1. 定期更新系统及软件包
保持系统最新是修复exploit的基础步骤。首先更新本地软件包列表,然后升级所有过时的软件包,确保系统安装了最新的安全补丁。命令如下:
sudo apt update && sudo apt upgrade -y
对于Debian 12及以上版本,建议添加官方安全仓库(security.debian.org),以获取更及时的安全更新:
echo "deb http://security.debian.org/debian-security $(lsb_release -cs)-security main" | sudo tee /etc/apt/sources.list.d/security.list
sudo apt update
升级完成后,重启系统或受影响的服务(如Nginx、SSH),使补丁生效:
sudo systemctl restart nginx # 示例:重启Nginx服务
sudo reboot # 如需重启系统
2. 启用自动安全更新
自动更新可避免因人工疏忽导致的漏洞未修复。安装unattended-upgrades工具并配置自动安装安全补丁:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades
配置过程中,选择“自动安装安全更新”(或“自动安装所有更新并通知”)。可通过以下命令检查自动更新状态:
sudo systemctl status apt-daily-upgrade.timer # 查看自动升级定时器状态
sudo less /var/log/unattended-upgrades/unattended-upgrades.log # 查看更新日志
模拟自动更新(不实际安装)以验证配置:
sudo unattended-upgrade --dry-run
3. 针对特定漏洞手动修复
若已知特定exploit(如CVE编号),可通过Debian安全公告(DSA)获取修复补丁。例如,修复SSH漏洞时,添加安全仓库并升级openssh-server:
echo "deb http://security.debian.org/debian-security $(lsb_release -cs)-security main" | sudo tee /etc/apt/sources.list.d/security.list
sudo apt update
sudo apt install openssh-server # 自动安装最新安全版本
升级后验证版本是否符合修复要求(如ssh -V查看OpenSSH版本)。
4. 使用安全扫描工具验证
修复后,使用漏洞扫描工具确认系统是否仍存在风险。推荐以下工具:
sudo apt install debian-goodies reboot-notifier
bash <(curl -s https://raw.githubusercontent.com/vulsio/vulsctl/master/install-host/install.sh)
/etc/vuls/config.toml后,运行vuls scan开始扫描。5. 强化系统安全配置
修复exploit后,需进一步降低风险:
ufw限制访问,仅允许必要端口(如SSH的22端口):sudo apt install ufw
sudo ufw allow OpenSSH
sudo ufw enable
sudo提升权限:sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sudo systemctl restart ssh
rsync或Deja Dup),防止修复过程中数据丢失。
