1. 加密分卷数据(核心安全措施)
使用dm-crypt与LUKS组合对分卷进行加密,这是Debian下保护数据静态安全的标准方案。操作流程:先通过cryptsetup luksFormat命令对目标分区(如/dev/sda2)进行加密初始化(需设置强密码);再用cryptsetup luksOpen打开加密分区并映射为逻辑设备(如/dev/mapper/secure_home);随后使用mkfs.ext4等工具格式化逻辑设备;最后挂载至指定目录(如/home)并配置/etc/fstab实现开机自动挂载。此外,也可选择VeraCrypt创建虚拟加密卷,适合需要灵活存储的场景。
2. 强化用户与权限管理
sudo临时提权;创建普通用户并加入sudo组(usermod -aG sudo 用户名),仅授予完成工作所需的最低权限。/etc/pam.d/common-password)设置密码复杂度(要求包含大小写字母、数字、特殊字符,长度≥8位),并定期提醒用户更换密码。3. 配置防火墙限制访问
使用ufw(简单易用)或iptables(功能强大)配置防火墙规则,仅开放必要端口(如SSH的22端口、Web服务的80/443端口),拒绝所有未授权的入站连接。例如,ufw allow 22/tcp允许SSH登录,ufw enable启用防火墙。
4. 定期备份分卷数据
采用“完整+增量”的备份策略,确保数据可恢复:
tar命令打包备份(如sudo tar -czvf /backup/home_$(date +%Y-%m-%d).tar.gz /home);rsync实现增量同步(如rsync -avz /home user@remote:/backup/,仅传输变化部分);Duplicity支持加密增量备份(如sudo duplicity --full-if-older-than 1M /home file:///backup/,加密存储备份数据)。tar文件),并模拟恢复过程(如用Duplicity恢复数据到测试目录),确保备份有效。5. 系统与分卷日常维护
apt update && apt upgrade安装最新安全补丁,修复分卷管理或加密相关的漏洞。top、htop监控进程资源占用,fail2ban防范暴力破解(如SSH登录尝试),Logwatch分析系统日志,及时发现异常行为(如频繁访问分卷的陌生IP)。6. 分区规划降低风险
/home)与系统文件(如/、/var)分卷存储,避免系统故障或攻击导致用户数据丢失。/)预留足够空间(≥20GB)存放系统文件,交换分区(swap)根据内存大小设置(通常为内存的2倍),防止因空间不足导致数据损坏。