Ubuntu 不使用 YUM 的纠正与总体建议
Ubuntu 基于 DEB 与 APT 体系,默认不使用 YUM。若希望进行“安全设置”,应围绕 APT 的仓库与更新机制开展;若你实际使用的是 RHEL/CentOS/Fedora 等 RPM 系发行版,则可参考下文的 YUM 安全要点。
Ubuntu 上的 APT 安全设置建议
- 仅使用受信任仓库并强制签名校验:保持 /etc/apt/sources.list 与 /etc/apt/sources.list.d/*.list 中的官方或可信镜像,确保包含 [signed-by=…] 或统一在 /etc/apt/trusted.gpg.d/ 中导入对应 GPG 公钥;将 APT::Get::AllowUnauthenticated 设为 false,避免未经验证的软件包安装。
- 最小化与及时更新:定期执行 sudo apt update && sudo apt full-upgrade,对关键与安全更新设置 无人值守升级(如 unattended-upgrades),并建立变更审计与回滚预案(如 apt-listbugs、快照/镜像)。
- 仓库与缓存安全:定期清理无用仓库与过期缓存(如 sudo apt clean && sudo apt autoclean),限制对 /var/lib/apt/ 与 /var/cache/apt/ 的访问权限,仅允许 root 读写,减少被篡改风险。
- 网络与访问控制:在对外服务最小化暴露的前提下,使用 UFW 或 nftables 仅开放必要端口;对内部镜像或私有仓库启用 TLS 与基于 IP/账号 的访问控制,避免明文传输与滥用。
如果你实际使用的是 YUM 的 RPM 系发行版的安全要点
- 强制软件包签名与密钥管理:在所有仓库配置中启用 gpgcheck=1,并通过 gpgkey= 指定可信密钥 URL;导入并定期核验发行方 GPG 公钥,拒绝未签名或签名不匹配的软件包。
- 仅安装安全更新与定期清理:使用 yum --security check-update 识别安全修复,执行 yum update --security 进行针对性更新;例行执行 yum clean all 清理缓存,降低被投毒或篡改包利用的风险。
- 权限与进程隔离:确保 /etc/yum/、/var/lib/yum/ 等目录与文件由 root 拥有且仅 root 可写;通过 sudo 严格控制包管理操作,避免以 root 直接运行不受控脚本。
- 仓库与访问控制:优先使用 HTTPS 源;对自建或内部仓库配置 访问控制(IP/账号/令牌) 与必要的 防火墙 规则,仅允许受控主机与用户访问;必要时为仓库启用 TLS 与访问审计。
- 运行环境与加固:启用 SELinux/AppArmor 并保障 YUM 相关进程与目录的上下文/策略正确;仅启用必要的系统服务,减少攻击面;对关键变更保留 yum history 记录以便审计与回滚。
