Ubuntu 更新与防范 Exploit 的实用清单
一 核心更新与补丁管理
- 手动更新:执行以下命令获取并安装最新软件包与安全补丁,必要时重启以完成内核等更新。
- 命令:sudo apt update && sudo apt full-upgrade && sudo reboot
- 说明:apt full-upgrade 会在需要时处理新依赖与冲突,比 apt upgrade 更完整;更新后建议执行 sudo apt autoremove 清理无用依赖。
- 图形界面更新:桌面版打开“软件更新”(Software Updater),检查并安装可用更新,按提示重启。
- 仅查看安全更新:使用 sudo apt list --upgradable | grep -i security 快速筛查安全类更新。
二 自动安全更新与验证
- 安装并启用自动安全更新:
- 安装组件:sudo apt install unattended-upgrades update-notifier-common
- 交互启用:sudo dpkg-reconfigure -plow unattended-upgrades
- 配置仅自动安装安全更新(/etc/apt/apt.conf.d/50unattended-upgrades):
- 关键项示例:
- Unattended-Upgrade::Allowed-Origins { “${distro_id}:${distro_codename}-security”; “${distro_id}ESM:${distro_codename}”; };
- Unattended-Upgrade::Automatic-Reboot “true”;
- Unattended-Upgrade::Automatic-Reboot-Time “03:00”;
- Unattended-Upgrade::Remove-Unused-Kernel-Packages “true”;
- 启用每日自动更新任务(/etc/apt/apt.conf.d/20auto-upgrades):
- 建议值:
- APT::Periodic::Update-Package-Lists “1”;
- APT::Periodic::Download-Upgradeable-Packages “1”;
- APT::Periodic::AutocleanInterval “7”;
- APT::Periodic::Unattended-Upgrade “1”;
- 验证与日志:
- 试运行:sudo unattended-upgrade --dry-run
- 查看日志:cat /var/log/unattended-upgrades/unattended-upgrades.log
- 查看是否需重启:ls /var/run/reboot-required(存在时表示需要重启以完成更新)
三 更新后仍需的安全加固
- 防火墙最小化暴露:
- 启用与放行必要端口:sudo ufw enable && sudo ufw allow ssh(或指定端口如 2222/tcp)
- SSH 安全:
- 编辑 /etc/ssh/sshd_config:设置 PermitRootLogin no、PasswordAuthentication no,使用密钥登录,必要时更改端口;修改后执行 sudo systemctl restart sshd
- 应用最小权限与加固:
- 启用 AppArmor(或 SELinux),删除不必要的软件与服务,定期漏洞扫描(如 OpenVAS、Nessus)
- 入侵防护与恶意软件检测:
- 部署 fail2ban 防止暴力破解,按需使用 ClamAV 进行恶意软件扫描
- 日志与审计:
- 定期检查 /var/log/auth.log、/var/log/syslog,必要时使用 Logwatch 汇总报告
四 漏洞爆发时的应急流程
- 立即隔离:临时断开受感染或疑似受影响主机的网络,防止横向扩散
- 快速研判:检索 auth.log/syslog 等日志,定位可疑登录与异常进程
- 紧急修补:优先应用相关安全补丁;若无法立即修补,采用临时缓解措施(如临时关闭服务、限制访问)
- 恢复与验证:从干净备份恢复,确保备份未被污染;恢复后进行全面安全审计与加固
- 通报与复盘:必要时通知相关方,记录事件时间线与处置过程,完善后续防护策略
