保持系统与软件最新
定期执行sudo apt update && sudo apt upgrade -y命令,及时修补已知漏洞;安装unattended-upgrades包并配置自动安全更新(通过sudo dpkg-reconfigure unattended-upgrades启用),确保系统自动获取并安装重要补丁,减少因未修复漏洞被利用的风险。
强化用户权限与访问控制
日常操作避免使用root账户,创建普通用户并通过usermod -aG sudo 用户名加入sudo组,仅授予必要的管理权限;配置SSH安全:修改/etc/ssh/sshd_config文件,设置PermitRootLogin no(禁用root远程登录)、PasswordAuthentication no(禁用密码登录),启用SSH密钥对认证(ssh-keygen -t rsa生成密钥并ssh-copy-id 用户名@服务器IP复制公钥),降低SSH暴力破解风险;制定强密码策略,通过libpam-pwquality模块设置密码复杂度(如minlen=8、包含大小写字母/数字/特殊字符),并要求定期更换密码(chage -M 90 用户名设置90天有效期)。
配置防火墙限制网络暴露
使用ufw(Uncomplicated Firewall)或iptables配置防火墙,仅开放必需的服务端口(如HTTP的80端口、HTTPS的443端口、SSH的22端口),拒绝所有未授权的入站连接。例如,sudo ufw allow OpenSSH允许SSH连接,sudo ufw enable启用防火墙;关闭不必要的服务(如Telnet,systemctl stop telnet.socket && systemctl disable telnet.socket),减少攻击面。
安装安全工具实现主动防护
部署入侵检测系统(IDS)如Snort或Fail2ban:Fail2ban可通过sudo apt install fail2ban安装,配置/etc/fail2ban/jail.local文件监控SSH等服务的异常登录行为(如多次密码错误),自动封禁恶意IP;使用漏洞扫描工具定期检查系统,如Lynis(sudo apt install lynis,用于系统安全审计)、OpenVAS(sudo apt install openvas,全面漏洞扫描),及时发现并修复潜在漏洞;安装防病毒软件如ClamAV(sudo apt install clamav clamtk)和rootkit检测工具如rkhunter(sudo apt install rkhunter),防范恶意软件和rootkit攻击。
定期监控与审计系统活动
使用Logwatch或journalctl(sudo journalctl -u sshd查看SSH日志)监控系统日志,跟踪用户登录、服务启动等常规活动;配置日志轮转(/etc/logrotate.conf),防止日志文件过大占用磁盘空间;定期审查用户账户(cat /etc/passwd查看用户列表),删除不再需要的账户(userdel 账户名),避免闲置账户被利用。
遵循安全配置基准与最佳实践
参考Debian官方安全配置指南或CIS(互联网安全中心)基准,对系统进行加固:如合理划分磁盘分区(/boot、/、/home等),设置文件系统权限(chmod 750敏感目录、chown正确归属)、禁用不必要的系统服务(systemctl disable 服务名);关注Debian安全公告(通过apt-listbugs或官网订阅),及时了解最新安全信息并应用对应补丁;确保系统时间同步(sudo apt install ntp安装NTP客户端),避免因时间偏差导致证书失效等问题。
