Debian进程如何进行安全设置

Debian 进程安全设置实用指南

一 身份与权限最小化

• 以专用系统用户/服务账户运行进程，避免使用 root；通过 sudo 授权特定管理命令，集中审计。示例：sudo -u appuser /usr/bin/myapp。
• 按“最小权限原则”配置目录与文件：可执行文件与配置设为仅属主可读写执行，必要时仅对服务组可读；敏感目录（如 /var/lib、/var/log）限制其他用户访问。
• 利用 Linux capabilities 替代 root：例如允许非特权进程绑定 1024 以下端口，仅授予必要能力：sudo setcap cap_net_bind_service=+ep /usr/bin/myapp。
• 通过 PolicyKit 控制桌面/系统级特权操作，避免 GUI 程序以 root 身份运行。
• 示例（创建服务账户并收紧权限）：
  • sudo useradd -r -s /usr/sbin/nologin -d /var/lib/myapp myapp
  • sudo chown -R myapp:myapp /var/lib/myapp /var/log/myapp
  • sudo chmod 750 /usr/bin/myapp
  • sudo setcap cap_net_bind_service=+ep /usr/bin/myapp
    以上做法分别利用了 sudo、文件权限、capabilities 与 PolicyKit 来降低进程特权面。

二 运行环境隔离与资源限制

• 使用 systemd 服务单元进行沙盒化与隔离：
  • 以非特权用户运行：User=myapp、Group=myapp
  • 隔离文件系统：ProtectHome=yes、ProtectSystem=strict、ReadOnlyPaths=/、ReadWritePaths=/var/lib/myapp
  • 限制内核能力：CapabilityBoundingSet=CAP_NET_BIND_SERVICE（仅保留所需能力）
  • 网络隔离：PrivateNetwork=yes（如业务允许）、RestrictAddressFamilies=AF_INET AF_INET6
  • 权限与特权：NoNewPrivileges=yes、ProtectKernelTunables=yes、ProtectControlGroups=yes
• 以 cgroups v2 控制资源：通过 systemd 设置 CPU/内存/IO 限额，防止单进程资源滥用（Debian 11+ 默认使用 cgroups-v2）。
• 以 namespaces 提供进程视图隔离（配合容器/沙盒技术），减少攻击面。
• 通过 ulimit / PAM limits 限制每用户/会话资源：
  • 会话级：ulimit -n 4096（打开文件数）、ulimit -u 1024（进程数）、ulimit -v 524288（虚拟内存 512MB）、ulimit -c 0（禁止核心转储）
  • 永久生效：编辑 /etc/security/limits.conf（或 /etc/security/limits.d/*.conf），并确保 PAM 启用：session required pam_limits.so
• 示例（limits.conf 片段）：
  • * soft nofile 4096
  • * hard nofile 65535
  • myapp soft nproc 1024
  • myapp hard nproc 2048
  • * soft as 524288
  • * hard as 1048576
  • * soft core 0
    以上措施结合 systemd 隔离、cgroups v2/namespaces 与 ulimit/PAM，可有效限制进程权限与资源使用。

三 系统调用与访问控制加固

• 使用 seccomp 限制进程可调用的系统调用（白名单模式），大幅降低内核攻击面；应用可在代码中调用 seccomp 库或在容器/运行时启用。
• 使用 AppArmor 基于路径的强制访问控制（Debian 常见默认启用）：为关键进程编写策略，仅允许访问必需文件、目录与能力。
  • 示例策略 /etc/apparmor.d/usr.bin.myapp：
    • /usr/bin/myapp {
      • #include <abstractions/base>
      • /var/lib/myapp/** rwk,
      • /var/log/myapp/*.log w,
      • /etc/myapp/** r,
      • deny /etc/shadow r,
      • }
  • 加载与生效：sudo apparmor_parser -r /etc/apparmor.d/usr.bin.myapp
• 在需要时启用 SELinux（Debian 可用，但默认多为 AppArmor）；两者均为 LSM 框架，用于细粒度约束进程行为。
• 以上做法通过 seccomp 与 AppArmor/SELinux 对进程的系统调用与资源访问进行强制约束。

四 网络与运行时的纵深防护

• 启用 UFW/iptables 仅开放必要端口（如 22/80/443），对管理口与敏感网段实施来源限制：
  • sudo ufw enable
  • sudo ufw allow 22/tcp
  • sudo ufw allow 80,443/tcp
• 加固 SSH：禁用 root 远程登录、使用 密钥认证、限制失败重试与来源 IP。
• 部署 fail2ban 自动封禁暴力破解来源，降低凭证猜测风险。
• 保持系统与软件及时更新，并启用 unattended-upgrades 自动安装安全补丁；定期审计日志（如 /var/log/auth.log、/var/log/syslog）。
• 以上措施通过最小化暴露面、强认证与自动化阻断，提升进程运行时的整体安全性。