RHEL 9.6 安装后的10分钟初始化设置配置网络、用户、SSH与安全基线当你第一次启动刚安装好的RHEL 9.6系统时面对的是一个几乎裸奔的环境。作为专业用户你需要快速完成一系列关键配置才能让系统变得可用、安全且便于管理。本文将带你完成这些必不可少的初始化步骤让你在10分钟内获得一个生产就绪的RHEL环境。1. 网络配置从连接到优化刚安装完的RHEL系统可能无法立即访问网络特别是当你需要静态IP而非DHCP时。让我们从基础检查开始# 检查当前网络接口状态 ip addr show nmcli device status如果发现接口未激活使用以下命令启用并配置网络# 启用网络接口假设为ens192 nmcli connection up ens192 # 如需配置静态IP替换示例值为你的实际网络参数 nmcli connection modify ens192 ipv4.addresses 192.168.1.100/24 nmcli connection modify ens192 ipv4.gateway 192.168.1.1 nmcli connection modify ens192 ipv4.dns 8.8.8.8,8.8.4.4 nmcli connection modify ens192 ipv4.method manual nmcli connection down ens192 nmcli connection up ens192关键注意事项企业内网通常需要特定DNS而非公共DNS云环境可能需要特殊配置如AWS的源/目标检查双网卡环境需注意路由优先级提示使用nmcli connection show --active查看当前活跃连接详情2. 用户与权限管理安全第一直接使用root账户是危险且不专业的做法。我们应创建具有sudo权限的日常使用账户# 创建新用户替换username为你的用户名 useradd -m -G wheel username passwd username # 验证sudo权限配置 visudo确保以下行未被注释%wheel ALL(ALL) ALL用户安全最佳实践实践命令/方法重要性密码策略vim /etc/login.defs防止弱密码会话超时export TMOUT600减少未授权访问风险历史记录HISTSIZE1000平衡审计与隐私SSH密钥认证ssh-keygen -t ed25519比密码更安全3. SSH服务配置安全远程访问SSH是管理Linux系统的生命线但默认配置需要强化# 先备份原始配置 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # 编辑SSH配置 vim /etc/ssh/sshd_config推荐修改以下参数Port 2222 # 更改默认端口 PermitRootLogin no # 禁止root直接登录 PasswordAuthentication no # 强制密钥认证 MaxAuthTries 3 # 限制尝试次数 ClientAliveInterval 300 # 会话保持时间应用更改并检查配置sshd -t systemctl restart sshd firewall-cmd --permanent --add-port2222/tcp firewall-cmd --reloadSSH安全增强技巧使用Fail2Ban防止暴力破解配置双因素认证限制可登录IP范围定期轮换主机密钥4. 系统安全基线配置一个安全的RHEL系统需要多层防护措施4.1 防火墙配置# 查看默认区域 firewall-cmd --get-default-zone # 添加常用服务 firewall-cmd --permanent --add-service{http,https,ssh} # 限制ICMP按需 firewall-cmd --permanent --remove-icmp-block{echo-request,echo-reply} # 应用更改 firewall-cmd --reload4.2 SELinux策略# 检查当前状态 getenforce # 如为Permissive模式切换为Enforcing setenforce 1 # 永久生效 sed -i s/SELINUXpermissive/SELINUXenforcing/ /etc/selinux/config4.3 系统更新与补丁# 注册系统如有必要 subscription-manager register --username your_username --password your_password # 附加订阅池 subscription-manager attach --auto # 更新系统 dnf update -y dnf upgrade -y安全基线检查清单检查未授权的SUID/SGID文件find / -perm /4000 -o -perm /2000 -type f -exec ls -ld {} \;审核世界可写文件find / -perm -2 -type f -exec ls -ld {} \;检查异常进程ps aux | grep -E (ncat|socat|netcat|nc|telnet|rsh|rlogin)验证关键文件权限ls -l /etc/passwd /etc/shadow /etc/group5. 生产环境额外建议对于需要更高安全级别的环境考虑以下增强措施日志管理配置# 安装并配置auditd dnf install audit -y systemctl enable --now auditd # 关键文件监控规则示例 auditctl -w /etc/passwd -p wa -k identity auditctl -w /etc/shadow -p wa -k identity时间同步配置# 使用chronyd dnf install chrony -y systemctl enable --now chronyd # 检查同步状态 chronyc sources -v内核参数调优# 添加至/etc/sysctl.conf echo net.ipv4.tcp_syncookies 1 /etc/sysctl.conf echo net.ipv4.conf.all.rp_filter 1 /etc/sysctl.conf sysctl -p完成这些配置后你的RHEL 9.6系统已经具备了基础的生产环境安全性。根据具体应用场景可能还需要配置特定的应用程序安全策略、备份方案和监控系统。记住定期检查系统日志和安全更新保持系统处于最佳状态。