Debian文件系统如何防范安全风险

Debian文件系统安全风险防范清单

一 基础加固

• 保持系统与内核的安全更新：定期执行apt update && apt upgrade，并启用unattended-upgrades自动安装关键安全补丁；仅使用官方仓库并确保启用GPG签名验证，避免不可信第三方源。最小化安装，关闭不必要的端口与服务，遵循最小权限原则。
• 强化身份与访问控制：日常使用普通用户 + sudo；禁用root远程SSH登录（设置PermitRootLogin no），强制使用SSH密钥认证，必要时更改默认SSH端口；对外仅开放必要端口（如22/80/443），用iptables/ufw限制入站。
• 启用强制访问控制与沙箱：根据需求启用AppArmor/SELinux对关键服务进行最小权限约束；对高风险或不可信程序使用Firejail等沙箱隔离。

二 分区与挂载选项

• 分区与最小化暴露：按功能划分分区（如**/、/var**、/tmp、/home等），将可写与可执行分离，便于隔离与风险控制；对不需要执行的挂载点使用noexec，对临时目录使用nosuid,nodev。
• 挂载权限精细化：在**/etc/fstab中为数据盘设置uid/gid与umask**（如umask=022使新文件默认644、目录755），必要时启用ACL做细粒度授权（mount -o acl；setfacl）。
• 示例条目（/etc/fstab）：
  • 数据盘仅属特定用户且禁止执行
    • /dev/sdb1 /mnt/data ext4 defaults,rw,uid=1000,gid=1000,noexec 0 2
  • 共享目录启用ACL
    • /dev/sdc1 /srv/share ext4 defaults,rw,acl 0 2
      以上做法可在部署阶段显著降低因配置不当导致的提权与执行风险。

三 权限与完整性

• 文件与目录权限：遵循最小权限原则，用chmod/chown设置关键目录（如**/etc、/var/www、/home**）权限；为敏感文件设置600，对公共服务目录设置755并限制写入；通过umask 022统一默认权限基线。
• 特权位最小化：定期审计并清理不必要的SUID/SGID二进制，降低被滥用提权的可能性。
• 完整性校验与入侵检测：部署AIDE/Tripwire建立文件基线并定期校验，配合Logwatch/Fail2ban监控**/var/log/auth.log、/var/log/syslog中的异常登录与权限变更；必要时引入Snort/Suricata**做网络侧异常检测。

四 备份恢复与应急响应

• 备份与回滚：对**/etc、/var/lib、/home及关键数据库/配置建立定期备份与离线/异地副本**；重大变更前创建LVM/ZFS快照或云平台快照以便快速回滚。
• 事件处置流程：发现入侵或可疑行为时，优先隔离网络，对关键数据做取证留存；分析auth.log/syslog与完整性报告定位入侵路径，随后修补漏洞/临时下线服务并验证修复效果；恢复业务后持续监控一段时间以排除残留后门。

五 快速检查清单