1. 更新系统与软件包
定期更新Debian系统及所有软件包至最新版本,及时修补已知安全漏洞。使用以下命令完成更新:
sudo apt update && sudo apt full-upgrade -y
2. 最小化权限与用户管理
awk -F: '($3 == 0) {print $1}' /etc/passwd查看特权用户(uid=0),禁用闲置账号(usermod -L username)或删除无用账号(userdel -r username)。/etc/ssh/sshd_config设置PermitRootLogin no,强制使用普通用户+sudo执行管理任务。3. 配置防火墙限制网络访问
使用ufw(Uncomplicated Firewall)配置防火墙,仅允许必要端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口)通过,拒绝所有未授权入站连接:
sudo ufw enable # 启用防火墙
sudo ufw allow 22/tcp # 允许SSH
sudo ufw allow 80/tcp # 允许HTTP
sudo ufw allow 443/tcp # 允许HTTPS
sudo ufw deny any # 拒绝其他所有入站流量
4. 强化SSH安全
编辑/etc/ssh/sshd_config文件,实施以下配置以降低SSH攻击风险:
PermitRootLogin noPasswordAuthentication no、PubkeyAuthentication yesPort 2222(需同步更新防火墙规则允许新端口)sudo systemctl restart sshd
5. 监控与日志记录
journalctl查看系统日志(如sudo journalctl -u sshd查看SSH日志),确保日志保留足够时长。fail2ban防止暴力破解:sudo apt install fail2ban,配置/etc/fail2ban/jail.local启用SSH防护(如[sshd] section),自动封禁多次登录失败的IP。auditd进行安全审计:sudo apt install auditd,配置审计规则(如监控/etc/shadow文件:-w /etc/shadow -p wa -k shadow_access),记录关键操作。6. 安全加固工具
/etc/apparmor.d/下的配置文件限制应用程序访问范围(如限制dpkg-extract仅能访问指定目录)。sudo apt install chkrootkit rkhunter),运行sudo chkrootkit、sudo rkhunter --check排查系统是否被植入恶意程序。7. 数据备份与恢复
定期备份重要数据(如配置文件、用户数据、数据库),使用加密工具(如eCryptfs、EncFS)加密敏感数据,确保备份存储在安全位置(如加密外部硬盘、异地云存储)。例如,使用rsync备份至本地目录:
sudo rsync -avz /path/to/important/data /backup/location
8. 验证软件源完整性
/etc/apt/sources.list及/etc/apt/sources.list.d/下的文件)。9. 限制网络与服务暴露
systemctl disable <service_name>关闭未使用的服务(如FTP、Telnet),减少攻击面。netstat或ss命令查看端口连接情况(如sudo ss -tulnp),分析可疑端口、IP及进程,及时终止异常连接。10. 文件与目录权限管理
dpkg-deb提取.deb文件(dpkg-deb -R package.deb output_dir),随后用chmod调整权限(如sudo chmod -R 755 output_dir,避免过度开放写权限)。chown(sudo chown user:group file)和chgrp(sudo chgrp group file)确保文件归属正确。setfacl -m u:username:rw file),或给组添加执行权限(setfacl -m g:groupname:x dir)。