Ubuntu 防 Exploit 攻击的实用加固清单
一 基础防护
- 保持系统与软件包为最新,及时修补漏洞:执行sudo apt update && sudo apt upgrade,并启用自动安全更新sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades,仅勾选security源,确保**/etc/apt/apt.conf.d/50unattended-upgrades**配置正确。
- 启用并收紧防火墙:使用UFW仅放行必要端口,例如sudo ufw enable、sudo ufw allow OpenSSH(或自定义端口),按需放行80/tcp、443/tcp。
- 强化 SSH 访问:编辑**/etc/ssh/sshd_config**,设置PermitRootLogin no、PasswordAuthentication no、使用密钥登录,必要时更改端口(如Port 2222),并限制可登录用户(如AllowUsers youruser),修改后执行sudo systemctl restart sshd。
- 最小化攻击面:卸载不需要的软件包与服务,关闭不必要的systemd服务与端口,定期清理旧内核与依赖(如sudo apt autoremove)。
二 身份与权限控制
- 禁用root远程登录,创建普通管理员并通过sudo提权(如sudo adduser admin && sudo usermod -aG sudo admin),遵循最小权限原则。
- 精细化账号与会话管理:清理不再使用的系统账号,设置强密码策略与定期更换,配置命令历史记录与自动注销,降低凭证泄露与横向移动风险。
- 文件系统与数据保护:对敏感数据启用LUKS/dm-crypt磁盘加密,严格设置目录与文件权限(如755/644),必要时使用ACL进行细粒度访问控制。
三 运行时防护与入侵防护
- 启用强制访问控制:优先启用AppArmor(Ubuntu 默认),按需加载与调优策略(如sudo aa-enable /etc/apparmor.d/usr.sbin.sshd);如确有需要再考虑SELinux。
- 反暴力破解与威胁拦截:部署fail2ban(可配合denyhosts),对SSH等暴露面进行速率限制与黑名单封禁。
- 恶意软件检测:安装并更新ClamAV进行定期扫描,配合日志分析工具(如Logwatch)与系统日志(如**/var/log/auth.log、/var/log/syslog**)进行异常监测。
- 漏洞扫描与基线核查:定期使用OpenVAS、Nessus进行漏洞扫描,使用Lynis进行安全基线审计与整改。
四 备份恢复与应急响应
- 建立定期备份与异地/离线存储策略,确保备份数据加密且可验证;对关键业务配置恢复演练与恢复时间目标(RTO)/恢复点目标(RPO)。
- 发生入侵或疑似被利用时的处置流程:立即隔离网络(断网/下线),保全现场(内存、日志、可疑文件),分析**/var/log/auth.log、/var/log/syslog等定位入侵时间线与影响范围,依据Ubuntu Security Notices快速应用紧急补丁或临时缓解,必要时从干净备份恢复,并对相关方进行通报与复盘整改**。
五 持续监测与维护
- 持续关注Ubuntu Security Notices与系统更新,保持内核、关键服务、中间件与安全工具为最新稳定版本。
- 建立变更管理与安全审计流程,定期执行漏洞扫描、基线核查、日志审计与配置复核,将加固项纳入持续交付/运维流水线,形成闭环改进。