1. 系统与软件更新管理
保持系统和软件包为最新状态是防范已知漏洞的基础。定期执行sudo apt update && sudo apt upgrade -y命令更新所有软件包;开启自动安全更新(安装unattended-upgrades并配置),确保及时获取关键安全补丁,减少被exploit攻击的风险。
2. 用户权限与SSH安全强化
sudo分配必要权限;禁止root用户直接登录(编辑/etc/ssh/sshd_config设置PermitRootLogin no),降低账户被破解的风险。Port 2222),禁用密码登录(PasswordAuthentication no),启用SSH密钥认证(PubkeyAuthentication yes),并限制允许登录的IP地址(AllowUsers admin@192.168.1.*),减少暴力破解和非法访问的可能性。3. 防火墙配置
使用ufw(Uncomplicated Firewall)或iptables管控进出流量,默认拒绝所有入站连接(ufw default deny incoming),仅开放必要端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口)。例如,sudo ufw allow 2222/tcp(允许自定义SSH端口),sudo ufw enable启用防火墙,有效过滤恶意流量。
4. 入侵检测与预防
Snort(网络入侵检测系统)或Fail2Ban(防止暴力破解),监控系统活动并发出警报。例如,Fail2Ban可自动封禁多次尝试登录失败的IP地址,提升系统抗攻击能力。AIDE(高级入侵检测环境)监控关键文件(如/etc/passwd、/etc/shadow)的变化,及时发现未经授权的修改。5. 安全工具与服务
ClamAV(开源反病毒软件)定期扫描系统,检测并清除恶意软件;配合ClamTk(图形化前端)简化操作。Timeshift(系统快照工具)定期备份系统,或通过rsync将备份存储到远程服务器,确保数据丢失或系统受损时可快速恢复。6. 日志审计与监控
auditd(审计守护进程)记录系统活动(如文件修改、用户登录),监控关键文件(如/etc/passwd、/etc/ssh/sshd_config)的变化;通过journalctl(systemd日志工具)查看系统日志,及时发现异常行为。logrotate(日志轮转工具),防止日志文件过大占用磁盘空间,同时保留历史日志以便后续审计。7. 服务最小化与端口管控
sudo apt install --no-install-recommends),避免安装不必要的软件包;禁用非必要服务(如cups打印服务,systemctl stop cups && systemctl disable cups),减少攻击面。8. 内核与文件系统加固
/etc/sysctl.conf文件,启用内核安全特性(如net.ipv4.tcp_syncookies = 1防止SYN Flood攻击,fs.protected_hardlinks = 1防止硬链接攻击),提升系统抗攻击能力;执行sysctl -p使配置生效。/etc/cron*、/etc/ssh/)的权限为700,敏感文件(如/etc/shadow)的权限为600;查找异常SUID文件(find / -perm -4000 -type f -exec ls -ld {} \;),及时删除或修复可能存在风险的文件。
