一、保持系统与软件最新
定期更新系统是防范exploit的基础,能及时修复已知漏洞。使用APT工具更新所有软件包:sudo apt update && sudo apt upgrade -y。为避免遗漏安全更新,建议启用自动更新:sudo apt install unattended-upgrades,然后通过sudo dpkg-reconfigure -plow unattended-upgrades配置自动安装安全补丁。
二、配置防火墙限制访问
防火墙是防范外部攻击的第一道防线,推荐使用UFW(Uncomplicated Firewall)(适合新手)或iptables/nftables(适合高级用户)。
sudo apt install ufw,启用防火墙:sudo ufw enable,允许SSH服务(默认端口22):sudo ufw allow OpenSSH,查看状态:sudo ufw status。sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT(允许SSH)、sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT(允许HTTP)、sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT(允许HTTPS)、sudo iptables -A INPUT -j DROP(拒绝其他所有入站连接)。三、强化用户权限与认证
遵循最小权限原则,避免使用root账户进行日常操作:创建普通用户并通过usermod -aG sudo 用户名加入sudo组;禁用root远程登录:编辑/etc/ssh/sshd_config文件,设置PermitRootLogin no;启用SSH密钥认证:生成密钥对(ssh-keygen -t rsa -b 4096),将公钥复制到服务器(ssh-copy-id user@remotehost),并在/etc/ssh/sshd_config中设置PubkeyAuthentication yes、PasswordAuthentication no。
四、使用安全工具增强防护
sudo apt install snort。sudo apt install rkhunter,更新数据库(sudo rkhunter --update),运行检查(sudo rkhunter --check)。sudo apt install clamav clamtk,更新病毒库(sudo freshclam),执行扫描(sudo clamscan -r /)。sudo apt install fail2ban,启动服务(sudo systemctl enable fail2ban && sudo systemctl start fail2ban)。五、定期安全审计与监控
sudo apt install openvas,运行sudo openvas-setup配置,启动服务(sudo systemctl start gsa && sudo systemctl enable gsa),通过Web界面查看扫描结果。sudo journalctl -u sshd),或通过Logwatch生成每日日志报告(sudo apt install logwatch,配置/etc/logwatch/conf/services/sshd.conf);也可使用ELK Stack(Elasticsearch+Logstash+Kibana)进行集中式日志分析。sudo apt install lynis,运行./lynis audit system(需切换至root用户),生成审计报告。六、最小化安装与服务
安装Debian时选择“最小化安装”(sudo apt install --no-install-recommends),避免安装不必要的软件包;禁用不需要的服务(如FTP、Telnet):sudo systemctl stop <service_name>、sudo systemctl disable <service_name>,减少攻击面。
七、备份重要数据
定期备份系统和数据,确保遭受攻击后可快速恢复。使用rsync备份到远程服务器:sudo rsync -avz /path/to/important/data /backup/location;或使用tar打包压缩:sudo tar cvpzf backup.tar.gz /path/to/important/data。
