Debian虚拟机安全设置要点

系统更新与最小化安装

• 保持系统与安全补丁为最新：执行apt update && apt upgrade，必要时运行apt full-upgrade；清理无用包apt autoremove && apt clean。
• 启用自动安全更新：安装并配置unattended-upgrades，减少暴露窗口。
• 采用最小安装与禁用不必要的服务/端口，降低攻击面。

身份与访问控制

• 创建普通用户并加入sudo组：例如adduser newuser、usermod -aG sudo newuser；日常以普通用户操作，需要提权时使用sudo。
• 强化密码策略：通过PAM设置复杂度与周期；禁止root远程登录（见下文 SSH 部分）。
• 精细的文件/目录权限：使用chown/chgrp/chmod控制访问；涉及 VirtualBox 共享文件夹时，确保宿主机与虚拟机两侧权限一致且最小化。

防火墙与网络隔离

• 使用UFW实施白名单策略：默认拒绝入站、允许出站；仅开放必要端口（如22/80/443）。示例：
  • 安装与启用：apt install ufw && ufw enable
  • 规则示例：ufw allow 22/tcp、ufw allow 80/tcp、ufw allow 443/tcp
  • 查看状态：ufw status verbose
• 需要更细粒度控制时使用iptables并持久化规则（如保存至**/etc/iptables/rules.v4**并在启动时恢复）。
• VirtualBox 网络模式选择：
  • NAT：默认隔离较好，配合端口转发暴露少量服务。
  • 桥接：与宿主机处于同一网段，便于独立访问与分段管理。
  • Host-Only：仅与宿主机通信，适合受限实验环境。

SSH 加固与入侵防护

• 修改默认端口：在**/etc/ssh/sshd_config中设置Port 2222**（示例）。
• 禁用root远程登录：设置PermitRootLogin no。
• 使用SSH 密钥认证，必要时禁用口令登录：设置PasswordAuthentication no。
• 限制可登录用户：使用AllowUsers youruser。
• 防暴力破解：部署Fail2ban自动封禁。
• 变更后执行systemctl restart ssh使配置生效。

备份监控与虚拟化特定设置

• 备份与恢复：定期备份关键数据与配置，可使用Timeshift、rsync、duplicity等；验证恢复流程的有效性。
• 日志与审计：使用logwatch进行日报；部署auditd进行关键事件审计；必要时结合Nagios/Zabbix进行监控告警。
• 恶意代码防护：安装ClamAV并定期更新病毒库与扫描（Linux 环境下亦可用于邮件/文件扫描）。
• 加密与传输：对敏感服务启用SSL/TLS，可使用Let’s Encrypt获取免费证书。
• VirtualBox 增强功能：仅在需要时安装增强功能包，避免引入不必要的组件与风险。