系统更新与补丁管理
sudo apt update && sudo apt upgrade 修复已知漏洞。unattended-upgrades 并配置仅更新安全包。最小化服务与权限控制
sudo systemctl disable apache2)。sudo 提权。SSH安全加固
Port 2222),禁用 root 登录和密码认证,强制使用密钥。防火墙与网络隔离
UFW 限制入站/出站流量,仅开放必要端口(如SSH、HTTP)。iptables 或 firewalld 划分网络区域,隔离敏感服务。入侵检测与监控
Fail2Ban 防止暴力破解,配置规则自动封禁异常IP。AIDE 或 Tripwire 监控文件完整性,检测未授权修改。恶意软件防护
ClamAV 检测病毒,rkhunter/chkrootkit 查杀后门。内核与系统加固
AppArmor 或 SELinux 限制进程权限,防止提权攻击。数据加密与备份
/etc/shadow)使用LUKS加密磁盘。安全审计与应急响应
auditd 记录关键操作(如文件访问、用户登录),定期分析日志。lynis 等工具扫描系统弱点。参考来源:[1,2,3,4,5,6,7,8,9,10,11]
