系统更新与升级
保持系统及软件包最新是安全基础。定期执行apt update && apt upgrade命令,安装最新安全补丁;建议开启自动更新(安装unattended-upgrades包),确保系统持续修复已知漏洞。
防火墙配置
使用ufw(Uncomplicated Firewall)简化防火墙管理:安装sudo apt install ufw,启用sudo ufw enable,仅开放必要端口(如HTTP的80/tcp、HTTPS的443/tcp),拒绝其他无关流量;可通过sudo ufw allow from <IP>限制特定IP访问,提升网络层防护。
禁用root直接登录
避免root账户暴露风险,修改SSH配置(/etc/ssh/sshd_config):设置PermitRootLogin no,禁止root远程登录;通过普通用户+sudo权限执行管理操作,降低账户被破解后的系统风险。
最小安装原则
仅安装运行必需的软件包和服务(如apt install --no-install-recommends <package>),减少系统潜在攻击面;定期通过apt autoremove清理无用依赖,保持系统简洁。
用户与权限管理
创建普通用户并加入sudo组(sudo adduser <username> && sudo usermod -aG sudo <username>),替代root执行特权操作;实施强密码策略(编辑/etc/pam.d/common-password,要求复杂字符、定期更换),避免弱密码被破解;遵循最小权限原则,限制用户对敏感目录(如/root)的访问。
SSH安全配置
修改SSH默认端口(编辑/etc/ssh/sshd_config,更改Port为非标准端口,如2222),降低端口扫描攻击概率;禁用root登录(PermitRootLogin no);启用SSH密钥认证(ssh-keygen -t rsa生成密钥,ssh-copy-id user@remotehost添加公钥),替代密码登录,提升身份验证安全性。
数据保护与备份
定期备份重要数据(如使用rsync -avz /path/to/source /path/to/backup或duplicity工具),建议设置自动备份计划(如每天凌晨执行);对敏感数据(如数据库、配置文件)进行加密(使用eCryptfs或EncFS工具),保护静态数据安全。
监控与日志审计
使用logwatch(sudo apt install logwatch)每日汇总系统日志,快速识别异常行为;通过auditd(sudo apt install auditd)记录关键操作(如文件修改、用户登录),便于事后追溯;定期审查日志(如检查/var/log/auth.log中的SSH登录记录),及时发现潜在攻击。
安装防病毒软件
尽管Debian系统安全性较高,但仍建议安装ClamAV(sudo apt install clamav clamav-daemon)定期扫描系统,检测恶意软件;定期更新病毒库(sudo freshclam),提升检测能力。
启用SSL/TLS加密
对提供敏感服务(如Web、邮件)的虚拟机,启用SSL/TLS加密(使用certbot获取Let’s Encrypt免费证书,sudo apt install certbot python3-certbot-apache),保护数据传输过程中不被窃听或篡改。
VirtualBox网络优化
将虚拟机网络模式设置为桥接模式(而非NAT),使虚拟机拥有独立IP,提升网络隔离性;避免与其他设备共享同一网络段,减少ARP欺骗等网络攻击风险。
