Ubuntu dropped后如何保障安全

Ubuntu 安全事件处置与加固清单

一 紧急处置与隔离

• 立即将受影响的Ubuntu主机从网络隔离（拔网线或断开云实例的网络），防止横向扩散与数据外泄。
• 保护现场与取证：保留**/var/log/下的关键日志（如auth.log、syslog**）、当前进程与网络连接快照（如ps aux、ss -tulpen、lsof），必要时对可疑文件做只读拷贝。
• 快速研判入侵迹象：查看异常登录与失败尝试（last -a、grep "Failed\|Accepted" /var/log/auth.log），定位可疑来源IP与时间点。
• 若存在数据外泄或业务中断风险，及时通知业务方与利益相关者，并按内部流程上报安全事件。

二 恢复与重建

• 有干净备份时：先校验备份完整性与时间点，在隔离环境中恢复业务数据，再逐步恢复服务；恢复前再次确认备份未被篡改。
• 无可靠备份或系统被深度篡改：优先选择全新安装并重打补丁，避免“带病修复”留下后门。
• 系统上线前完成：系统更新（sudo apt update && sudo apt full-upgrade）、最小服务原则（关闭不需要的端口/服务）、防火墙策略收紧。

三 加固基线配置

• 更新与补丁
  • 启用自动安全更新：安装并配置unattended-upgrades，仅自动安装安全更新，减少暴露窗口。
• 防火墙与端口最小化
  • 启用UFW：sudo ufw enable；仅放行必要流量（如ufw allow ssh或自定义SSH端口），默认拒绝其他入站。
• SSH 安全
  • 禁用root远程登录：PermitRootLogin no；
  • 强制SSH密钥登录，禁用密码认证：PasswordAuthentication no；
  • 限制可登录用户/组：AllowUsers <admin> 或 AllowGroups <admins>；
  • 可选：更改默认端口以降低噪音与自动化扫描命中率。
• 账号与权限
  • 清理无用/共享账号，执行最小权限分配；
  • 启用PAM 密码质量与复杂度策略（如pam_pwquality）；
  • 配置登录失败锁定（如pam_faillock或pam_tally2），防止暴力破解；
  • 对关键文件设置不可变属性：sudo chattr +i /etc/passwd /etc/shadow。
• 应用与系统加固
  • 启用AppArmor（或SELinux）对关键服务进行强制访问控制；
  • 删除不必要的软件包与内核模块，减少攻击面；
  • 对敏感数据启用LUKS/dm-crypt静态加密。

四 持续监测与审计

• 日志与审计
  • 启用并守护auditd，对/etc/passwd、/etc/shadow、/var/log/auth.log等关键路径设置审计规则，定期用ausearch检索；
  • 部署Logwatch或集中式日志平台，定期审查异常登录、权限变更与策略修改。
• 入侵检测与防护
  • 使用fail2ban或denyhosts自动封禁暴力破解来源；
  • 部署IDS/IPS（如Snort、Suricata）与文件完整性监控（如AIDE）识别可疑行为与篡改；
  • 定期漏洞扫描（如OpenVAS、Nessus）与基线核查，形成整改闭环。
• 恶意代码防护
  • 安装并更新ClamAV等反恶意软件工具，定期扫描用户目录与上传目录。

五 常见加固命令速查

• 更新与自动安全更新
  • sudo apt update && sudo apt full-upgrade
  • sudo apt install unattended-upgrades
  • 配置/etc/apt/apt.conf.d/50unattended-upgrades启用安全更新自动安装
• 防火墙
  • sudo ufw enable
  • sudo ufw allow ssh（或自定义端口）
• SSH 加固
  • sudo nano /etc/ssh/sshd_config → 设置PermitRootLogin no、PasswordAuthentication no、AllowUsers <admin>
  • sudo systemctl restart ssh
• 账号与密码策略
  • sudo apt install libpam-pwquality
  • 在/etc/pam.d/common-password加入：password requisite pam_pwquality.so retry=3 minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
  • 配置/etc/login.defs的PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE
• 审计与日志
  • sudo apt install auditd && sudo systemctl enable --now auditd
  • sudo auditctl -w /etc/passwd -p wa -k identity
  • ausearch -i -k identity
• 入侵防护与扫描
  • sudo apt install fail2ban
  • sudo apt install clamav && sudo freshclam && sudo clamscan -r /home
  • 漏洞扫描：部署OpenVAS或Nessus定期巡检