1. 利用dm-crypt与LUKS实现磁盘加密
dm-crypt是Linux内核的透明磁盘加密子系统,结合LUKS(Linux统一密钥设置)工具,可为Debian分卷提供强加密保护。操作流程包括:安装cryptsetup软件包、使用fdisk/gparted创建分区、通过cryptsetup luksFormat命令加密分区(需设置强密码)、用cryptsetup luksOpen打开加密分区并格式化(如ext4)、挂载至目标目录。如需开机自动挂载,需编辑/etc/crypttab(指定加密映射)和/etc/fstab(指定挂载点)文件。加密后的分卷数据在静态存储时无法被未授权访问,即使物理介质丢失,数据仍保持安全。
2. 强化密码策略
通过PAM(可插拔认证模块)设置密码复杂性规则,要求密码包含大小写字母、数字和特殊字符(如pam_cracklib模块),并定期强制更换密码(如每90天)。避免使用简单密码(如生日、123456),降低密码被暴力破解的风险。同时,限制密码尝试次数(如pam_tally2模块),防止字典攻击。
3. 最小权限原则与用户管理
避免直接使用root账户进行日常操作,通过useradd创建普通用户,并用usermod -aG sudo 用户名将其加入sudo组,以临时获取root权限。合理分配文件/目录权限:用户数据(如/home)设置为700(仅所有者可读写执行),系统关键目录(如/etc、/bin)设置为750(所有者可读写执行,组可读执行),防止未经授权的用户访问敏感数据。定期检查用户账户,删除闲置账户。
4. 防火墙与网络隔离
使用ufw(Uncomplicated Firewall)或iptables配置防火墙规则,仅开放必要服务端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口),拒绝所有未授权的入站连接(ufw default deny incoming)。限制SSH访问源IP(如AllowUsers username@trusted_ip),防止远程暴力破解。定期检查防火墙日志(/var/log/ufw.log),识别异常连接尝试。
5. 系统更新与补丁管理
定期运行apt update && apt upgrade命令,安装Debian安全团队发布的安全补丁,修复操作系统和软件包中的已知漏洞(如内核漏洞、OpenSSL漏洞)。启用自动安全更新(apt install unattended-upgrades),确保系统及时获取最新安全修复,减少被攻击的风险。
6. 日志监控与审计
使用logwatch、fail2ban等工具监控系统日志(如/var/log/auth.log记录登录尝试、/var/log/syslog记录系统事件),识别异常行为(如多次登录失败、未授权的文件访问)。fail2ban可自动封禁频繁尝试登录的IP地址(如SSH暴力破解),提升系统安全性。定期审查日志,及时响应潜在威胁。
7. 物理安全与启动保护
禁用从CD/DVD、外部USB设备、软驱启动(通过BIOS/UEFI设置),防止未经授权的设备引导系统。启用BIOS密码和GRUB引导加载器密码,防止他人修改启动参数或直接访问系统分区。对于敏感分卷(如/home),可将其加密,即使物理介质被盗,数据也无法被读取。