ubuntu怎样触发安全机制

Ubuntu 触发安全机制的实用方法

一 账户与登录安全触发

• 连续输错密码触发账户锁定：在 PAM 中启用失败计数与锁定。示例（在 /etc/pam.d/login 与 /etc/pam.d/sshd 顶部加入）
  auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600
  说明：普通用户最多失败 3 次，锁定 300 秒；root 失败也锁定 600 秒。查看与解锁：
  sudo pam_tally2 --user；sudo pam_tally2 -r -u 用户名。提示：模块名在不同发行版可能为 pam_tally 或 pam_faillock，请按系统实际模块调整。
• 查看登录失败日志以验证触发：
  sudo grep “Failed password for” /var/log/auth.log
• 触发 SSH 登录防护：在 /etc/ssh/sshd_config 设置 MaxAuthTries 3、LoginGraceTime 20、PermitRootLogin no，重启 SSH 后，连续认证失败将更快被拒绝。
• 触发 Fail2ban 封禁：安装并启用后（建议复制 /etc/fail2ban/jail.conf 为 /etc/fail2ban/jail.local），在 [sshd] 中设置例如 maxretry=5、bantime=3600、findtime=600；当同一来源在 10 分钟内失败 5 次即封禁 1 小时。查看状态：
  sudo fail2ban-client status sshd。
• 触发 UFW 限流/封禁：对 SSH 启用速率限制，超过阈值将被自动拒绝
  sudo ufw limit ssh（默认每分钟最多约 6 次新连接尝试）。

二 网络与防火墙触发

• 启用基础防火墙并仅放行必要端口：
  sudo ufw enable；sudo ufw allow ssh（或指定端口）；sudo ufw allow 80,443/tcp。
• 触发端口阻断与日志：对已放行端口执行删除规则（先用 sudo ufw status numbered 查看规则号），随后该端口的新连接将被拒绝；开启日志便于审计：
  sudo ufw logging on（日志位于 /var/log/ufw.log）。
• 触发端口扫描与暴力连接被拒：在未放行端口上发起连接会被默认策略拒绝；对 SSH 启用 limit 规则后，高频尝试会被自动丢弃/封禁。

三 应用与进程强制访问控制触发

• AppArmor 触发：Ubuntu 默认启用 AppArmor。将自定义或现有策略设为强制模式后，违规访问会被拒绝并记录到系统日志：
  sudo aa-enforce /path/to/profile；查看状态与日志：
  sudo apparmor_status；sudo journalctl -xe | grep apparmor。
• SELinux 触发（可选，非默认）：若需在 Ubuntu 上启用 SELinux，安装工具、激活并设定模式（/etc/selinux/config 中 SELINUX=enforcing），重启后策略违规将被拒绝；查看状态：
  sestatus / getenforce。

四 合规与审计触发

• 触发安全更新与自动安全补丁：
  sudo apt update && sudo apt upgrade；安装并启用自动安全更新：
  sudo apt install unattended-upgrades；sudo dpkg-reconfigure -plow unattended-upgrades。
• 触发登录审计与报表：持续查看 /var/log/auth.log 与 /var/log/syslog 可发现异常登录与策略拒绝；配置 Logwatch 生成日报/周报邮件，便于及时发现异常：
  sudo apt install logwatch；在 /etc/cron.daily/00logwatch 中配置输出方式与收件人。

五 安全提示

• 修改 sshd_config 或防火墙规则时，先保留一个已建立的 SSH 会话，另开终端验证新规则，避免被锁在系统外。
• 云服务器需同时在云平台安全组放行对应端口，否则 UFW/Fail2ban 规则不会对外生效。
• 生产环境建议先在测试环境验证策略，逐步推广，并保留回滚方案。