Ubuntu Exploit：如何应对安全威胁

Ubuntu Exploit 应对与加固清单

一 立即处置流程

• 隔离受影响系统：立即断开网络或将其从生产网络中移出，防止横向扩散与数据外泄。
• 快速止血与回滚：优先回滚最近变更（新增软件源、配置、密钥、容器镜像、定时任务等），临时关闭可疑服务与端口。
• 取证与影响评估：保存关键现场（进程、网络连接、登录历史、定时任务、系统日志），重点查看 /var/log/auth.log、/var/log/syslog，必要时抓取内存与磁盘镜像。
• 紧急修补：依据漏洞公告（USN/安全通告）定位受影响软件包，优先执行最小修复（升级单一组件或回退版本），无法立即修补时采用临时缓解（限制访问、降权、改端口、WAF规则等）。
• 恢复与验证：从干净备份恢复，或在确认干净后重新上线；上线前复核关键配置与补丁有效性。
• 通报与复盘：按合规要求通知相关方，开展事件复盘与加固，更新应急预案与检测规则。

二 加固基线配置

• 系统与补丁
  • 保持系统与软件包为最新：执行 sudo apt update && sudo apt upgrade；需要重启时择机执行 reboot。
  • 启用自动安全更新：安装并配置 unattended-upgrades，仅自动安装安全更新，必要时自动重启（如设置 Unattended-Upgrade::Automatic-Reboot “true” 与 Automatic-Reboot-Time “03:00”）。
• 网络与访问控制
  • 启用 UFW：默认拒绝入站、放行出站；仅开放必要端口（如 22/80/443），示例：
    • sudo ufw default deny incoming
    • sudo ufw default allow outgoing
    • sudo ufw allow ssh 或 sudo ufw allow 22
    • 对 SSH 可启用速率限制：sudo ufw limit ssh
• 身份与远程访问
  • 禁用 root 远程登录：编辑 /etc/ssh/sshd_config，设置 PermitRootLogin no。
  • 使用 SSH 密钥 替代口令，必要时更改默认端口，并用 AllowUsers/AllowGroups 限制可登录账户。
• 进程与内核防护
  • 启用 AppArmor（强制访问控制），为关键应用加载或编写策略，减少越权与提权风险。
  • 部署 Fail2ban 保护 SSH 等暴露服务，按失败次数与窗口期自动封禁来源 IP。
• 日志与审计
  • 集中与定期审计 /var/log/auth.log、/var/log/syslog，关注异常登录、提权与可疑计划任务。

三 常见漏洞场景与修复要点

• 无限次口令尝试导致暴力破解
  • 在 /etc/pam.d/common-auth 或 /etc/pam.d/sshd 中启用失败计数与锁定，例如：
    • auth required pam_tally.so deny=5 unlock_time=600
    • 或使用 pam_faillock：auth required pam_faillock.so preauth silent deny=5 unlock_time=600。
• 任意用户可 su 到 root
  • 在 /etc/pam.d/su 增加：auth required pam_wheel.so use_uid 或 auth required pam_wheel.so group=wheel，仅允许 wheel 组成员切换。
• 关键文件权限过宽
  • 收紧敏感文件权限：
    • sudo chmod 400 /etc/shadow；sudo chown root:shadow /etc/shadow
    • sudo chmod 400 /etc/gshadow；sudo chown root:shadow /etc/gshadow
    • sudo chown root:root /var/spool/cron；sudo chmod 700 /var/spool/cron。
• 密码策略缺失
  • 配置复杂度与有效期策略（如通过 /etc/pam.d/common-password 的 pam_cracklib/pam_pwquality），并设置账户过期：chage -M 90 username。
• 未修复的软件漏洞
  • 关注 USN/安全通告，使用 apt 及时升级受影响软件包；必要时重启使其生效。

四 持续监测与备份恢复

• 持续监测
  • 使用 Fail2ban 监控暴力登录并自动封禁；定期审计 auth.log/syslog 与关键应用日志。
  • 定期漏洞扫描与基线核查（如 OpenVAS/Nessus），对高风险项闭环整改。
• 备份与恢复
  • 制定覆盖配置与数据的备份策略（含离线/异地副本），定期演练恢复流程；确保备份介质与传输通道加密。
• 终端与浏览器侧防护
  • 桌面端建议启用 NoScript/AdBlock 等扩展，降低脚本与钓鱼风险；仅从可信源安装软件与扩展。