Ubuntu Exploit：如何防范黑客攻击

Ubuntu 防范黑客攻击的实用加固清单

一 基础防护与系统更新

• 保持系统与软件包为最新，及时修补漏洞：执行sudo apt update && sudo apt upgrade -y，必要时运行sudo apt dist-upgrade。
• 启用自动安全更新，减少暴露窗口：安装并配置unattended-upgrades，编辑**/etc/apt/apt.conf.d/50unattended-upgrades**，仅勾选安全更新；按需开启邮件告警、自动删除无用依赖、检测到需重启时自动重启（如设置Unattended-Upgrade::Automatic-Reboot “true”;与Automatic-Reboot-Time “03:00”;），最后通过dpkg-reconfigure -plow unattended-upgrades启用。
• 仅安装必要软件，定期清理不再使用的包，降低攻击面。

二 网络与 SSH 安全

• 使用UFW建立最小暴露面：默认拒绝入站、放行出站，仅开放必需端口，例如sudo ufw default deny incoming; sudo ufw default allow outgoing; sudo ufw allow OpenSSH（或明确放行22/tcp）；如需缓解暴力破解，可对 SSH 启用速率限制：sudo ufw limit ssh。
• 强化 SSH 访问：在**/etc/ssh/sshd_config中设置PermitRootLogin no**、PasswordAuthentication no、启用Protocol 2，优先使用ed25519主机密钥；可更改默认端口（如Port 2222）并限制可登录用户（如AllowUsers your_admin）；修改后执行sudo systemctl restart sshd。
• 进一步收敛 SSH 暴露：如业务允许，仅允许可信网段访问，例如sudo ufw allow from 192.168.1.0/24 to any port 22。

三 入侵防护与强制访问控制

• 使用Fail2ban自动封禁暴力破解源：安装后复制配置sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local，在**[sshd]段按需设置enabled = true、port = ssh、maxretry = 5、bantime = 3600、findtime = 600**，重启服务并用sudo fail2ban-client status sshd查看状态。
• 启用并运用AppArmor限制应用权限：大多数 Ubuntu 已预装并启用，可用sudo apparmor_status查看；为关键应用生成或调整策略，测试阶段用aa-complain，稳定后切到aa-enforce，策略与审计日志位于**/etc/apparmor.d/与/var/log/**。

四 账号与最小权限

• 创建非 root 管理员并加入sudo组：sudo adduser myadmin && sudo usermod -aG sudo myadmin，日常以普通用户登录，必要时提权。
• 清理不再使用的系统账号与弱口令，执行sudo apt autoremove -y移除无用依赖；为关键操作配置sudo而非共享 root。
• 桌面端浏览器侧降低攻击面：安装NoScript或AdBlock等扩展，减少脚本与恶意广告带来的风险。

五 日志监控 备份与合规

• 集中查看与审计关键日志：实时关注**/var/log/auth.log**（SSH 登录审计）、/var/log/syslog（系统事件），必要时配合Logwatch生成日报。
• 建立离线与异地备份策略，定期校验与演练恢复流程，确保被入侵或误删时可快速回滚。
• 开展合规巡检与漏洞扫描：对内网/云上使用nmap梳理开放端口与服务，对公网资产定期用OpenVAS/Nessus做漏洞评估；按需部署ClamAV等反病毒工具，尤其在共享目录、邮件网关、双系统场景下更有价值。