一旦你安装了你的 CentOS 8 / RHEL 8 服务器，保护它以防止未经授权的访问和入侵排在第二位。 正如谚语所说，“预防胜于治疗”，因此预防黑客攻击比采取补救措施更好。

让我们探索您可以采取的几个步骤来强化和保护 CentOS 8 / RHEL 8 服务器并阻止黑客攻击。

1）设置防火墙

作为具有安全意识的 Linux 用户，出于安全原因，您不会只允许任何流量进入您的 CentOS 8 / RHEL 8 系统。 事实上，设置防火墙是系统管理员需要执行的初始服务器设置任务之一，以仅打开特定端口并允许当前使用的服务。

默认情况下，CentsO8 / RHEL 8 系统附带 防火墙 可以通过运行以下命令在启动时启动和启用防火墙：

$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld

要检查防火墙允许的服务，只需运行以下命令：

$ sudo firewall-cmd --list all

要在防火墙上打开一个端口，例如端口 443，请执行以下命令：

$ sudo firewall-cmd --add-port=443/tcp --zone=public --permanent

要允许服务，例如 ssh ，请使用以下命令：

$ sudo firewall-cmd --add-service=ssh  --zone=public --permanent

要删除端口和服务，请使用 – 移除端口 和 – 删除服务 分别是属性。

为了使更改生效，请始终如图所示重新加载防火墙。

$ sudo firewall-cmd --reload

2）禁用未使用/不需要的服务

始终建议关闭服务器上未使用或不必要的服务。 这是因为运行的服务数量越多，系统上打开的端口数量就越多，攻击者可以利用这些端口进入您的系统。 此外，不要使用旧的和不安全的服务，如以纯文本形式发送流量的 telnet

最佳安全实践建议禁用未使用的服务并摆脱系统上运行的所有不安全服务。 您可以使用 地图工具 扫描您的系统并检查哪些端口已打开并被监听。

3) 保护关键文件

锁定关键文件以防止意外删除或编辑至关重要。 此类文件包括 /etc/passwd 和 /etc/gshadow 其中包含散列密码。 要使文件不可变（即防止修改或意外删除），请使用 chattr 命令 如图所示：

$ sudo chattr +i /etc/passwd
$ sudo chattr +i /etc/shadow

这可确保黑客无法更改任何用户的密码或删除它们，从而导致拒绝登录系统。

4) 安全的 SSH 协议

SSH 协议是一种常用的远程登录协议。 默认情况下，该协议具有可被黑客利用的本机弱点。

默认情况下，SSH 允许 root 用户远程登录。 这是一个潜在的漏洞，如果黑客能够获得您系统的 root 密码，那么您的服务器几乎可以任由他们摆布。 为了防止这种情况，建议拒绝远程 root 登录，而是创建一个登录普通用户 sudo 特权。 您可以通过修改 SSH 配置文件来实现这一点 /etc/ssh/sshd_config 并禁用 root 登录，如下所示：

允许Root登录

另一种保护 SSH 的方法是使用 ssh 密钥设置 SSH 无密码身份验证。 SSH 密钥不是使用容易受到暴力攻击的密码认证，而是首选，因为它们只允许使用 ssh 密钥的用户登录远程服务器并阻止任何其他用户。 启用无密码身份验证的第一步是使用以下命令生成密钥对：

$ ssh-keygen

这会生成一个公钥和私钥对。 私钥驻留在主机上，而公钥则复制到远程系统或服务器。 复制 ssh 密钥对后，您可以毫不费力地登录到远程系统，而不会提示您输入密码。 接下来，通过修改 /etc/ssh/sshd_config 配置文件并设置此值来禁用密码验证：

PasswordAuthentication no

完成更改后，请务必重新启动 SSH 服务以使更改生效。

$ sudo systemctl restart sshd

5 ) 定义密码尝试限制

为了进一步强化您的服务器，您可以考虑在通过 SSH 登录时限制密码尝试次数以阻止暴力攻击。 再次，转到 SSH 配置文件，滚动并找到“最大验证次数“ 范围。 取消注释并设置一个值，例如 3，如图所示。

MaxAuthTries 3

这意味着在 3 次错误的密码尝试后，会话将被关闭。 这会派上用场，尤其是当您想要阻止试图访问您的系统的机器人脚本/程序时。

6) 设置入侵防御系统 (IPS)

到目前为止，我们已经介绍了可以用来强化 CentOS 8 / RHEL 8 服务器的基本步骤。 要添加另一层，建议您安装入侵检测系统。 IPS的一个完美例子是 禁止失败.

Fail2ban 是一个免费和开源的入侵防御系统，它通过在一定数量的登录尝试（可以在其配置文件中指定）后禁止 IP 地址来保护服务器免受暴力攻击。 一旦被阻止，恶意或未经授权的用户甚至无法发起 SSH 登录尝试。

7) 定期更新您的服务器

如果不强调定期更新服务器的重要性，这篇文章就不算完整。 这可确保您的服务器获得最新功能和安全更新，这对于解决现有安全问题至关重要。

你可以设置 使用驾驶舱实用程序自动更新 这是一个基于 GUI 的服务器管理工​​具，还可以执行许多其他任务。 这是理想的，特别是如果您打算长期逗留或度假而无法访问服务器。