Ubuntu系统安全维护指南（Linux服务器安全加固与日常防护实战）

一、保持系统更新

及时更新系统是保障Ubuntu安全加固的第一步。Ubuntu官方会定期发布安全补丁，修复已知漏洞。

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 执行完整升级（包括内核更新）sudo apt full-upgrade -y# 自动移除不再需要的旧包sudo apt autoremove -y

建议设置自动安全更新：

# 安装 unattended-upgradessudo apt install unattended-upgrades -y# 启用自动安全更新sudo dpkg-reconfigure -plow unattended-upgrades

二、配置防火墙（UFW）

Ubuntu自带的UFW（Uncomplicated Firewall）是一个简单但强大的防火墙工具，能有效控制进出系统的网络流量。

# 启用 UFWsudo ufw enable# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许 SSH（端口22）sudo ufw allow ssh# 允许 HTTP 和 HTTPSsudo ufw allow 80/tcpsudo ufw allow 443/tcp# 查看当前规则sudo ufw status verbose

三、强化SSH安全

如果你通过SSH远程管理服务器，务必加强其安全性，防止暴力破解。

# 编辑 SSH 配置文件sudo nano /etc/ssh/sshd_config# 修改以下关键参数：Port 2222                  # 更改默认端口（可选但推荐）PermitRootLogin no        # 禁止 root 登录PasswordAuthentication no # 禁用密码登录，使用密钥认证PubkeyAuthentication yes  # 启用公钥认证# 保存后重启 SSH 服务sudo systemctl restart sshd

记得在禁用密码登录前，先配置好SSH密钥对，否则可能被锁在系统外！

四、安装并配置 Fail2Ban

Fail2Ban 能自动检测并封禁多次尝试失败登录的IP地址，是防御暴力破解的利器。

# 安装 Fail2Bansudo apt install fail2ban -y# 复制默认配置（便于自定义）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑配置sudo nano /etc/fail2ban/jail.local# 在 [sshd] 部分添加或修改：[sshd]enabled = trueport = 2222              # 如果你改了SSH端口maxretry = 3             # 最大尝试次数bantime = 600            # 封禁时间（秒）findtime = 600           # 检测时间窗口# 重启服务sudo systemctl restart fail2ban

五、定期检查系统日志

通过分析日志，你可以及时发现异常行为。常用日志位置：

• /var/log/auth.log：记录登录和认证事件
• /var/log/syslog：系统通用日志
• /var/log/fail2ban.log：Fail2Ban 封禁记录

可以使用 journalctl 实时监控：

# 查看最近的认证日志sudo journalctl -u ssh --since "1 hour ago"# 实时跟踪 auth.logsudo tail -f /var/log/auth.log

结语

通过以上步骤，你已经完成了基础的系统安全配置。记住，安全不是一次性任务，而是持续的过程。建议每月进行一次安全审查，并关注 Ubuntu 官方安全公告。

掌握这些技能，不仅能保护你的个人设备，还能为未来从事运维或DevOps工作打下坚实基础。坚持实践，你就是下一个安全高手！