溫馨提示×

ubuntu minimal安全防護如何做

小樊
47
2025-10-10 00:07:41
欄目: 智能運維

Ubuntu Minimal安全防護指南

1. 最小化安裝與系統更新

  • 最小化安裝:使用Ubuntu Minimal Installer時,僅選擇必需的系統組件(如SSH、網絡工具),避免安裝不必要的軟件包,減少攻擊面。
  • 定期更新系統:通過sudo apt update && sudo apt upgrade命令安裝最新安全補??;啟用unattended-upgrades包(編輯/etc/apt/apt.conf.d/50unattended-upgrades),自動安裝安全更新,確保系統始終處于最新狀態。

2. 賬戶與權限管理

  • 禁用root登錄:編輯/etc/ssh/sshd_config文件,將PermitRootLogin設置為no,禁止root用戶通過SSH直接登錄,降低賬戶被爆破的風險。
  • 強化密碼策略:修改/etc/login.defs文件,設置密碼最長使用天數(如PASS_MAX_DAYS 90)、最短使用天數(如PASS_MIN_DAYS 1)、到期警告天數(如PASS_WARN_AGE 7);使用chage命令為現有用戶設置密碼過期時間(如chage -M 90 username)。
  • 使用非root用戶:創建普通用戶(如sudo adduser admin),將其加入sudo組(sudo usermod -aG sudo admin),日常操作使用普通用戶,必要時通過sudo提升權限,避免長期使用root賬戶。

3. 防火墻配置(UFW)

  • 安裝與啟用UFW:通過sudo apt install ufw安裝UFW(Uncomplicated Firewall),使用sudo ufw enable啟用防火墻(默認拒絕所有傳入流量,允許所有傳出流量)。
  • 設置默認策略:運行sudo ufw default deny incoming(拒絕所有傳入流量)和sudo ufw default allow outgoing(允許所有傳出流量),確保未明確允許的流量無法進入系統。
  • 允許必要服務:僅開放必需的端口(如SSH用sudo ufw allow 22/tcp,HTTP用sudo ufw allow 80/tcp,HTTPS用sudo ufw allow 443/tcp);若更改SSH端口(如2222),需同步更新防火墻規則(sudo ufw allow 2222/tcp)。
  • 限制訪問源:通過sudo ufw allow from 192.168.1.0/24(允許指定網段)或sudo ufw allow from 192.168.1.100(允許特定IP)限制訪問,減少非法IP的嘗試。

4. SSH安全加固

  • 更改默認端口:編輯/etc/ssh/sshd_config文件,取消#Port 22注釋并修改為非標準端口(如Port 2222),降低自動化掃描攻擊的概率;修改后重啟SSH服務(sudo systemctl restart ssh)。
  • 禁用密碼認證:在/etc/ssh/sshd_config中設置PasswordAuthentication no,強制使用公鑰認證,避免密碼被猜測或暴力破解。
  • 配置公鑰認證:在本地機器生成密鑰對(ssh-keygen -t rsa -b 4096),將公鑰復制到服務器(ssh-copy-id -i ~/.ssh/id_rsa.pub user@server_ip -p 2222);確保~/.ssh目錄權限為700(chmod 700 ~/.ssh),authorized_keys文件權限為600(chmod 600 ~/.ssh/authorized_keys)。
  • 限制登錄用戶:在/etc/ssh/sshd_config中添加AllowUsers your_username(替換為實際用戶名),僅允許指定用戶通過SSH登錄,進一步縮小攻擊范圍。

5. 安全審計與監控

  • 監控系統日志:定期檢查/var/log/auth.log(認證日志)和/var/log/syslog(系統日志),識別異常登錄嘗試(如多次失敗的密碼認證)或未授權操作;可使用Logwatch工具自動生成日志報告(sudo apt install logwatch)。
  • 使用入侵檢測工具:安裝Fail2Bansudo apt install fail2ban),監控SSH日志并自動封禁惡意IP地址(如連續3次失敗登錄的IP,封禁600秒);配置文件為/etc/fail2ban/jail.local,啟用[ssh]部分并調整參數。
  • 啟用審計守護進程:安裝auditdsudo apt install auditd),記錄系統調用和文件訪問行為(如sudo auditctl -w /etc/passwd -p wa -k passwd_changes),便于事后追溯異常操作。

6. 數據加密保護

  • 全磁盤加密:在安裝Ubuntu Minimal時,選擇“加密新磁盤”選項,使用LUKS(Linux Unified Key Setup)對系統分區進行加密,防止物理介質丟失導致數據泄露。
  • 敏感數據加密:使用LUKS加密重要分區(如/home)或使用VeraCrypt加密單個文件/目錄,確保敏感信息(如數據庫文件、配置文件)不被未授權訪問。

0
亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女