ubuntu怎样进行安全设置

Ubuntu 安全设置实操清单

一 基础加固

• 保持系统与软件为最新：执行sudo apt update && sudo apt upgrade -y，并按需执行sudo apt dist-upgrade -y，及时修补漏洞。
• 启用自动安全更新：安装并启用unattended-upgrades，仅自动安装安全更新，减少暴露窗口。
• 最小安装与清理：仅安装必要软件，定期apt autoremove移除无用包，降低攻击面。
• 用户与会话安全：遵循最小权限原则，日常使用普通用户并通过sudo提权；锁定或删除不再使用的账户；按需配置会话超时与历史记录控制。

二 网络与 SSH 安全

• 使用UFW建立默认拒绝的边界：设置sudo ufw default deny incoming、sudo ufw default allow outgoing，仅放行所需服务（如sudo ufw allow ssh，Web 环境加sudo ufw allow http与sudo ufw allow https），必要时对 SSH 启用sudo ufw limit ssh进行速率限制。
• 加固 SSH：禁用 root 远程登录（PermitRootLogin no），优先使用SSH 密钥认证并禁用密码（PasswordAuthentication no），重启 SSH 生效（sudo systemctl restart ssh或sudo systemctl restart sshd）；可结合AllowUsers/AllowGroups限制可登录账户。
• 精细化访问控制：对管理网段放行（如sudo ufw allow from 192.168.1.0/24 to any port 22），或更改默认端口并在防火墙放行新端口，配合密钥登录降低暴力破解风险。

三 身份与权限控制

• 账户生命周期管理：用chage设置密码策略与过期（如sudo chage -M 90 -m 7 -W 14 username），审核**/etc/passwd、/etc/group、/etc/sudoers**，离职立即锁定/删除账户并回收权限。
• 密码与复杂度：在**/etc/login.defs与/etc/security/pwquality.conf**（或 pam_pwquality）中配置最小长度、字符类别、重试次数等，杜绝弱口令。
• 文件与目录权限：坚持最小权限，常用如chmod 700 ~（仅所有者访问家目录）、chmod 755 /path（目录可执行以进入）、chmod 600 file（敏感文件仅所有者读写）；谨慎使用SUID/SGID与777。
• 特权分离：仅将可信用户加入sudo组，使用visudo安全编辑**/etc/sudoers**，避免直接以 root 日常操作。

四 应用与内核防护

• 强制访问控制：启用并管理AppArmor，可将配置文件置于enforce（强制）或complain（仅告警）模式，日志位于**/var/log/syslog**，可用journalctl -xe | grep apparmor查看；按需为关键服务（如sshd）加载或启用相应 profile。
• 主机入侵防护：部署Fail2ban缓解 SSH 等服务的暴力破解，配合 UFW 形成多层防护。
• 恶意软件扫描：安装ClamAV并定期更新病毒库与扫描，作为辅助防线（并不能替代及时更新与最小权限）。

五 日志监控与备份恢复

• 集中审计与告警：持续查看**/var/log/auth.log**（SSH 登录审计）、/var/log/syslog（系统日志），结合journalctl检索AppArmor等安全事件；必要时使用Logwatch生成日报。
• 漏洞扫描与巡检：定期用nmap进行端口与服务识别，使用OpenVAS等工具做漏洞扫描，发现风险及时修补。
• 备份与演练：制定3-2-1备份策略（3 份副本、2 种介质、1 份异地/离线），定期演练恢复流程，确保业务连续性。