以下是Ubuntu From Scratch的安全防护要点:
- 系统更新与软件源优化
定期执行 sudo apt update && sudo apt full-upgrade -y,清理旧内核和无用依赖。
- 防火墙配置
- 使用UFW限制入站/出站流量,允许SSH(22)、HTTP(80)、HTTPS(443)等必要端口,禁止默认入站。
- 可选配置iptables实现更细粒度规则,保存规则确保重启生效。
- 用户与权限管理
- 禁用root远程登录:修改
/etc/ssh/sshd_config,设置PermitRootLogin no,并使用强密码。
- 创建专用用户,限制sudo权限,仅授权必要用户使用sudo。
- 内核与软件安全
- 编译内核时启用
kernel.kptr_restrict等保护功能,减少信息泄露风险。
- 仅安装必要软件包,避免冗余软件带来的漏洞。
- 安全工具与审计
- 安装fail2ban防止暴力破解,rkhunter/chkrootkit检测恶意软件。
- 启用AppArmor或SELinux进行强制访问控制,定期审计系统日志。
- 备份与维护
定期备份系统配置和重要数据,确保可快速恢复。
参考来源: