保持系统与软件更新
定期通过sudo apt update && sudo apt upgrade -y命令更新系统及软件包,修复已知安全漏洞;启用自动安全更新(安装unattended-upgrades包并配置),确保及时获取安全补丁,减少被exploit攻击的风险。
强化用户权限与SSH安全
避免使用root用户进行日常操作,新建普通用户并通过usermod -aG sudo 用户名加入sudo组;禁用root用户的SSH远程登录(编辑/etc/ssh/sshd_config文件,设置PermitRootLogin no);使用SSH密钥对认证(ssh-keygen -t rsa生成密钥,ssh-copy-id复制到服务器),替代密码登录;限制空密码登录(PermitEmptyPasswords no),降低暴力破解风险。
配置防火墙限制访问
使用ufw(Uncomplicated Firewall)或iptables配置防火墙,仅允许必要的端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口)开放,拒绝所有未授权的入站连接;例如,通过sudo ufw allow OpenSSH和sudo ufw enable启用防火墙并允许SSH服务。
禁用不必要服务与端口
通过systemctl list-units --type=service --state=running列出运行中的服务,禁用非必需服务(如Telnet、FTP等明文传输服务,sudo systemctl stop telnet.socket && sudo systemctl disable telnet.socket);关闭未使用的端口,减少攻击面。
使用安全工具监控与防护
安装入侵检测系统(如snort)实时监控网络流量中的异常行为;使用入侵防御系统(如fail2ban)防止暴力破解(自动封禁多次登录失败的IP);安装rootkit检测工具(如rkhunter,sudo rkhunter --check)和反病毒软件(如clamav,sudo freshclam更新病毒库),定期扫描系统。
定期备份与安全审计
使用rsync、tar或timeshift等工具定期备份重要数据(如配置文件、数据库),并测试备份的可恢复性;通过auditd监控系统调用,记录关键操作;使用漏洞扫描工具(如OpenVAS、Nessus)定期扫描系统,发现并修复潜在漏洞。
强化认证与密码策略
配置强密码策略(通过libpam-pwquality模块,编辑/etc/security/pwquality.conf设置minlen=12(最小长度12位)、minclass=3(至少包含数字、大小写字母、特殊字符三类));避免使用弱密码(如“123456”“password”),定期更换密码;启用双因素认证(2FA),提升账户安全性。
关注安全公告与最佳实践
订阅Debian官方安全公告(如邮件列表、安全公告页面),及时了解最新安全漏洞及修复补丁;参与Debian社区,获取安全建议;遵循CIS Debian基准进行系统加固(如使用cis-debian脚本检查配置),确保系统符合安全标准。
