1. 保持系統與軟件包最新
定期執行sudo apt update && sudo apt full-upgrade命令����,及時修補系統及軟件包中的安全漏洞�。建議開啟自動安全更新(安裝unattended-upgrades包并配置/etc/apt/apt.conf.d/50unattended-upgrades文件)���,確保系統第一時間接收安全補丁����。
2. 使用官方與可信軟件源
始終從Debian官方軟件倉庫提取軟件包�����,避免使用第三方或未知來源的源���。提取前通過sudo apt update更新軟件源列表���,確保獲取最新��、最安全的軟件包版本��。
3. 強化用戶與權限管理
禁用root用戶遠程登錄(編輯/etc/ssh/sshd_config文件��,設置PermitRootLogin no)���,創建普通用戶并通過usermod -aG sudo 用戶名將其加入sudo組�����,使用sudo執行特權命令����。通過adduser和usermod精確分配用戶權限�����,遵循“最小權限原則”�����。
4. 配置防火墻限制網絡訪問
使用ufw(Uncomplicated Firewall)配置防火墻�,執行sudo ufw enable開啟防火墻�����,僅允許必要端口(如SSH的22端口�、HTTP的80端口����、HTTPS的443端口)連接(sudo ufw allow 22���、sudo ufw allow 80等)�,拒絕所有未授權的入站連接����。
5. 安全配置SSH服務
修改SSH默認端口(如將22改為2222���,編輯/etc/ssh/sshd_config中的Port參數)�����,禁用密碼登錄(設置PasswordAuthentication no)����,啟用SSH密鑰對認證(生成密鑰對ssh-keygen -t rsa -b 4096�����,將公鑰添加到~/.ssh/authorized_keys)����。這些措施可有效防止暴力破解�。
6. 驗證軟件包完整性
使用APT工具提取軟件包時�,系統會自動驗證軟件包的GPG簽名和MD5/SHA256散列值(確保/etc/apt/sources.list中的源配置正確)�。避免直接下載并安裝未知來源的.deb文件�����,降低惡意軟件感染風險��。
7. 監控與日志審計
利用logwatch�、auditd等工具實時監控系統狀態�����,定期審查系統日志(如/var/log/auth.log查看登錄記錄�����、/var/log/syslog查看系統事件)��。auditd可記錄關鍵操作(如文件修改�、用戶權限變更)����,幫助及時發現異常行為�。
8. 數據保護與備份
對敏感數據(如數據庫文件���、配置文件)使用eCryptfs或EncFS進行加密���,保護數據靜態安全�。設立自動備份計劃(如使用rsync或duplicity)����,定期備份重要數據到異地或云存儲��,確保數據丟失后可快速恢復����。
