ubuntu安全防护怎么做

Ubuntu安全防护实操清单

一 基线与更新

• 保持系统与软件为最新，优先修复安全漏洞：执行sudo apt update & & sudo apt upgrade，涉及依赖变更时用sudo apt full-upgrade；完成后清理无用包sudo apt autoremove。
• 启用自动安全更新：安装并配置unattended-upgrades，仅自动安装安全更新，减少暴露窗口。
  1. 安装：sudo apt install unattended-upgrades
  2. 配置安全源：编辑**/etc/apt/apt.conf.d/50unattended-upgrades**，确保包含
     Unattended-Upgrade::Allowed-Origins { “${ distro_id} :${ distro_codename} -security”; } ;
  3. 启用与测试：sudo dpkg-reconfigure --priority=low unattended-upgrades；sudo unattended-upgrade --dry-run
  4. 日志与回滚：查看**/var/log/unattended-upgrades/**，必要时在配置中设置自动重启策略与旧内核清理。

二 边界与网络防护

• 使用UFW建立最小化暴露面：
  1. 启用与默认策略：sudo ufw enable；sudo ufw default deny incoming；sudo ufw default allow outgoing
  2. 按需放通：sudo ufw allow 22/tcp（SSH），sudo ufw allow 80/tcp, 443/tcp（HTTP/HTTPS）
  3. 源地址限制：sudo ufw allow from 192.168.1.0/24 to any port 22
  4. 状态与日志：sudo ufw status numbered；日志位于**/var/log/ufw.log**
• 进阶场景可用iptables实现更细粒度控制（如按源/目的/协议/端口的精细化规则）。

三 身份鉴别与远程访问

• 强化SSH：
  1. 禁用口令、仅用密钥：编辑**/etc/ssh/sshd_config**，设置PasswordAuthentication no、PermitRootLogin no
  2. 端口与访问控制：可更改默认端口（如由22改为非标准端口），并用AllowUsers/AllowGroups限制可登录账户；必要时结合UFW限制来源IP
  3. 重启生效：sudo systemctl restart sshd
• 账户与权限：清理无用账户，执行最小权限原则与强密码策略，避免共享与长期不变口令。

四 进程与文件系统加固

• 强制访问控制（MAC）：启用并维持AppArmor（或按需评估SELinux）的默认配置与已启用 profiles，限制程序越权访问。
• 可执行位最小化：定期审计并清理不必要的SUID/SGID文件，降低提权风险。
• 文件权限与ACL：对敏感目录（如**/etc、/var/www、~/.ssh**）设置严格的属主/权限，必要时使用ACL实现细粒度授权。
• 审计与入侵防护：部署auditd记录关键系统调用；使用fail2ban对暴力破解进行自动封禁。

五 监测 备份与恶意软件防护

• 日志与告警：集中关注**/var/log/auth.log、/var/log/syslog**，使用Logwatch等工具做日常汇总与异常巡检；关键系统建议引入集中化日志与审计平台。
• 漏洞扫描与资产盘点：定期用nmap做端口与服务识别，使用OpenVAS/Nessus进行漏洞评估与整改闭环。
• 备份与恢复：制定3-2-1备份策略（3份副本、2种介质、1份异地/离线），定期演练恢复流程；可用rsync等工具实现自动化备份。
• 恶意软件防护：在需要场景部署ClamAV进行文件与邮件网关扫描；同时牢记“最大的威胁往往来自执行不受信任的代码”，务必仅从可信源获取软件与脚本，谨慎运行未知脚本与PPA。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！