Debian Minimal安全策略是什么

Debian Minimal安全策略要点

一 核心原则

• 最小化安装：仅安装必需软件包与服务，减少攻击面；定期清理不再使用的包与依赖（如 apt autoremove）。
• 持续更新：及时应用安全修复，建议以计划任务执行 apt update && apt upgrade，并优先处理 security 仓库更新。
• 最小权限：日常使用非 root账户，通过 sudo 提权；禁止 root 远程登录。
• 纵深防御：启用防火墙、强制访问控制（AppArmor/SELinux）、入侵防护（fail2ban）、审计（auditd）等多层机制。

二 账户与认证基线

• 唯一 root 与 UID 检查：确保仅存在 UID=0 的 root 账户，避免“隐形 root”。
• 密码复杂度与周期：通过 PAM 强制口令长度至少 8 位、包含大小写字母/数字/特殊字符中至少 3 类，历史记录 3 次，root 同样受约束；口令最长使用期建议 90 天。
• 登录失败锁定：连续失败 5 次锁定 300 秒，并记录审计日志。
• 会话超时：设置 TMOUT=120（秒），无操作自动注销。
• SSH 加固：禁用 root 登录、禁用密码登录、启用密钥认证，必要时限制协议/端口/来源网段。

三 网络与服务最小化

• 防火墙：启用 UFW 或 iptables，默认拒绝入站，仅放行必要端口（如 SSH 22/HTTP 80/HTTPS 443）。
• 服务最小化：关闭不必要的监听服务与端口，使用 ss/ss -atup 核查并移除无用服务。
• 端口与协议：仅开放业务必需端口；SSH 建议仅使用 Protocol 2，必要时限制 AddressFamily inet/inet6。

四 加固与审计机制

• 强制访问控制：启用并配置 AppArmor（或 SELinux），为关键服务（如 sshd、nginx、数据库）加载最小化配置。
• 入侵防护：部署 fail2ban，对 SSH 等暴力破解行为进行自动封禁。
• 系统审计：安装并启用 auditd，审计关键系统调用与身份/策略文件变更（如 /etc/passwd、/etc/shadow、/etc/sudoers、/etc/apparmor*）。
• 恶意代码检测：按需部署 rkhunter/chkrootkit 做例行体检。
• 日志与监控：集中收集与分析日志（journalctl、/var/log/auth.log），关注异常登录与权限变更。

五 快速落地清单

• 执行最小化安装并删除无用软件包；建立每周安全更新任务。
• 创建普通管理员账户并加入 sudo；配置 SSH 密钥登录，禁用 root 与密码登录。
• 启用 UFW，仅放行 22/80/443；核查并关闭无用服务与端口。
• 配置 PAM 复杂度/历史/锁定策略与 TMOUT=120；开启 auditd 与 AppArmor 基线。
• 部署 fail2ban 保护 SSH；配置 rkhunter/chkrootkit 例行检查；建立备份与恢复演练。