1. 系统更新与补丁管理
保持系统最新是防范已知漏洞的核心措施。定期执行sudo apt update && sudo apt upgrade -y命令更新所有软件包;安装unattended-upgrades包并配置自动安全更新(sudo dpkg-reconfigure unattended-upgrades),确保系统自动获取并安装安全补丁,减少因未修补漏洞被利用的风险。
2. 最小化安装与软件包管理
遵循“最小化安装”原则,仅安装系统运行必需的软件包和服务(如使用sudo apt install --no-install-recommends命令避免安装推荐的非必要组件)。安装完成后,运行sudo apt autoremove -y删除无用的依赖包,减少系统的攻击面。
3. 用户权限与SSH加固
sudo组(sudo adduser <username>;sudo usermod -aG sudo <username>),禁止root用户直接远程登录(编辑/etc/ssh/sshd_config文件,设置PermitRootLogin no)。Port 2222),禁用密码认证(PasswordAuthentication no),启用SSH密钥认证(ssh-keygen -t rsa -b 4096;ssh-copy-id user@remotehost),限制允许登录的IP地址(AllowUsers <username>@<IP>),降低SSH暴力破解风险。4. 防火墙配置
使用ufw(Uncomplicated Firewall)配置基本防火墙规则:启用防火墙(sudo ufw enable),设置默认策略为拒绝所有入站流量、允许所有出站流量(sudo ufw default deny incoming;sudo ufw default allow outgoing),仅开放必要端口(如SSHsudo ufw allow 22/tcp、HTTPsudo ufw allow 80/tcp、HTTPSsudo ufw allow 443/tcp)。对于高级需求,可使用iptables或nftables进行细粒度流量控制。
5. 安全审计与监控
/var/log/auth.log(认证日志)、/var/log/syslog(系统日志)等文件,识别可疑登录或操作;使用auditd工具监控关键文件(如/etc/passwd、/etc/shadow),记录修改行为(auditctl -w /etc/passwd -p wa -k passwd_changes)。fail2ban工具,自动监控日志并封禁多次尝试登录失败的IP地址(sudo apt install fail2ban;sudo systemctl enable fail2ban)。6. 数据备份与恢复
定期备份重要数据(如配置文件、数据库、用户文件),使用rsync(sudo rsync -avz / /path/to/backup)或tar(tar -czvf backup.tar.gz /etc /home)工具进行本地备份,或通过rsync同步到远程服务器实现异地备份。备份数据应加密存储(如使用LUKS加密),确保数据泄露时无法被轻易读取。
7. 强化服务与内核安全
cups打印服务、atd定时任务服务),使用systemctl disable <service-name>命令停止并禁用服务,减少潜在攻击入口。/etc/sysctl.conf文件,启用内核安全选项(如net.ipv4.conf.all.rp_filter = 1防IP欺骗、net.ipv4.tcp_syncookies = 1防SYN Flood攻击),运行sysctl -p使配置生效。8. 使用强制访问控制(MAC)
安装并配置AppArmor(Debian默认集成)或SELinux(需手动安装),限制进程的权限。例如,AppArmor可通过配置文件(如/etc/apparmor.d/usr.sbin.apache2)限制Apache进程只能访问特定目录,防止恶意进程越权操作。