1. 保持系统与软件包最新
定期执行sudo apt update && sudo apt full-upgrade命令,及时修补系统及软件包中的安全漏洞。建议开启自动安全更新(安装unattended-upgrades包并配置/etc/apt/apt.conf.d/50unattended-upgrades文件),确保系统第一时间接收安全补丁。
2. 使用官方与可信软件源
始终从Debian官方软件仓库提取软件包,避免使用第三方或未知来源的源。提取前通过sudo apt update更新软件源列表,确保获取最新、最安全的软件包版本。
3. 强化用户与权限管理
禁用root用户远程登录(编辑/etc/ssh/sshd_config文件,设置PermitRootLogin no),创建普通用户并通过usermod -aG sudo 用户名将其加入sudo组,使用sudo执行特权命令。通过adduser和usermod精确分配用户权限,遵循“最小权限原则”。
4. 配置防火墙限制网络访问
使用ufw(Uncomplicated Firewall)配置防火墙,执行sudo ufw enable开启防火墙,仅允许必要端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口)连接(sudo ufw allow 22、sudo ufw allow 80等),拒绝所有未授权的入站连接。
5. 安全配置SSH服务
修改SSH默认端口(如将22改为2222,编辑/etc/ssh/sshd_config中的Port参数),禁用密码登录(设置PasswordAuthentication no),启用SSH密钥对认证(生成密钥对ssh-keygen -t rsa -b 4096,将公钥添加到~/.ssh/authorized_keys)。这些措施可有效防止暴力破解。
6. 验证软件包完整性
使用APT工具提取软件包时,系统会自动验证软件包的GPG签名和MD5/SHA256散列值(确保/etc/apt/sources.list中的源配置正确)。避免直接下载并安装未知来源的.deb文件,降低恶意软件感染风险。
7. 监控与日志审计
利用logwatch、auditd等工具实时监控系统状态,定期审查系统日志(如/var/log/auth.log查看登录记录、/var/log/syslog查看系统事件)。auditd可记录关键操作(如文件修改、用户权限变更),帮助及时发现异常行为。
8. 数据保护与备份
对敏感数据(如数据库文件、配置文件)使用eCryptfs或EncFS进行加密,保护数据静态安全。设立自动备份计划(如使用rsync或duplicity),定期备份重要数据到异地或云存储,确保数据丢失后可快速恢复。
