Debian Minimal 的安全性保障
一 基础安全态势
二 加固清单与关键命令
| 目标 | 关键措施 | 关键命令或配置 |
|---|---|---|
| 系统与补丁 | 及时更新与自动安全更新 | apt update && apt upgrade;安装并启用 unattended-upgrades |
| 账户与权限 | 创建普通用户、禁用 root 远程登录、最小权限 | adduser |
| 认证安全 | 禁用密码登录、仅用 SSH 密钥 | /etc/ssh/sshd_config: PasswordAuthentication no;ssh-keygen -t rsa -b 4096;ssh-copy-id |
| 防火墙 | 默认拒绝入站、仅放行必要端口 | ufw default deny incoming;ufw default allow outgoing;ufw allow OpenSSH 或 80/tcp、443/tcp;ufw enable |
| 服务最小化 | 卸载无用软件包、关闭不必要服务 | apt --no-install-recommends;apt autoremove;systemctl disable --now |
| 强制访问控制 | 启用 AppArmor(Debian 默认支持) | apt install apparmor apparmor-utils;aa-enforce /etc/apparmor.d/usr.sbin.sshd |
| 入侵防护 | 防暴力破解与审计 | apt install fail2ban;配置 jail sshd;apt install auditd;auditctl -e 1;ausearch 查询 |
| 完整性校验 | 文件完整性监控 | apt install aide;aideinit;mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db;aide --check |
| 日志与审计 | 集中日志与轮转、重点监控认证日志 | 配置 rsyslog 远程日志;/etc/logrotate.conf 设置保留策略;重点查看 /var/log/auth.log、/var/log/syslog |
| 备份恢复 | 定期离线/异地备份 | rsync -avz / /mnt/backup;tar -czvf backup_$(date +%F).tar.gz / |
| Web 加密 | 全站 HTTPS | apt install certbot;certbot --nginx 或 --apache |
以上措施覆盖账户、网络、进程、审计与恢复等维度,能显著提升 Debian Minimal 的安全水位。
三 部署与运维要点
四 适用场景与注意事项