Ubuntu Minimal安全保障指南
Ubuntu Minimal作为轻量级系统,其安全优势在于最小化攻击面(仅安装必要组件),但仍需通过主动配置强化安全。以下是关键措施:
定期更新系统是修复已知漏洞的核心手段。执行以下命令同步软件包列表并升级所有可更新的包:
sudo apt update && sudo apt upgrade -y
建议开启自动安全更新(安装unattended-upgrades):
sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades
这能自动安装安全补丁,减少未修复漏洞的风险。
使用**UFW(Uncomplicated Firewall)**限制不必要的网络访问,默认拒绝所有传入流量,仅允许必需服务(如SSH、HTTP):
sudo apt install ufw
sudo ufw default deny incoming # 拒绝所有传入流量
sudo ufw default allow outgoing # 允许所有传出流量
sudo ufw allow 22/tcp # 允许SSH(默认端口)
sudo ufw enable # 启用防火墙
通过sudo ufw status verbose查看规则,确保仅开放必要端口。
/etc/ssh/sshd_config,设置:PermitRootLogin no
PasswordAuthentication no # 禁用密码认证
sudo systemctl restart ssh。~/.ssh/authorized_keys,提升远程登录安全性。sudo adduser username创建用户,添加到sudo组赋予管理员权限:sudo usermod -aG sudo username。systemctl停止并禁用不需要的服务(如cups打印服务、bluetooth蓝牙服务):sudo systemctl stop cups
sudo systemctl disable cups
/home)或分区使用LUKS加密,通过cryptsetup工具实现。/var/log/auth.log(认证日志,查看登录尝试)、/var/log/syslog(系统日志,查看异常操作),识别可疑行为。fail2ban防范暴力破解,logwatch汇总日志报告:sudo apt install fail2ban logwatch
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
auditd监控文件/目录访问,记录权限变更:sudo apt install auditd
sudo systemctl enable auditd
sudo ausearch -m avc -ts recent # 查看近期权限变更
chmod设置合理权限(如脚本文件755、敏感文件600),chown确保所有者正确。dev读写/var/www):sudo setfacl -m u:dev:rwx /var/www
sudo getfacl /var/www # 查看ACL规则
visudo安全编辑/etc/sudoers,限制用户使用sudo的权限(如仅允许admin组用户执行特定命令)。aa-enforce强化特定应用(如/usr/sbin/nginx)的安全策略。chkrootkit、rkhunter扫描rootkit和后门程序,定期检查系统完整性。通过以上措施,Ubuntu Minimal的安全性可显著提升,适用于服务器、嵌入式设备等对安全性要求较高的场景。需定期复查配置,适应新的安全威胁。
