Ubuntu如何配置防火墙和安全策略
导读:Ubuntu 防火墙与安全策略配置指南 一 基础防火墙 UFW 快速上手 安装与启用 安装:sudo apt update && sudo apt install ufw -y 默认策略:sudo ufw default...
Ubuntu 防火墙与安全策略配置指南
一 基础防火墙 UFW 快速上手
- 安装与启用
- 安装:sudo apt update & & sudo apt install ufw -y
- 默认策略:sudo ufw default deny incoming,sudo ufw default allow outgoing
- 启用:sudo ufw enable(远程操作务必先放行 SSH,见下条)
- 放行常用服务与端口
- SSH:sudo ufw allow ssh(若自定义端口如 2222/tcp:sudo ufw allow 2222/tcp)
- HTTP/HTTPS:sudo ufw allow http,sudo ufw allow https
- 自定义端口/范围:sudo ufw allow 8080/tcp,sudo ufw allow 8000:8100/tcp
- 源地址限制
- 允许某 IP 全部访问:sudo ufw allow from 203.0.113.10
- 仅允许某 IP 访问 SSH:sudo ufw allow from 203.0.113.10 to any port 22 proto tcp
- 允许内网网段:sudo ufw allow from 192.168.1.0/24
- 规则管理与查看
- 状态与编号:sudo ufw status verbose,sudo ufw status numbered
- 删除规则:sudo ufw delete allow 22/tcp 或按编号:sudo ufw delete 3
- 日志:sudo ufw logging on
- 提示
- UFW 在大多数 Ubuntu 版本中默认可用或预装;启用前先放行 SSH,避免被锁。
二 进阶网络防护与加固
- 使用 iptables 进行细粒度控制(适合高级场景)
- 示例:仅放行 SSH/HTTP/HTTPS 与回环
- sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
- sudo iptables -A INPUT -i lo -j ACCEPT
- sudo iptables -A INPUT -j DROP
- 规则持久化(Debian/Ubuntu 常用):sudo netfilter-persistent save(安装:sudo apt install iptables-persistent)
- 示例:仅放行 SSH/HTTP/HTTPS 与回环
- 防止暴力破解
- 安装并启用 Fail2ban:sudo apt install fail2ban -y
- 配置:复制 /etc/fail2ban/jail.conf 为 /etc/fail2ban/jail.local,启用 [sshd],设置例如 maxretry=5、bantime=3600、findtime=600,重启:sudo systemctl restart fail2ban
- 内核与网络参数加固
- 编辑 /etc/sysctl.conf:启用 net.ipv4.conf.all.rp_filter=1、关闭源路由 net.ipv4.conf.all.accept_source_route=0,应用:sudo sysctl -p
- 可选 MAC 框架 AppArmor
- 状态与启用:sudo apparmor_status,sudo systemctl enable --now apparmor
- 按需将关键服务设为强制模式:sudo aa-enforce /etc/apparmor.d/usr.sbin.sshd。
三 远程访问与 SSH 安全
- 基本加固
- 禁止 root 登录、仅允许密钥登录(编辑 /etc/ssh/sshd_config)
- PermitRootLogin no
- PasswordAuthentication no
- 可选:仅允许特定用户 AllowUsers youruser
- 重启 SSH:sudo systemctl restart sshd
- 禁止 root 登录、仅允许密钥登录(编辑 /etc/ssh/sshd_config)
- 端口与访问控制
- 更改默认端口(如 2222)并在 UFW 放行:sudo ufw allow 2222/tcp
- 限制来源网段:sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp
- 连接速率限制
- UFW 内置限速:sudo ufw limit ssh(默认每分钟约 6 次新连接,超限将被拒绝一段时间)。
四 系统级安全最佳实践
- 保持系统更新
- 即时更新:sudo apt update & & sudo apt upgrade -y
- 自动安全更新:sudo apt install unattended-upgrades -y,启用后定期自动安装安全补丁
- 最小权限与账户安全
- 创建管理员用户并加入 sudo:sudo adduser admin & & sudo usermod -aG sudo admin
- 禁用不必要的服务与端口,减少攻击面
- 日志与监控
- 实时查看认证日志:sudo tail -f /var/log/auth.log
- 检查系统日志:sudo tail -f /var/log/syslog
- 备份与演练
- 定期备份关键数据(如 rsync 到远端),并定期演练恢复流程。
五 一键最小可用示例
- 场景:公网 Web 服务器,仅开放 SSH/HTTP/HTTPS,限制 SSH 仅内网访问
- 步骤
- 更新与安装:sudo apt update & & sudo apt install ufw -y
- 默认策略:sudo ufw default deny incoming & & sudo ufw default allow outgoing
- 放行服务:sudo ufw allow ssh,sudo ufw allow http,sudo ufw allow https
- 限制 SSH 源地址:sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp
- 启用防火墙:sudo ufw enable
- 验证:sudo ufw status verbose
- 如需进一步防护,按需部署 Fail2ban 与 AppArmor。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu如何配置防火墙和安全策略
本文地址: https://pptw.com/jishu/786274.html