Debian From Scratch安全设置

Debian From Scratch 安全设置清单

一 基础加固

• 更新与补丁
  • 构建完成后立即执行：apt update & & apt full-upgrade -y，并配置自动安全更新：apt install unattended-upgrades & & dpkg-reconfigure -plow unattended-upgrades，确保及时获取安全修复。
• 最小化安装与攻击面
  • 仅保留必需软件包，移除编译器与构建链（如 build-essential）除非后续仍需编译；停止并禁用不需要的服务（如 cups、bluetooth 等），减少暴露面。
• 用户与权限
  • 创建普通管理员用户并加入 sudo：adduser admin & & usermod -aG sudo admin；如需进一步收敛，可锁定 root 控制台登录：passwd -l root（保留 root 应急恢复能力，如从控制台）。
• 密码与 PAM 策略
  • 安装 libpam-pwquality 并设置复杂度：minlen=12、minclass=3；在 /etc/pam.d/common-password 启用 pam_pwquality 检查，提升口令强度。

二 远程访问与网络防护

• SSH 加固
  • 禁止 root 远程登录：PermitRootLogin no；优先使用密钥登录：PubkeyAuthentication yes，PasswordAuthentication no；可更改默认端口（Port 2222）并限制来源：AllowUsers admin@192.0.2.0/24；修改后重启 SSH：systemctl restart ssh。
• 防火墙
  • UFW 快速策略：ufw default deny incoming；ufw allow 2222/tcp（或实际 SSH 端口）；ufw allow 80,443/tcp；ufw enable；ufw status。
  • 如需更灵活规则，使用 iptables：放行回环、已建立连接与必要端口（22/80/443），并保存规则至 /etc/iptables.rules，在 if-pre-up.d 中自动恢复，确保重启后策略不丢失。
• 云环境安全组
  • 在云控制台同步放行与系统防火墙一致的端口与来源网段，避免仅依赖一端造成误配置风险。

三 服务最小化与系统完整性

• 服务最小化
  • 列出运行服务：systemctl list-units --type=service --state=running；对不需要的网络或打印服务执行 systemctl disable --now ；仅启用业务必需的服务与套接字。
• 强制访问控制
  • 启用 AppArmor：apt install apparmor apparmor-utils；为关键服务（如 sshd、nginx）加载并设为 enforce 模式，限制进程可访问的资源与路径，降低提权与横向移动风险。
• 完整性校验
  • 部署 AIDE 进行文件完整性监控：apt install aide；初始化数据库：aideinit；将 /var/lib/aide/aide.db.new 移动为 /var/lib/aide/aide.db；定期执行 aide --check 并关注异常变更。

四 日志审计与入侵防护

• 日志与审计
  • 确保 rsyslog 正常运行并集中记录关键日志（auth、secure、syslog）；配置 logrotate 设置保留周期与压缩，避免日志被占满或篡改。
• 入侵防护
  • 部署 Fail2ban 保护 SSH：apt install fail2ban；基于 /var/log/auth.log 自动封禁暴力破解来源，降低被穷举风险。

五 部署与维护清单

• 变更顺序与回滚预案
  • 调整 SSH 前先确保新端口已放行且本地/带外可登录；使用 screen/tmux 防止会话中断导致锁死；变更后逐项验证：ss -tnlp、ufw status、systemctl status ssh。
• 备份与恢复
  • 定期备份关键配置与数据（/etc、/home、/var/lib 等）及防火墙/iptables 规则；在关键变更前后执行快照或备份，确保可快速回滚。
• 持续维护
  • 保持安全更新自动安装；定期审计账户、SSH 密钥与 sudo 授权；对公网暴露服务进行周期性漏洞扫描与配置复查。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！