Linux VirtualBox 虚拟机安全加固清单
一 系统与账户安全基线
- 保持系统与安全补丁为最新:Debian/Ubuntu 执行sudo apt update && sudo apt full-upgrade -y && sudo reboot;RHEL/CentOS 执行sudo yum update -y或sudo dnf upgrade -y,并重启。为降低风险,建议启用自动安全更新(Debian 系可启用unattended-upgrades)。
- 最小安装与禁用不必要服务:仅安装运行所需软件包,关闭未使用的systemd服务与端口。
- 强化账户与权限:创建普通用户并加入sudo组;设置强密码策略;禁用root远程登录(SSH 配置PermitRootLogin no);必要时设置TMOUT自动注销(如300秒)。
二 网络与防火墙
- 启用防火墙并默认拒绝:Debian/Ubuntu 使用UFW:sudo ufw enable,按需仅放行必要端口(如22/80/443);RHEL/CentOS 使用firewalld:sudo systemctl start firewalld && sudo systemctl enable firewalld,并以服务方式放行端口/源地址。
- 规划安全的网络模式:对外服务优先NAT+端口转发;纯内部通信使用Host-Only;多业务隔离可用内部网络;需要更高独立性与隔离时再考虑桥接。
- 变更前后验证:使用nmap或实际连接测试规则是否生效,避免误封导致失联。
三 SSH 与远程访问
- 使用SSH 密钥替代口令登录,禁用口令认证(设置PasswordAuthentication no);修改默认端口(Port)降低噪音扫描。
- 限制可登录用户与来源:仅允许特定用户/组(如AllowUsers或AllowGroups),必要时仅放行可信IP/CIDR。
- 会话安全:设置ClientAliveInterval/ClientAliveCountMax自动断开空闲会话;禁用root远程登录(PermitRootLogin no)。
四 虚拟化层与存储加固
- 启用虚拟化扩展与资源限额:在宿主机为虚拟机开启硬件虚拟化(如**–hwvirtex on**)、合理设置**–cpus与–memory**,降低资源滥用与侧信道风险。
- 磁盘与快照策略:对敏感数据使用加密虚拟磁盘(如VBoxManage createmedium … --encryption aes-256);变更前创建快照以便快速回滚;定期做离线/异地备份。
- 宿主机内核安全基线:按需加固内核参数(示例:kernel.kptr_restrict=2、fs.protected_symlinks=1、net.ipv4.conf.all.log_martians=1、vm.overcommit_memory=0),并持久化到**/etc/sysctl.d/后执行sysctl --system**。
五 监控审计与备份恢复
- 日志与审计:启用并集中系统日志与auditd,定期审计关键日志(如**/var/log/auth.log**);对关键文件做完整性校验(如AIDE)。
- 入侵检测与防病毒:部署fail2ban减少暴力破解;安装ClamAV进行定期恶意软件扫描。
- 备份与演练:制定定期备份(如rsync/duplicity),并进行恢复演练验证可用性与完整性。
