Ubuntu環境下安全設置的關鍵步驟
1. 系統更新與補丁管理
保持系統最新是防范已知漏洞的基礎�����。定期運行以下命令更新系統:
sudo apt update && sudo apt upgrade -y
啟用自動更新(僅安裝安全補?����。?���,避免遺漏重要修復:
sudo apt install unattended-upgrades
編輯配置文件 /etc/apt/apt.conf.d/50unattended-upgrades����,確保包含以下內容:
Unattended-Upgrade::Allowed-Origins { "$distro_id:$distro_codename-security"; };
自動更新可每日凌晨執行��,減少手動操作風險�����。
2. SSH安全加固
SSH是遠程管理的主要通道�,需重點防護:
- 禁用root直接登錄:編輯
/etc/ssh/sshd_config�,設置 PermitRootLogin no�,避免root賬戶暴露在暴力破解風險中����。
- 使用密鑰認證替代密碼:生成密鑰對(
ssh-keygen -t rsa -b 4096)�,將公鑰復制到服務器(ssh-copy-id username@server_ip)�,然后在配置文件中禁用密碼登錄:PasswordAuthentication no����。
- 更改默認端口:將SSH默認端口22改為非標準端口(如2222)�,減少自動化工具的掃描:
sudo ufw allow 2222/tcp(需同步修改配置文件中的Port參數)��。
修改后重啟SSH服務:sudo systemctl restart sshd�。
3. 防火墻配置(UFW)
UFW(Uncomplicated Firewall)是Ubuntu默認的防火墻工具���,需合理設置規則:
- 啟用UFW:
sudo ufw enable(啟用后默認拒絕所有傳入連接�����,允許所有傳出連接)���。
- 設置默認策略:
sudo ufw default deny incoming(拒絕未明確允許的傳入連接)�����、sudo ufw default allow outgoing(允許所有傳出連接)�。
- 允許必要服務:僅開放業務所需的端口�����,如HTTP(80/tcp)�、HTTPS(443/tcp)��、SSH(22/tcp或自定義端口):
sudo ufw allow 80/tcp����、sudo ufw allow 443/tcp�。
- 基于IP的限制:允許特定IP訪問敏感端口(如SSH)���,減少暴露范圍:
sudo ufw allow from 192.168.1.100 to any port 22�。
- 啟用日志記錄:
sudo ufw logging on(日志路徑為/var/log/ufw.log)���,便于后續審計異常連接���。
4. 用戶與權限管理
遵循“最小權限原則”����,避免過度授權:
- 創建普通用戶:避免直接使用root賬戶日常操作���,創建用戶并分配sudo權限:
sudo adduser username����、sudo usermod -aG sudo username�。
- 設置sudo超時:編輯sudoers文件(
sudo visudo)���,添加Defaults timestamp_timeout=5(5分鐘后需重新輸入密碼)����,減少sudo權限的濫用風險�����。
- 文件/目錄權限:設置合理的權限��,如目錄
755(所有者可讀寫執行���,其他用戶可讀執行)��、文件644(所有者可讀寫�,其他用戶可讀):sudo chmod 755 /path/to/directory�、sudo chmod 644 /path/to/file����。
- ACL細粒度控制:對需要更嚴格權限的文件/目錄����,使用訪問控制列表(ACL):
sudo setfacl -m u:username:rwx /path/to/file(允許特定用戶讀寫執行)�。
5. 暴力破解防護(Fail2ban)
Fail2ban可自動封禁多次嘗試登錄的IP地址��,降低暴力破解風險:
- 安裝Fail2ban:
sudo apt install fail2ban�����。
- 配置規則:復制默認配置文件并修改(
sudo cp /etc/fail2ban/jail.local /etc/fail2ban/jail.local.bak)�����,調整[sshd]部分的參數��,如maxretry=3(3次失敗后封禁)��、bantime=600(封禁10分鐘)�����。
- 啟動服務:
sudo systemctl start fail2ban����、sudo systemctl enable fail2ban����。
6. 防病毒與惡意軟件掃描
雖然Linux系統感染病毒的概率較低��,但仍需定期掃描:
- 安裝ClamAV:
sudo apt install clamav clamav-daemon�。
- 更新病毒庫:
sudo freshclam(確保能檢測最新威脅)�。
- 掃描系統:
sudo clamscan -r /(遞歸掃描根目錄�,-r表示遞歸)��。
7. 數據加密與備份
- 敏感數據加密:使用LUKS(Linux Unified Key Setup)加密硬盤或分區���,防止物理設備丟失導致數據泄露:
sudo apt install cryptsetup�,然后按照提示初始化加密分區并掛載�����。
- 定期備份:使用
rsync或專業備份工具(如Deja Dup)定期備份重要數據�����,存儲到異地(如云存儲):sudo rsync -av /path/to/source /path/to/destination��。
8. 日志審計與監控
日志是發現異常行為的關鍵���,需定期檢查:
- 啟用auditd:
sudo apt install auditd audispd-plugins���,啟動服務:sudo systemctl enable auditd���、sudo systemctl start auditd�����。
- 查看審計日志:
sudo ausearch -i(實時查看審計事件����,-i表示人性化輸出)����,重點關注/var/log/auth.log(認證日志)中的異常登錄記錄����。
