Debian系统安全配置有哪些要点

1. 系统更新与补丁管理
保持系统及软件包最新是安全基础。定期执行sudo apt update & & sudo apt upgrade -y更新所有软件包；启用自动安全更新（如安装unattended-upgrades并配置），及时修复已知漏洞，降低被攻击风险。

2. 用户与权限管理

• 账户控制：禁用默认的root远程登录（通过SSH配置），创建专用运维账户并加入sudo组（usermod -aG sudo username），限制root直接操作；定期审查用户账户，删除不再使用的账户。
• 密码策略：通过/etc/login.defs设置密码有效期（如PASS_MAX_DAYS=90、PASS_WARN_AGE=7）、最小长度（如PASS_MIN_LEN=12）；使用libpam-cracklib模块增强密码复杂度（要求包含大小写字母、数字、特殊字符）。
• 权限精细化：使用chmod（数字模式如750限制目录访问）、chown（修改文件所有者/组）、setfacl（ACL实现细粒度权限，如setfacl -m u:username:rwx /path/to/file）管理文件/目录权限；启用umask 027（默认权限750）限制新建文件权限。

3. SSH服务加固
SSH是远程管理的关键入口，需重点防护：

• 修改默认端口（如Port 2222），避免自动化工具扫描；
• 禁用root远程登录（PermitRootLogin no）、空密码登录（PermitEmptyPasswords no），限制登录用户（AllowUsers your_username）；
• 启用密钥认证（PasswordAuthentication no、PubkeyAuthentication yes），生成密钥对（ssh-keygen -t rsa -b 4096）并分发至服务器，替代密码登录。

4. 防火墙配置
使用ufw（简单易用）或firewalld（功能丰富）限制网络访问：

• ufw：默认拒绝入站（ufw default deny incoming），允许必要服务（如ufw allow 22/tcp允许SSH、ufw allow 80/tcp允许HTTP），启用防火墙（ufw enable）；
• firewalld：设置默认区域为public，开放服务（firewall-cmd --add-service=ssh --permanent），添加富规则（如firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100/32" service name="ssh" accept'）限制特定IP访问，保存规则（firewall-cmd --reload）。

5. 服务最小化
禁用非必要服务以减少攻击面：

• 使用systemctl管理服务（如systemctl stop cups停止打印服务、systemctl disable cups禁用开机自启）；
• 检查/etc/inetd.conf或/etc/xinetd.d/，禁用不必要的网络服务（如telnet、ftp），避免未授权访问。

6. 文件系统安全

• 挂载选项：在/etc/fstab中为非系统分区（如/home、/tmp）添加nosuid（禁止setuid执行）、noexec（禁止执行）、nodev（禁止设备文件）选项，限制分区权限。
• 关键文件权限：设置/etc/shadow（密码文件）权限为600、/etc/passwd为644，防止未授权读取；使用chattr +i（不可修改）保护关键配置文件（如/etc/passwd、/etc/shadow）。

7. 日志与监控

• 日志记录：确保/var/log/auth.log（认证日志）、/var/log/syslog（系统日志）等关键日志可写，使用auditd（apt install auditd）监控关键文件（如auditctl -w /etc/passwd -p wa -k passwd_changes），记录用户操作。
• 日志轮转：配置/etc/logrotate.conf，设置日志文件大小限制（如maxsize 100M）和保留天数（如rotate 7），防止日志过大占用磁盘空间。
• 入侵检测：使用fail2ban（apt install fail2ban）监控日志，自动封禁多次登录失败的IP；使用AIDE（apt install aide）进行文件完整性检查，检测未经授权的文件修改。

8. 内核与系统强化

• 内核参数：编辑/etc/sysctl.conf，启用反向路径过滤（net.ipv4.conf.all.rp_filter=1）、忽略ICMP广播（net.ipv4.icmp_echo_ignore_broadcasts=1）、启用SYN cookies（net.ipv4.tcp_syncookies=1），增强网络安全性；执行sysctl -p使配置生效。
• SELinux/AppArmor：Debian默认启用AppArmor（强制访问控制），可通过aa-enforce /etc/apparmor.d/usr.sbin.sshd强化SSH保护；如需更严格的控制，可安装selinux-basics并启用SELinux（setenforce 1）。

9. 安全工具部署

• 漏洞扫描：使用OpenVAS（apt install openvas）定期扫描系统漏洞，识别并修复安全风险；
• 反病毒：安装ClamAV（apt install clamav clamtk）扫描恶意软件，保护系统免受病毒攻击；
• Rootkit检测：使用rkhunter（apt install rkhunter）定期检查系统是否存在rootkit（rkhunter --check）。

10. 备份与恢复
定期备份重要数据（如/etc、/home、数据库），使用rsync（rsync -avz /etc /backup/etc）或tar（tar -czvf /backup/etc_$(date +%F).tar.gz /etc）进行本地备份；配置远程备份（如rsync -avz /backup/ backupuser@backupserver:/backups/），防止数据丢失。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！