系统更新与补丁管理
保持系统及软件包最新是安全基础,通过sudo apt update && sudo apt upgrade安装所有可用安全更新;启用自动安全更新(sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades),确保及时修补已知漏洞。
用户权限与认证管理
遵循最小权限原则,日常操作使用普通用户,通过sudo提权;创建普通用户并加入sudo组(sudo adduser newuser && sudo usermod -aG sudo newuser);使用PAM模块强化密码策略(如sudo apt install libpam-pwquality && sudo nano /etc/pam.d/common-password),设置密码复杂度(最小长度、字母/数字/特殊字符组合)。
SSH服务安全加固
禁用root远程登录(编辑/etc/ssh/sshd_config,设置PermitRootLogin no);启用SSH密钥对认证(生成密钥对并将公钥添加至~/.ssh/authorized_keys),禁用密码登录(PasswordAuthentication no);修改默认SSH端口(如Port 2222),降低暴力破解风险;限制特定用户登录(AllowUsers username)。
防火墙配置
使用ufw(Uncomplicated Firewall)限制流量,仅开放必要端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口):sudo ufw allow 22/tcp && sudo ufw allow 80/tcp && sudo ufw allow 443/tcp && sudo ufw enable;复杂场景可使用iptables定制规则。
服务与端口管理
禁用不必要的网络服务(如Telnet、FTP),通过systemctl list-units --type=service --state=running查看运行中的服务,停止并禁用无需的服务(sudo systemctl stop servicename && sudo systemctl disable servicename);检查并关闭非必要端口(netstat -tulnp或ss -tulnp)。
监控与日志管理
使用Logwatch自动汇总系统日志(sudo apt install logwatch && sudo systemctl enable logwatch);安装Fail2ban防止暴力破解(sudo apt install fail2ban),监控/var/log/auth.log等日志文件,及时发现异常登录或操作。
数据与系统保护
定期备份重要数据(如配置文件、用户数据),使用Timeshift等工具实现增量备份;敏感数据分区加密(如cryptsetup),防止数据泄露;测试备份恢复流程,确保备份有效性。
内核与启动安全
启用安全启动(Secure Boot,若硬件支持),防止恶意固件加载;针对Spectre、Meltdown等漏洞,及时应用内核更新和处理器微代码更新。
高级安全措施
启用SELinux或AppArmor增强强制访问控制(如sudo apt install apparmor并配置配置文件);禁用DVD/ISO软件源,避免非授权更新;定期进行安全审计(如使用lynis工具),检查系统配置漏洞。
