Ubuntu集群合规性配置（从零开始构建安全可靠的Linux集群环境）

准备工作

在开始之前，请确保：

• 你拥有一个由至少两台Ubuntu服务器（建议使用Ubuntu 22.04 LTS）组成的集群；
• 每台服务器都能通过SSH访问；
• 你有sudo权限。

步骤一：统一系统时间（NTP同步）

集群节点时间不一致会导致日志混乱、认证失败等问题。使用chrony实现高精度时间同步：

# 在所有节点执行sudo apt updatesudo apt install -y chrony# 编辑配置文件（可选：指定内部NTP服务器）sudo nano /etc/chrony/chrony.conf# 重启服务sudo systemctl restart chronydsudo systemctl enable chronyd  

步骤二：配置统一的用户与权限管理

避免在每台机器上单独创建用户。推荐使用LDAP或集中式SSH密钥管理。若为小型集群，可手动同步公钥：

# 在主控机生成密钥（如未生成）ssh-keygen -t ed25519# 将公钥复制到所有节点ssh-copy-id user@node1ssh-copy-id user@node2  

同时，禁用root远程登录以增强系统加固效果：

sudo sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_configsudo systemctl restart sshd  

步骤三：启用防火墙（UFW）

Ubuntu自带UFW（Uncomplicated Firewall），适合快速配置安全基线：

# 允许SSH（必须先放行，否则可能被锁）sudo ufw allow OpenSSH# 根据服务开放端口，例如Kubernetes API Serversudo ufw allow 6443/tcp# 启用防火墙sudo ufw --force enable  

步骤四：配置日志集中收集（可选但推荐）

使用rsyslog将所有节点日志发送到中央日志服务器，便于审计与故障排查：

# 在所有节点编辑 rsyslog 配置sudo nano /etc/rsyslog.d/50-remote.conf# 添加以下内容（假设日志服务器IP为192.168.1.100）*.* @192.168.1.100:514# 重启服务sudo systemctl restart rsyslog  

步骤五：定期安全更新与漏洞扫描

启用 unattended-upgrades 自动安装安全补丁：

sudo apt install -y unattended-upgradessudo dpkg-reconfigure -plow unattended-upgrades  # 选择“是”  

此外，可定期使用Lynis等工具进行本地安全审计：

sudo apt install -y lynissudo lynis audit system  

总结

通过以上步骤，你的Ubuntu集群已具备基本的合规性配置能力。记住，安全不是一次性任务，而是持续过程。建议结合CIS Ubuntu Benchmark文档进一步细化策略，并定期审查配置变更。

无论你是运维工程师还是系统管理员，掌握这些基础技能都将帮助你在构建高可用、高安全性的集群环境中游刃有余。坚持系统加固和安全基线实践，让你的Ubuntu集群真正“合规又可靠”！