ubuntu怎样提升系统安全性

Ubuntu系统安全加固清单

一 基础与账户安全

• 保持系统与软件为最新：执行sudo apt update && sudo apt upgrade，并启用自动安全更新（安装unattended-upgrades，在**/etc/apt/apt.conf.d/50unattended-upgrades**中仅勾选安全更新），及时修补漏洞。
• 创建非 root 管理员并加入sudo组：adduser 创建用户，usermod -aG sudo 授权，日常以普通用户登录，必要时 sudo 提权。
• 强化 SSH：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no、仅允许密钥登录（PasswordAuthentication no）、限制可登录用户（AllowUsers youruser），必要时更改端口（Port 2222），修改后重启 SSH 服务。
• 精细化 sudo 授权：优先通过组授权，必要时用visudo为用户或组配置最小权限（避免直接使用宽泛的 ALL=(ALL:ALL) ALL）。

二 网络与防火墙

• 启用并配置UFW：默认拒绝入站、允许出站；仅放行必需端口（如 OpenSSH 22/2222、HTTP 80、HTTPS 443），示例：ufw default deny incoming；ufw default allow outgoing；ufw allow OpenSSH 或 ufw allow 2222/tcp；ufw enable。
• 进阶用iptables细粒度控制：仅开放必要端口与来源；保存规则（如 iptables-save > /etc/iptables/rules.v4），确保重启后策略不丢失。
• 可选网络加固：在**/etc/sysctl.conf中开启rp_filter**、关闭accept_source_route，执行 sysctl -p 使配置生效。

三 服务、权限与内核防护

• 最小化攻击面：卸载不需要的软件包，禁用不需要的服务（systemctl disable ）。
• 服务最小权限：将服务以非 root用户运行（编辑服务单元设置 User=、Group=），对外服务按 IP 白名单限制访问（如 Nginx 的 allow/deny）。
• 强制访问控制：启用并配置AppArmor（Ubuntu 默认集成），为关键服务（如 sshd）加载或编写策略，限制越权访问。
• 文件与目录权限：家目录建议0700；避免chmod 777；定期审计SUID/SGID等特殊权限文件（如 find / -perm -4000）。
• 内核/系统加固：可进一步增强共享内存隔离（如将**/dev/shm**以只读方式挂载：tmpfs /dev/shm tmpfs defaults,ro 0 0），降低本地提权风险。

四 日志监控与恶意软件防护

• 集中与审计日志：启用并定期审查系统日志（auth、syslog 等），可使用Logwatch生成日报；结合服务日志与防火墙日志进行异常溯源。
• 漏洞扫描与基线核查：定期用OpenVAS、Nessus等做漏洞扫描，核查开放端口、过期软件与错误配置。
• 入侵检测与主机防护：部署Snort等 IDS/IPS 监控异常流量；使用chkrootkit、Rootkit Hunter做 rootkit 检测。
• 防病毒与邮件网关：部署ClamAV并更新病毒库，用于扫描下载文件、邮件附件与共享目录，降低木马与脚本风险。

五 数据安全与备份恢复

• 全磁盘加密：安装阶段启用LUKS/dm-crypt对磁盘加密，防止设备丢失或物理窃取导致的数据泄露。
• 备份策略：制定3-2-1备份（3 份副本、2 种介质、1 份异地/离线），定期演练恢复流程，确保关键数据与配置的可恢复性。
• 持续运维：保持安全更新、定期审计账户与权限、复核防火墙规则与开放服务清单，形成变更记录与回滚预案。