VirtualBox 中提升 Debian 安全性的实用清单
一 系统与更新
- 保持系统处于 Debian Stable,及时执行 apt update && apt full-upgrade,并清理无用包:apt autoremove && apt clean。
- 启用自动安全更新:安装并配置 unattended-upgrades,仅自动拉取安全仓库更新,减少暴露窗口。
- 采用 最小化安装,卸载不需要的软件包与内核模块,降低攻击面。
二 用户与权限
- 创建 普通用户 并加入 sudo,日常以普通用户操作,遵循 最小权限原则。
- 强化 密码策略(长度、复杂度、定期更换),可使用密码管理器管理凭据。
- 禁止 root 远程登录,仅允许通过 sudo 提权;定期审计用户与组成员关系,清理过期账户。
三 网络与防火墙
- 启用 UFW 并仅放行必要端口,例如:
- 仅 SSH:sudo ufw allow 22/tcp && sudo ufw enable
- Web 服务:sudo ufw allow 80,443/tcp
- 如无公网访问需求,可默认 拒绝入站,按需开放;必要时使用 iptables 实现更细粒度策略。
- 优化 SSH:禁用 root 登录、禁用 空密码、使用 密钥登录,必要时更改默认端口并限制可登录用户。
四 服务、端口与虚拟化安全
- 关闭不必要的 systemd 服务与端口,定期核查:systemctl list-unit-files --state=enabled 与 ss -tulnp。
- 对需要公网暴露的服务启用 SSL/TLS,可使用 Let’s Encrypt 获取免费证书。
- 在 VirtualBox 中按需选择 NAT/桥接/Host-Only 网络:对外服务谨慎使用桥接;内部通信可用 Host-Only 或 内部网络 隔离。
- 谨慎安装 VirtualBox 增强功能(Guest Additions):仅启用所需组件,避免引入不必要的内核模块与攻击面。
- 如启用 X11,关闭 TCP 监听(如启动参数 –nolisten tcp 或相应显示管理器配置),减少远程图形暴露。
五 日志、监控、备份与恢复
- 启用日志与审计:auditd、rsyslog/syslog-ng,并部署 Logwatch 或集中式日志平台,定期审查异常登录与关键操作。
- 部署 Fail2ban 自动封禁暴力破解来源,缩短攻击持续时间。
- 安装 ClamAV 进行周期性恶意软件扫描,作为纵深防御的一环。
- 制定 备份与灾难恢复 策略:使用 Timeshift(系统快照)与 rsync/duplicity(数据备份),定期演练恢复流程,确保可快速回滚。
