1. 系统与软件包更新
保持Debian系统及所有安装的软件包(如Web服务器、数据库、PHP等)为最新版本,及时修复已知安全漏洞。使用sudo apt update && sudo apt upgrade -y命令定期更新系统,关注Debian安全公告(DSA)以获取紧急补丁信息。
2. 防火墙配置
使用Uncomplicated Firewall(UFW)限制不必要的网络访问,仅开放必需的端口(如SSH的22/tcp、HTTP的80/tcp、HTTPS的443/tcp)。通过以下命令快速配置:sudo ufw enable(启用防火墙)、sudo ufw allow 22/tcp(允许SSH)、sudo ufw allow 80/tcp(允许HTTP)、sudo ufw allow 443/tcp(允许HTTPS)。
3. Web服务器安全配置
sudo a2dismod autoindex禁用目录列表),通过.htaccess文件限制目录访问;4. 数据库安全加固
sudo mysql_secure_installation脚本设置root密码、删除匿名账户、禁止远程root登录;修改默认端口(如3306改为非标准端口),限制数据库用户权限(仅授予必要的表操作权限)。5. PHP安全设置
修改php.ini文件禁用危险函数(如exec、system、shell_exec,设置disable_functions = exec,passthru,shell_exec,system),防止恶意代码执行;调整上传文件限制(upload_max_filesize = 2M、post_max_size = 8M),避免大文件上传攻击。
6. 实施SSL/TLS加密
使用Let’s Encrypt免费获取SSL证书,为网站启用HTTPS。以Apache为例,安装Certbot工具:sudo apt install certbot python3-certbot-apache,然后运行sudo certbot --apache -d yourdomain.com自动配置证书;Nginx则使用sudo certbot --nginx -d yourdomain.com。确保证书自动续期(Certbot默认开启)。
7. 强化访问控制
/etc/ssh/sshd_config),设置PermitRootLogin no,重启SSH服务(sudo systemctl restart ssh);ssh-keygen -t rsa),将公钥添加至服务器~/.ssh/authorized_keys文件,禁用密码登录(PasswordAuthentication no);8. 日志与监控
开启详细日志记录(Apache的access.log和error.log、MySQL的error.log),定期检查日志文件(/var/log/apache2/、/var/log/mysql/)以发现异常活动(如大量失败登录尝试、未授权访问);使用监控工具(如Prometheus+Grafana)实时监测服务器CPU、内存、磁盘使用情况,设置告警阈值(如CPU使用率超过80%时触发告警)。
9. 数据备份策略
定期备份网站关键数据(如/var/www/html目录、数据库),采用3-2-1备份原则:至少3份备份(本地+外部存储)、2种不同介质(硬盘+云存储)、1份异地备份。使用rsync(sudo rsync -avz /var/www/html /backup/website)或tar(sudo tar -czvf /backup/backup-$(date +%F).tar.gz /var/www/html)工具,自动化备份流程(通过cron定时任务)。
10. 隔离与权限管理
www-data用户和组(sudo chown -R www-data:www-data /var/www/html),权限设为750(目录)和640(文件);/home、/var),保护敏感数据免受物理窃取或未授权访问;mysql用户下,Apache运行在www-data用户下)。