Debian Minimal如何保护安全

Debian Minimal 安全防护实操清单

一 基础加固

• 保持系统与内核的及时更新：执行sudo apt update && sudo apt upgrade -y；安装并启用unattended-upgrades以自动安装安全补丁（如sudo apt install unattended-upgrades && sudo dpkg-reconfigure -plow unattended-upgrades），减少暴露窗口。
• 落实最小化安装与依赖控制：仅安装必要软件，使用apt install --no-install-recommends减少不必要依赖；定期清理无用包（如apt autoremove -y）。
• 强化用户与权限：创建普通用户并加入sudo组（如sudo adduser && sudo usermod -aG sudo ）；按需限制su使用（如编辑**/etc/pam.d/su添加auth required pam_wheel.so use_uid**）；设置强密码策略（如安装libpam-pwquality并在**/etc/security/pwquality.conf中配置minlen=8、dcredit/ucredit/lcredit/ocredit=-1**）。
• 配置SSH 安全：在**/etc/ssh/sshd_config中设置PermitRootLogin no**、PasswordAuthentication no、AllowUsers ；使用ssh-keygen -t rsa -b 4096生成密钥并用ssh-copy-id分发公钥，优先采用密钥登录。
• 管理服务与端口：关闭不需要的服务（如sudo systemctl disable --now ）；用ss -tulnp或netstat -tulnp核查监听端口，只保留必要服务。

二 网络与防火墙

• 使用UFW快速策略：启用sudo ufw enable；仅放行必要流量（如sudo ufw allow OpenSSH或sudo ufw allow 22/tcp，以及业务所需的80/tcp、443/tcp）；用sudo ufw status核对规则。
• 使用iptables/nftables精细控制：示例（iptables）允许回环、已建立连接与SSH，其余默认丢弃；Debian 上用iptables-persistent持久化规则（安装时选择保存；或sudo netfilter-persistent save）。
• 按需限制源地址/端口：如仅允许可信网段访问某端口（UFW 支持from 规则），或在 iptables 中对特定来源做DROP/REJECT。

三 强制访问控制与审计监控

• 启用强制访问控制 MAC：Debian 常用AppArmor（多数版本默认启用），可安装工具并强制关键服务策略（如sudo apt install apparmor apparmor-utils && sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd）；如需更严格策略，可考虑SELinux（在 Debian 上可用selinux-basics、selinux-policy-default）。
• 部署审计与入侵防护：安装并启用auditd（如sudo apt install auditd audispd-plugins && sudo systemctl enable --now auditd）记录系统调用与关键文件访问；使用fail2ban防御暴力破解（如sudo apt install fail2ban && sudo systemctl enable --now fail2ban，针对sshd启用监狱）。
• 配置日志与集中审计：确保rsyslog正常工作，必要时配置远程日志；启用日志轮转（/etc/logrotate.conf）；定期检查**/var/log/auth.log、/var/log/syslog**；可用Lynis做基线安全审计。

四 备份恢复与持续运维

• 制定备份与回滚策略：定期备份关键数据与配置（如rsync -avz / /mnt/backup或tar -czvf backup_$(date +%F).tar.gz /）；变更前创建快照（LVM/ZFS/云快照）；保留历史版本与校验信息，定期恢复演练验证可用性。
• 建立持续更新与验证流程：定期运行apt list --upgradable核查可升级包；重大更新前在测试环境验证；为内核升级准备回退方案（如 GRUB 选择旧内核启动并卸载问题内核包后再update-grub）；记录更新日志与变更单以便追溯。

五 可选加固与物理安全

• 物理与引导安全：在BIOS设置启动密码并禁用USB/光盘启动；为GRUB配置管理员密码，防止未授权引导修改。
• 按需禁用 IPv6（若业务不使用）：在**/etc/sysctl.conf加入net.ipv6.conf.all.disable_ipv6=1并执行sysctl -p**；或在网络配置中关闭 IPv6。
• 运行恶意软件扫描与漏洞评估：按需部署ClamAV（如sudo apt install clamav clamtk && sudo freshclam）进行基础查杀；使用OpenVAS等工具做漏洞扫描并闭环修复。