1. 确认漏洞是否存在
修复前需先明确系统是否受特定漏洞影响,可通过以下方式识别:
lynis、OpenVAS)扫描系统,检测已知漏洞;2. 更新系统软件包
通过包管理工具更新所有过时软件包,这是修复已知漏洞的基础步骤:
sudo apt update && sudo apt upgrade -y
若需安装特定软件包的安全更新(如openssh-server),可使用:
sudo apt update && sudo apt install --only-upgrade package-name
对于Debian 12等版本,需确保已添加安全仓库(默认已包含),无需手动修改源文件。
3. 安装安全补丁与升级系统
apt upgrade命令即可自动安装;full-upgrade获取更全面的安全修复:sudo apt update && sudo apt full-upgrade -y
升级后需重启系统以应用内核及关键组件更新:
sudo reboot
4. 启用自动安全更新(推荐)
为避免遗漏安全补丁,建议启用自动更新:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades
配置时选择“自动安装安全更新”,系统将定期检查并安装安全补丁,无需手动干预。
5. 验证修复效果
sudo systemctl restart nginx
journalctl -xe),查看是否有异常活动。6. 强化系统安全(预防后续攻击)
sudo组:adduser username
usermod -aG sudo username
/etc/ssh/sshd_config,禁用root远程登录、限制空密码:PermitRootLogin no
PermitEmptyPasswords no
重启SSH服务使配置生效:
sudo systemctl restart sshd
ufw限制入站端口,仅允许必要服务(如HTTP、SSH):sudo ufw allow 22/tcp # SSH
sudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPS
sudo ufw enable
7. 定期维护与监控
rsync或Deja Dup),防止攻击导致数据丢失;/var/log/auth.log),及时发现异常登录或进程;