1. 保持系统与软件最新,及时修补漏洞
定期运行sudo apt update && sudo apt upgrade命令,更新系统内核及所有已安装软件包,修复已知安全漏洞。建议启用自动安全更新(通过sudo apt install unattended-upgrades并配置),确保系统持续获得最新补丁,减少被Exploit攻击的风险。
2. 配置防火墙,限制网络访问
使用Ubuntu自带的UFW(Uncomplicated Firewall)工具,默认拒绝所有入站流量(sudo ufw default deny incoming),仅允许必要服务(如SSH、HTTP、HTTPS)的端口通过(sudo ufw allow ssh、sudo ufw allow http、sudo ufw allow https)。可通过sudo ufw enable启用防火墙,并通过sudo ufw status查看规则状态。
3. 强化SSH安全,防止远程攻击
编辑/etc/ssh/sshd_config文件,禁用root用户远程登录(PermitRootLogin no)、禁用密码认证(PasswordAuthentication no),并更改SSH默认端口(如Port 2222),减少暴力破解风险。修改后重启SSH服务(sudo systemctl restart sshd)使配置生效。
4. 实施最小权限原则,降低攻击影响
避免使用root账户进行日常操作,创建普通用户并通过sudo执行管理员任务。为用户分配仅满足工作需求的权限,定期审查/etc/sudoers文件,确保无不必要的sudo权限。同时,禁用未使用的系统服务(如sudo systemctl disable <service_name>),减少攻击面。
5. 安装安全工具,主动监测与防御
部署Fail2Ban(sudo apt install fail2ban)监控日志,自动封禁多次登录失败的IP地址;使用ClamAV(sudo apt install clamav clamtk)定期扫描恶意软件;安装Rkhunter(sudo apt install rkhunter)检查系统完整性,检测潜在rootkit。这些工具可及时发现并阻止恶意活动。
6. 加密敏感数据,保护数据安全
对系统中的敏感文件(如用户家目录、数据库文件)使用加密工具(如LUKS)进行加密,防止数据泄露。例如,使用cryptsetup创建加密分区:sudo cryptsetup luksFormat /dev/sda1,挂载后仅授权用户访问。同时,定期备份重要数据到安全位置(如离线存储或云存储),确保数据可恢复。
7. 监控系统日志,及时发现异常
定期检查/var/log/auth.log(认证日志)、/var/log/syslog(系统日志)等文件,使用journalctl -xe命令查看实时日志,识别可疑活动(如多次登录失败、异常进程启动)。结合监控工具(如Zabbix、Prometheus)实现自动化告警,快速响应潜在攻击。
8. 使用SELinux或AppArmor,增强访问控制
启用SELinux(sudo apt install selinux并设置sudo setenforce 1)或AppArmor(Ubuntu默认安装),通过强制访问控制(MAC)限制进程的权限,防止恶意程序访问敏感资源。例如,AppArmor可为每个应用程序定义访问规则,记录违规行为(日志位于/var/log/syslog)。
