Ubuntu安全合规性配置（新手也能掌握的Linux安全加固指南）

一、更新系统与安装安全补丁

保持系统最新是安全的第一步。Ubuntu 定期发布安全更新，及时安装可修复已知漏洞。

sudo apt updatesudo apt upgrade -ysudo apt dist-upgrade -y  

建议启用自动安全更新：

sudo apt install unattended-upgradessudo dpkg-reconfigure --priority=low unattended-upgrades  

二、配置防火墙（UFW）

Ubuntu 自带 UFW（Uncomplicated Firewall），是简化版的 iptables，适合新手使用。

# 启用 UFWsudo ufw enable# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许 SSH（假设使用默认端口 22）sudo ufw allow ssh# 查看状态sudo ufw status verbose  

三、禁用不必要的服务

减少攻击面的关键是关闭不用的服务。使用以下命令查看正在运行的服务：

systemctl list-units --type=service --state=running  

例如，如果你不需要打印服务，可以禁用 CUPS：

sudo systemctl stop cupssudo systemctl disable cups  

四、加强 SSH 安全

SSH 是远程管理的核心，但也是常见攻击目标。编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config  

建议修改以下参数：

• PermitRootLogin no —— 禁止 root 直接登录
• PasswordAuthentication no —— 强制使用密钥认证（更安全）
• AllowUsers your_username —— 仅允许特定用户登录

修改后重启 SSH 服务：

sudo systemctl restart sshd  

五、安装并配置 Fail2Ban

Fail2Ban 可自动封禁多次尝试失败的 IP 地址，有效防御暴力破解。

sudo apt install fail2ban -ysudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localsudo systemctl enable fail2bansudo systemctl start fail2ban  

六、定期审计与日志监控

使用 auditd 工具记录关键系统事件：

sudo apt install auditd audispd-plugins -ysudo systemctl enable auditdsudo systemctl start auditd  

日志通常保存在 /var/log/audit/audit.log，可通过 ausearch 或 aureport 分析。

结语

通过以上步骤，你已经完成了 Ubuntu 基础的 安全合规性配置。这些措施不仅能提升系统安全性，也符合常见的 Linux安全最佳实践 标准。记住，安全不是一次性的任务，而是一个持续的过程。建议定期检查系统状态、更新软件，并关注官方安全公告。

坚持这些 Ubuntu安全配置 和 系统合规性 实践，你的服务器将更加坚不可摧！