1. 定期更新系统与软件
保持系统及软件包为最新版本是防范已知漏洞的基础。通过以下命令手动更新:sudo apt update && sudo apt upgrade -y;为避免遗漏安全更新,建议安装unattended-upgrades工具并启用自动安全更新:sudo apt install unattended-upgrades -y,随后运行sudo dpkg-reconfigure -plow unattended-upgrades进行配置。
2. 最小化安装与禁用不必要服务
遵循“最小权限原则”,仅安装系统运行必需的软件包(如使用sudo apt install --no-install-recommends命令避免安装推荐的非必要组件);通过systemctl list-units --type=service --state=running命令列出运行中的服务,禁用未使用的服务(如Telnet、FTP等明文传输服务)以减少攻击面。
3. 强化用户权限与密码策略
避免直接使用root用户操作,创建普通用户并通过sudo提权:sudo adduser 新用户名 → sudo usermod -aG sudo 新用户名;通过PAM模块设置密码复杂度(如要求包含大小写字母、数字和特殊字符,最小长度8位),编辑/etc/pam.d/common-password文件,添加或修改以下行:password requisite pam_cracklib.so retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1。
4. 配置SSH安全
修改SSH配置文件(/etc/ssh/sshd_config)以增强远程访问安全:① 更改默认端口(如Port 2222)以避免自动化扫描;② 禁用root远程登录(PermitRootLogin no);③ 禁用密码认证(PasswordAuthentication no),启用SSH密钥对认证(PubkeyAuthentication yes)。修改后重启SSH服务:sudo systemctl restart ssh。
5. 配置防火墙限制流量
使用ufw(Uncomplicated Firewall)工具简化防火墙配置:sudo apt install ufw -y → sudo ufw enable启用防火墙;仅允许必要端口(如SSH的22端口、HTTP的80端口、HTTPS的443端口):sudo ufw allow 2222/tcp(若修改了SSH端口)、sudo ufw allow 80/tcp、sudo ufw allow 443/tcp;最后加载规则:sudo ufw reload。高级用户可选择iptables或nftables进行更细粒度的流量控制。
6. 监控与审计系统活动
使用Logwatch工具自动生成系统日志报告(如每日登录记录、服务状态),安装并启用:sudo apt install logwatch -y → sudo systemctl enable logwatch → sudo systemctl start logwatch;通过Fail2ban防范暴力破解攻击(如SSH密码猜测),安装后编辑/etc/fail2ban/jail.local文件,启用SSH防护:[sshd] enabled = true,重启服务:sudo systemctl enable fail2ban → sudo systemctl start fail2ban;使用auditd工具记录系统调用(如文件访问、进程执行),安装并启动:sudo apt install auditd audispd-plugins -y → sudo systemctl enable auditd → sudo systemctl start auditd。
7. 加强身份认证与访问控制
除SSH密钥对认证外,可启用libpam-pwquality工具进一步提升密码质量(替代libpam-cracklib,功能更强大):sudo apt install libpam-pwquality -y,编辑/etc/security/pwquality.conf文件,调整参数(如minlen = 12、dcredit = -1等);定期审计用户账户,删除闲置账户(如lastlog命令查看最后登录时间,删除长期未使用的账户)。
8. 定期备份与漏洞扫描
使用Timeshift工具定期备份系统(支持增量备份,恢复便捷),安装:sudo apt install timeshift -y,通过图形界面或命令行配置备份策略(如每天备份到外部磁盘);定期使用漏洞扫描工具检查系统(如OpenVAS:sudo apt install openvas -y,运行sudo openvas-setup初始化,sudo systemctl start gsa启动扫描),及时修复发现的漏洞。
