Debian安全合规性配置（从零开始打造符合安全基线的Debian系统）

一、更新系统并安装必要工具

首先，确保你的Debian系统是最新的，这能修复已知漏洞：

sudo apt updatesudo apt upgrade -ysudo apt install -y unattended-upgrades apt-listchanges

启用自动安全更新，有助于及时修补漏洞：

sudo dpkg-reconfigure -plow unattended-upgrades

二、配置防火墙（UFW）

UFW（Uncomplicated Firewall）是Debian中简单易用的防火墙工具。安装并启用它：

sudo apt install ufw -ysudo ufw default deny incomingsudo ufw default allow outgoingsudo ufw allow sshsudo ufw enable

上述配置默认拒绝所有入站连接，仅允许SSH（端口22）。你可以根据实际服务需求开放其他端口。

三、禁用不必要的服务和用户账户

减少攻击面的关键是关闭不用的服务。使用以下命令查看正在运行的服务：

systemctl list-units --type=service --state=running

对于不需要的服务（如cups、avahi-daemon等），可执行：

sudo systemctl stop cupssudo systemctl disable cups

同时，删除或锁定无用的系统账户（如games、lp等）：

sudo userdel games# 或者锁定账户sudo passwd -l lp

四、强化SSH安全

SSH是远程管理的核心入口，必须加强防护。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

建议修改以下参数（取消注释并调整）：

Port 2222                 # 更改默认端口（可选但推荐）PermitRootLogin no        # 禁止root直接登录PasswordAuthentication no # 强制使用密钥认证PubkeyAuthentication yesAllowUsers your_username  # 仅允许特定用户登录

保存后重启SSH服务：

sudo systemctl restart ssh

五、配置日志审计与监控

安装auditd以记录关键系统事件：

sudo apt install auditd audispd-plugins -y

基础规则可监控敏感文件访问（如/etc/passwd）：

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

六、定期检查安全合规状态

使用Lynis工具进行自动化安全审计：

sudo apt install lynis -ysudo lynis audit system

Lynis会生成详细报告，并给出加固建议，帮助你持续改进Debian安全配置。

总结

通过以上步骤，你可以显著提升Debian系统的安全性，使其符合基本的系统合规性要求。记住，安全不是一次性任务，而是一个持续的过程。定期更新、审计和加固是保障系统长期安全的关键。希望本教程能帮助你掌握Debian加固的核心方法，并建立起良好的安全基线意识。

提示：在生产环境中操作前，请务必在测试环境验证配置，避免服务中断。