Debian文件系统如何安全防护

Debian 文件系统安全防护实践

一 基础加固与权限最小化

• 保持系统与软件为最新：定期执行apt update && apt upgrade，并启用unattended-upgrades自动安装安全补丁，降低已知漏洞利用窗口。
• 最小权限与身份管理：日常使用普通用户 + sudo；通过chmod/chown设置最小权限，例如敏感文件设为600、敏感目录设为700；必要时用ACL做细粒度授权（setfacl/getfacl）。
• 进程隔离与强制访问控制：启用AppArmor（或 SELinux）为关键服务（如 sshd、nginx、数据库）加载受限配置，限制对敏感目录与文件的访问路径与能力。
• 网络与入口防护：仅开放必要端口（如 22/80/443），使用ufw/iptables限制来源；SSH 建议禁用 root 登录、改用密钥认证并更改默认端口，配合 Fail2ban 降低暴力破解风险。
• 日志与告警：集中收集与分析**/var/log/，使用Logwatch/Fail2ban**做异常登录与访问告警。

二 分区与挂载选项

• 分区与最小暴露：按功能划分分区（如 /、/var、/home、/tmp、/var/log），将可写与可执行分离，便于独立策略控制与故障隔离。
• 关键挂载选项：对含不可信内容的分区或外接盘使用noexec,nosuid,nodev；对共享数据盘按需设置uid/gid与umask；需要细粒度权限时使用acl选项并在挂载后配置 ACL。
• 示例（/etc/fstab）：
  • 数据盘仅属特定用户且禁止执行：
    • /dev/sdb1 /mnt/data ext4 defaults,noexec,nosuid,nodev,uid=1000,gid=1000 0 2
  • 临时目录更严格：
    • tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0
• 变更生效：mount -o remount /mnt/data 或重启后自动生效。

三 加密与备份

• 数据静态加密：对敏感目录或整盘使用LUKS加密；示例：
  • cryptsetup luksFormat /dev/sdX
  • cryptsetup open /dev/sdX my_encrypted
  • mkfs.ext4 /dev/mapper/my_encrypted && mount /dev/mapper/my_encrypted /mnt/enc
• 文件级加密：对传输或归档的敏感文件使用GnuPG（对称或公私钥）加密，密钥/口令妥善离线保管。
• 备份与恢复：制定定期备份（如 rsync/tar/borg），保留离线/异地副本与校验；变更前做快照/备份，并验证可恢复性，确保遭篡改或勒索时可快速回滚。

四 完整性校验与入侵检测

• 文件完整性监控：部署Tripwire/AIDE建立基准数据库并定期校验，出现未授权变更（如 /etc、/usr/bin、/boot 等关键路径）及时告警与处置。
• 审计与取证：启用auditd对敏感文件与目录设置监控规则（如读写/属性变更），配合 journalctl 与集中日志分析，追溯可疑行为。
• 入侵检测与漏洞扫描：部署Snort/Suricata做网络层异常检测；使用Lynis/OpenVAS/Nessus做系统与配置基线评估与漏洞扫描。

五 快速检查清单