1. 保持系统与软件包最新
定期更新系统是修复已知漏洞、防止exploit的首要步骤。使用以下命令更新软件包列表并升级所有可升级的包:sudo apt update && sudo apt upgrade -y。为避免遗漏安全更新,建议安装unattended-upgrades工具并启用自动安全更新:sudo apt install unattended-upgrades && sudo dpkg-reconfigure -plow unattended-upgrades,配置后系统会自动安装安全补丁。
2. 强化用户权限与SSH安全
usermod -aG sudo 用户名加入sudo组,执行特权命令时使用sudo。/etc/ssh/sshd_config文件,禁用root远程登录(PermitRootLogin no)、禁用空密码登录(PermitEmptyPasswords no)、启用SSH密钥认证(PasswordAuthentication no、PubkeyAuthentication yes),并修改默认端口(如Port 2222)以减少自动化攻击。修改后重启SSH服务:sudo systemctl restart sshd。3. 配置防火墙限制访问
使用ufw(Uncomplicated Firewall)简化防火墙配置,仅允许必要端口(如SSH、HTTP、HTTPS)的入站流量。基础命令如下:sudo apt install ufw && sudo ufw enable && sudo ufw allow OpenSSH && sudo ufw allow 80/tcp && sudo ufw allow 443/tcp && sudo ufw reload。此配置会拒绝所有未明确允许的入站连接,降低端口扫描和暴力破解风险。
4. 最小化安装与服务
遵循“最小安装”原则,仅安装系统运行必需的软件包和服务。使用apt安装软件时,避免安装不必要的组件(如桌面环境、游戏等)。通过systemctl list-units --type=service --state=running查看运行中的服务,禁用不需要的服务(如cups打印服务):sudo systemctl stop cups && sudo systemctl disable cups,减少攻击面。
5. 使用安全增强工具
sudo apt install selinux-basics selinux-policy-default && sudo setenforce 1;AppArmor安装配置:sudo apt install apparmor apparmor-utils && sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd。fail2ban监控日志(如/var/log/auth.log),自动封禁多次登录失败的IP地址:sudo apt install fail2ban && sudo systemctl enable fail2ban && sudo systemctl start fail2ban。aide(高级入侵检测环境)监控关键文件(如/etc、/bin)的变化,及时发现恶意篡改:sudo apt install aide && sudo aideinit。6. 日志审计与监控
集中管理日志以快速发现异常活动。使用auditd监控关键文件(如/etc/passwd、/etc/shadow)的修改:sudo apt install auditd && auditctl -w /etc/passwd -p wa -k passwd_changes && auditctl -w /etc/shadow -p wa -k shadow_changes。使用logwatch自动生成日志报告:sudo apt install logwatch && sudo systemctl enable logwatch && sudo systemctl start logwatch。定期审查日志(如/var/log/auth.log),关注异常登录、权限变更等事件。
7. 数据备份与恢复
定期备份关键数据(如配置文件、数据库、网站文件),并存储在安全位置(如远程服务器、离线介质)。使用tar创建增量备份:tar -g /var/backup/snapshot -czvf /var/backup/$(date +%F).tar.gz /etc /home。配置远程备份(如使用rsync同步到备份服务器):rsync -avz /var/backup/ backupuser@backupserver:/backups/,确保数据丢失或系统受损时可快速恢复。
8. 关注安全公告与漏洞扫描
订阅Debian官方安全公告(如通过邮件列表或安全邮件通知),及时了解最新漏洞及修复补丁。定期使用漏洞扫描工具(如openvas)扫描系统,识别潜在脆弱点:sudo apt install openvas && sudo openvas-setup && sudo systemctl start openvas-manager && sudo systemctl start openvas-scanner。根据扫描结果修复漏洞,保持系统安全。