ubuntu虚拟机如何进行安全设置

Ubuntu 虚拟机安全设置清单

一 系统与镜像基线

• 保持系统与软件持续更新：执行sudo apt-get update && sudo apt-get upgrade，及时修补漏洞，降低被已知问题利用的风险。
• 选择并维护干净的镜像源：优先使用官方或可信镜像，必要时更换为国内镜像源以提升更新可靠性与速度。
• 建立可回滚的基线：在重要变更前创建快照/备份，出现异常可快速恢复。
• 启用时间同步：使用systemd-timesyncd或 NTP，保证日志与审计时间戳一致，便于追踪与取证。

二 身份与访问控制

• 禁用 root 远程登录：编辑**/etc/ssh/sshd_config**，设置PermitRootLogin no，仅通过普通用户加 sudo 提权。
• 强化 SSH 登录：优先使用SSH 密钥认证，禁用密码登录（PasswordAuthentication no）；如需更高安全，可配置TOTP 双重认证（如 google-authenticator，配合 PAM 与 sshd_config 的 AuthenticationMethods）。
• 最小权限的用户与组：使用adduser创建用户，usermod -aG sudo 用户名授予必要权限；定期审计**/etc/passwd、/etc/shadow**等关键文件。
• 登录安全：设置强密码策略、合理的密码有效期与账户锁定策略（passwd -l/-u、chage 等）。

三 网络与防火墙

• 启用 UFW 并默认拒绝：执行sudo ufw enable，按需仅放行必要服务，例如sudo ufw allow 22/tcp（SSH），避免暴露不必要的端口。
• 变更前验证连通性：在远程环境下，先确保已有SSH 放行规则再启用防火墙，防止被锁死。
• 精细化规则管理：按需放行80/tcp、443/tcp等应用端口，使用ufw status verbose查看规则，使用**ufw delete allow <端口/服务>**撤销规则。
• 容器与 Docker 注意：Docker 可能自动添加放行规则，导致ufw 规则看似生效但实际被绕过；若使用 Docker，需统一在 Docker 网络与宿主机策略层面做端口与转发治理。

四 日志与监控审计

• 集中化日志：配置 rsyslog 将日志外发至集中审计平台，例如在**/etc/rsyslog.conf添加“. @日志审计IP:514**”，并重启服务，便于统一监控与合规审计。
• 时间与主机时间同步：确保NTP/timesyncd正常运行，保证日志时序一致性，提升故障排查与取证效率。

五 虚拟化与备份恢复

• 宿主机与虚拟化层：保持虚拟化平台（如 VMware/VirtualBox）与虚拟机工具更新，减少逃逸与驱动层漏洞风险；按需启用快照、克隆与备份。
• 快速回滚：在重大变更或攻防演练前创建快照，出现异常可一键恢复到安全基线。