Debian 域名安全加固清单
一 域名注册与账户安全
- 在注册商启用隐私保护/WHOIS 隐私,降低社工与垃圾邮件风险。
- 使用强且独特的注册商与邮箱密码,开启双重验证 2FA,并准备域名转移锁(Registrar Lock)。
- 为关键操作设置DNS 变更提醒/邮件通知,并定期在 WHOIS 与注册商控制台核对名称服务器 NS是否被篡改。
- 采用最小权限原则分配域名管理权限,定期审计账户登录与操作日志。
二 DNS 解析与权威服务器安全
- 选择可信的权威 DNS 提供商或自建权威服务器,仅开放必要网络与端口。
- 启用DNSSEC:在注册商处为域名开启 DNSSEC 并上传DS 记录;自建权威 DNS(如 BIND9)时配置区域签名与自动密钥维护,并开启dnssec-validation auto。
- 限制查询与递归:权威服务器对公网仅允许必要来源查询;若非递归公共解析服务,建议禁用递归 recursion no,降低被滥用为放大攻击的风险。
- 防火墙仅放行UDP/TCP 53端口,并分离内外网职责,减少攻击面。
三 Web 服务与传输安全(以 Nginx 为例)
- 获取并自动续期Let’s Encrypt证书:
- 安装与签发:sudo apt install certbot python3-certbot-nginx && sudo certbot --nginx -d yourdomain.com
- 续期演练:sudo certbot renew --dry-run
- 强化 TLS 配置:仅启用TLSv1.2/TLSv1.3,使用强加密套件;开启OCSP Stapling提升握手与隐私。
- 启用安全头:HSTS、X-Frame-Options、X-Content-Type-Options、X-XSS-Protection。
- 防火墙仅暴露80/443:sudo ufw allow 80,443/tcp && sudo ufw enable。
四 系统与运维安全
- 保持系统与软件及时更新,优先使用 Debian LTS 版本,及时修补漏洞。
- 强化访问控制与最小权限,为网站目录设置严格权限,仅允许必要用户/进程写入。
- 配置日志与监控(访问日志、错误日志、证书到期监控),定期审计异常。
- 制定备份与恢复策略,定期验证备份可用性与完整性,确保可快速回滚。
五 快速检查清单
| 项目 |
关键动作 |
验证方式 |
| 注册商账户 |
开启隐私保护/WHOIS 隐私、2FA、转移锁 |
注册商控制台与 WHOIS 查询 |
| DNS 解析 |
启用DNSSEC并上传DS;权威服务器限制查询/递归 |
注册商 DNSSEC 状态页;dig +dnssec yourdomain.com DNSKEY/DS |
| 权威 DNS |
BIND9 配置dnssec-validation auto、区域签名、仅放通 53 端口 |
named-checkconf/checkzone;ss/ufw 状态 |
| Web/HTTPS |
部署Let’s Encrypt证书、TLS1.2/1.3、HSTS、OCSP Stapling |
浏览器锁标识;ssllabs.com;curl -I 检查响应头 |
| 系统与运维 |
持续更新、最小权限、日志监控、备份验证 |
apt 更新日志;fail2ban/日志告警;定期恢复演练 |
