：

service iptables save

就能把当前规则存到/etc/sysconfig/iptables文件里，下次启动自动加载。

账号权限：从“人人能碰”到“各司其职”

光有防火墙防外部还不够，内部权限乱了更危险。之前我们团队就吃过亏——测试账号权限没限制，实习生误删了生产环境数据库，折腾半天才恢复。所以一定要记住：最小权限原则——用户能做什么，就只给什么权限。

用户与用户组：分角色管账号

创建新用户用这条命令：

useradd newuser

然后设置密码（记得选复杂点的，别用123456）：

passwd newuser

删用户也简单：

userdel newuser

用户组是批量管理权限的好帮手。比如开发组需要访问代码目录，测试组只能读日志，就可以建不同的组。创建组：

groupadd dev-group

把用户“程序员小张”加到开发组：

usermod -aG dev-group zhangsan

删组的话：

groupdel dev-group

文件权限：精确到“读/写/执行”

Linux的文件权限是“所有者-组-其他用户”三级管理，用chmod命令调整。比如有个配置文件config.ini，只允许所有者修改，组内成员只读，其他人不能碰，就设置：

chmod 640 config.ini

（数字对应权限：6=读+写，4=读，0=无权限）
如果文件被误设为root用户所有，而实际该归开发组管理，用chown改所有者和组：

chown zhangsan:dev-group config.ini

我们早期用云服务器跑电商后台，没及时关22端口（SSH远程登录）的默认开放，结果半夜被扫描到弱密码，差点丢了客户订单数据。后来痛定思痛，不仅加固了防火墙，还限制了普通用户的sudo权限，再也没出过类似问题。记住，安全不是一次性工程，定期检查防火墙规则、清理冗余账号，才能让云服务器更“安全耐用”。