Ubuntu安全加固可從系統更新��、防火墻�����、SSH�、用戶權限�、入侵防護等方面入手���,具體措施如下:
- 系統更新與補丁管理
定期更新系統并啟用自動安全更新�,安裝unattended-upgrades包�,配置/etc/apt/apt.conf.d/50unattended-upgrades文件�,確保安全補丁自動安裝�。
- 防火墻配置(UFW)
- 啟用防火墻并設置默認策略:
sudo ufw enable�����,sudo ufw default deny incoming�。
- 開放必要端口(如SSH�、HTTP)�,限制IP訪問:
sudo ufw allow 22/tcp����,sudo ufw allow from 192.168.1.0/24 to any port 22����。
- 限制連接速率防暴力破解:
sudo ufw limit 22/tcp�����。
- SSH安全加固
- 修改默認端口(如2222)��,禁用Root登錄和密碼認證�,強制使用密鑰登錄:編輯
/etc/ssh/sshd_config����,設置Port 2222���、PermitRootLogin no�����、PasswordAuthentication no��。
- 生成SSH密鑰對并上傳公鑰到服務器
~/.ssh/authorized_keys�����。
- 用戶權限管理
- 創建普通用戶并賦予sudo權限�����,限制sudo可執行的命令:編輯
/etc/sudoers或使用visudo����。
- 禁用空密碼賬戶�,設置密碼復雜度(至少包含大小寫字母���、數字����、特殊字符)�����。
- 入侵防護與監控
- 安裝Fail2Ban防止暴力破解:
sudo apt install fail2ban�����,配置/etc/fail2ban/jail.local���。
- 使用AIDE定期檢查文件完整性:
sudo aideinit����,sudo aide.wrapper --check����。
- 服務最小化與暴露面縮減
禁用不必要的服務(如apache2�、telnet):sudo systemctl disable 服務名��。
通過SSH隧道訪問內部服務�,避免直接暴露端口���。
- 加密與審計
- 敏感數據加密:使用LUKS加密磁盤或在安裝時選擇加密選項���。
- 啟用系統審計:安裝
auditd����,添加審計規則監控關鍵文件和操作���。
參考來源:[1,2,3,4,5,6,7,8,9,10,11]
