Debian LAMP服务器安全策略

以下是Debian LAMP服务器的安全策略要点：

1. 系统更新与升级
   定期更新系统和软件包，修复安全漏洞：

   sudo apt update && sudo apt upgrade -y  
   

   配置安全更新源（如security.debian.org）。

2. 用户与权限管理

   • 禁用root远程登录：编辑/etc/ssh/sshd_config，设置PermitRootLogin no。
   • 创建普通用户并加入sudo组，使用强密码策略（通过PAM模块配置）。
   • 禁用密码认证，仅允许SSH密钥登录：生成密钥对并将公钥添加至authorized_keys，设置PasswordAuthentication no。

3. 防火墙配置

   • 使用ufw或iptables限制端口访问，仅开放SSH（默认22）、HTTP（80）、HTTPS（443）等必要端口。
   • 示例ufw规则：

     sudo ufw allow 22/tcp  # SSH  
     sudo ufw allow 80,443/tcp  # HTTP/HTTPS  
     sudo ufw enable  
     ```。  
     
     

4. 服务安全加固

   • Apache：禁用目录列表（Options -Indexes），配置错误文档避免信息泄露。
   • MySQL：限制远程访问，仅允许本地连接；定期更新并运行mysql_secure_installation。
   • 禁用不必要的服务（如FTP、Telnet），使用systemctl disable关闭。

5. 入侵防护与监控

   • 安装fail2ban防御暴力破解，配置SSH防护规则（如最大尝试次数3次，封禁1小时）。
   • 定期审查系统日志（/var/log/），使用工具如Lynis扫描漏洞。

6. 其他安全措施

   • 启用SSL/TLS加密（如为Apache配置证书），保护数据传输。
   • 定期备份重要数据，存储至外部设备或云存储。
   • 考虑启用SELinux或AppArmor增强访问控制（按需配置）。

参考来源：[1,2,3,4,5,6,7,8,9,10]