Debian Overlay安全加固实践
定期执行apt update && apt upgrade命令,及时安装Debian官方发布的安全更新和补丁,修复已知漏洞。建议开启unattended-upgrades服务,自动下载并安装安全更新,确保系统始终处于最新安全状态。
安装Debian系统时,选择“Minimal Install”(最小安装)选项,仅安装必要的软件包(如SSH、网络工具、核心系统组件)。避免安装无关服务(如FTP、Telnet),减少系统潜在的攻击面。
从Debian官方网站(debian.org)下载系统镜像,下载完成后通过md5sum或sha256sum命令比对镜像文件的散列值(官方页面提供),确保镜像未被篡改。若使用第三方镜像,需验证其可信度。
/etc/ssh/sshd_config文件,将PermitRootLogin设置为no,禁止root用户通过SSH远程登录,降低被暴力破解的风险。ssh-keygen -t rsa -b 4096),将公钥添加到~/.ssh/authorized_keys文件中,禁用密码登录(PasswordAuthentication no),提升SSH访问安全性。useradd -m -s /bin/bash username),通过usermod -aG sudo username将其加入sudo组,日常操作使用普通用户,需要root权限时通过sudo命令临时提升,避免直接使用root账户。使用ufw(Uncomplicated Firewall)工具配置防火墙规则,仅允许必要的端口(如SSH的22端口、Web服务的80/443端口)开放,拒绝所有未授权的入站连接。示例命令:sudo ufw allow 22/tcp && sudo ufw enable。若使用iptables,可通过iptables-save保存规则,确保重启后生效。
upperdir(上层目录)用于存储修改,需设置严格的访问权限(如chmod 750 /path/to/upperdir),仅允许授权用户(如系统管理员)修改。/home、/etc)使用eCryptfs或EncFS加密,防止数据泄露。例如,通过ecryptfs-setup-private命令加密用户主目录。Nagios、Zabbix等监控工具,监控CPU、内存、磁盘使用率及网络流量,设置阈值告警,及时发现异常行为。auditd工具,配置审计规则(如监控/etc/shadow文件的访问),记录系统操作日志。定期使用logwatch或journalctl审查日志,分析异常事件(如多次失败的登录尝试)。制定自动备份计划,使用rsync、duplicity等工具定期备份重要数据(如/home、/etc、数据库文件)到远程存储(如云存储、NAS)。备份数据需加密存储(如使用gpg加密),并定期测试恢复流程,确保在发生安全事件时能快速恢复数据。
ClamAV,定期扫描系统文件(clamscan -r /),检测并清除恶意软件。AIDE(Advanced Intrusion Detection Environment),创建系统文件完整性基线,定期检查文件是否被篡改(aide --check)。/etc/apparmor.d/usr.sbin.sshd),限制其只能访问必要的文件和目录。systemctl disable命令禁用未使用的服务(如cups打印服务、bluetooth蓝牙服务),减少系统暴露的风险。