1. 定期更新系统与软件
保持Debian系统及所有安装的软件包为最新版本,是修复已知安全漏洞的关键步骤。使用sudo apt update && sudo apt upgrade命令可快速更新所有软件包;为避免遗漏安全补丁,建议安装unattended-upgrades包并配置自动安全更新,确保系统持续处于最新安全状态。
2. 强化SSH服务安全
SSH是远程管理服务器的主要通道,需重点加固:
/etc/ssh/sshd_config文件,将Port 22修改为非标准高端口(如Port 2222),减少自动化暴力破解工具的扫描目标;sshd_config中设置PermitRootLogin no,禁止root用户直接通过SSH登录,降低账户被攻破后的风险;ssh-keygen -t rsa -b 4096),将公钥复制到服务器的~/.ssh/authorized_keys文件中,禁用密码登录(PasswordAuthentication no),避免密码泄露导致的入侵;sshd_config中添加AllowUsers your_username@your_ip,仅允许特定IP地址访问SSH服务。3. 配置防火墙限制流量
使用ufw(Uncomplicated Firewall)或iptables配置防火墙规则,仅允许必要的端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口)对外开放,拒绝所有未授权的入站连接。例如,启用ufw并添加规则的命令为:sudo ufw enable && sudo ufw allow 22/tcp && sudo ufw allow 80/tcp && sudo ufw allow 443/tcp。
4. 最小化安装与权限管理
aptitude/apt-get的--no-install-recommends参数避免安装不必要的依赖包,减少潜在的攻击面;usermod -aG sudo username命令将其加入sudo组,需要root权限时使用sudo命令提升,降低误操作或账户泄露的风险。5. 安装安全工具防范攻击
fail2ban(sudo apt install fail2ban)并启用,可监控SSH等服务的登录日志,自动封禁多次尝试失败的IP地址,有效防止暴力破解;clamav(sudo apt install clamav clamtk),定期扫描服务器文件系统,检测并清除恶意软件。6. 启用自动安全更新
通过unattended-upgrades包实现系统安全更新的自动化,减少因未及时安装补丁导致的安全风险。安装后运行sudo dpkg-reconfigure unattended-upgrades,选择“自动安装安全更新”,确保系统始终具备最新的安全防护。
7. 监控与日志审计
logwatch(sudo apt install logwatch)或journalctl命令定期查看系统日志(如/var/log/auth.log),及时发现异常登录、服务异常等问题;rkhunter(sudo apt install rkhunter)等入侵检测工具,定期扫描系统文件和进程,识别潜在的rootkit或恶意脚本。8. 数据加密保护敏感信息
certbot工具实现(sudo apt install certbot python3-certbot-nginx),确保数据在传输过程中不被窃取;LUKS(Linux Unified Key Setup)工具进行磁盘加密,或使用eCryptfs加密指定目录,防止数据泄露。9. 定期安全审计与备份
lynis(sudo apt install lynis)等工具定期进行系统安全审计,检查系统配置、权限设置、漏洞情况,生成详细的审计报告;rsync、tar或Timeshift等工具,将备份存储在异地或安全的外部存储设备中,确保数据可恢复。