Ubuntu Exploit：如何修复已知漏洞

Ubuntu 已知漏洞修复与加固清单

一、快速处置流程

• 更新软件包索引并升级：执行 sudo apt update && sudo apt full-upgrade -y，必要时重启 sudo reboot。
• 启用自动安全更新：安装并启用 unattended-upgrades，自动应用安全补丁。
• 最小化暴露面：启用 ufw 防火墙，仅放行必要端口（如 22/80/443），禁用不必要的入站/出站连接。
• 加固 SSH：禁用 root 登录，使用 SSH 密钥 认证，限制可登录用户/组。
• 持续监测与响应：关注 Ubuntu Security Notices（USN），定期检查 /var/log/auth.log、/var/log/syslog，使用 fail2ban 抑制暴力破解。

二、近期高危漏洞与修复要点

三、通用加固配置

• 登录失败锁定：在 /etc/pam.d/common-auth 或 /etc/pam.d/sshd 增加失败锁定策略，例如使用 pam_faillock：
  auth required pam_faillock.so preauth silent deny=5 unlock_time=600
• 限制 su 切换：在 /etc/pam.d/su 增加 auth required pam_wheel.so use_uid 或 auth required pam_wheel.so group=wheel，仅允许 wheel 组切换 root。
• 关键文件权限：
  • /etc/shadow：chmod 400 /etc/shadow; chown root:shadow /etc/shadow
  • /etc/gshadow：chmod 400 /etc/gshadow; chown root:shadow /etc/gshadow
  • /var/spool/cron：chown root:root /var/spool/cron; chmod 700 /var/spool/cron
• 密码策略：使用 chage -M <天数> <用户> 设置密码最大有效期，避免 -1/99999（永不过期）。

四、验证与回退

• 验证修复：
  • 包版本：apt policy <包名>（如 libblockdev2、udisks2、sudo）
  • 内核版本：uname -r
  • 内核缓解：cat /proc/sys/user/max_user_namespaces（若为 0 表示已禁用非特权用户命名空间）
• 变更控制与回退：
  • 变更前备份关键配置（如 /etc/pam.d/、/etc/sudoers）与数据；
  • 使用 apt 的事务性特性（如 apt full-upgrade）并在变更窗口内执行；
  • 如出现异常，优先回滚最近更新或切换到旧内核（如 GRUB 菜单选择先前内核），再定位问题。