Debian Web服务器安全加固（从零开始的Linux服务器安全配置指南）

一、更新系统与安装基础安全工具

首先，确保你的系统是最新的，这能修复已知漏洞：

sudo apt updatesudo apt upgrade -ysudo apt install -y fail2ban ufw lynis

其中：
• fail2ban 可防止暴力破解SSH等服务；
• ufw 是简易防火墙工具；
• lynis 是系统安全审计工具。

二、强化SSH安全（关键步骤！）

SSH是远程管理服务器的主要方式，必须加固。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

修改以下关键参数：

Port 2222                          # 修改默认端口（可选但推荐）PermitRootLogin no                # 禁止root直接登录PasswordAuthentication no         # 禁用密码登录，改用密钥认证PubkeyAuthentication yes          # 启用公钥认证AllowUsers your_username          # 仅允许指定用户登录

保存后重启SSH服务：

sudo systemctl restart sshd

⚠️ 注意：务必先配置好SSH密钥登录再禁用密码，否则可能被锁在服务器外！

三、配置防火墙（UFW）

启用UFW并只开放必要端口：

sudo ufw default deny incomingsudo ufw default allow outgoingsudo ufw allow 2222/tcp        # 替换为你设置的SSH端口sudo ufw allow 80/tcp           # HTTPsudo ufw allow 443/tcp          # HTTPSsudo ufw enable

这样就实现了基本的防火墙与SSH安全策略。

四、Web服务器（Apache/Nginx）安全设置

无论你使用Apache还是Nginx，都应进行以下通用加固：

• 隐藏服务器版本信息（防止攻击者识别软件版本）
• 禁用目录列表（防止敏感文件暴露）
• 限制上传文件类型和大小
• 启用HTTPS（使用Let's Encrypt免费证书）

以Nginx为例，编辑站点配置：

server {    listen 80;    server_name example.com;    # 隐藏版本号    server_tokens off;    # 禁用目录列表    location / {        autoindex off;    }    # 安全头    add_header X-Frame-Options "SAMEORIGIN" always;    add_header X-XSS-Protection "1; mode=block" always;    add_header X-Content-Type-Options "nosniff" always;}

完成配置后重载服务：sudo systemctl reload nginx。这是典型的Apache/Nginx安全设置实践。

五、定期安全审计与日志监控

使用之前安装的lynis进行系统审计：

sudo lynis audit system

同时，定期检查日志（如/var/log/auth.log、/var/log/nginx/access.log），关注异常登录或请求行为。

结语

通过以上步骤，你已经完成了基础的Debian Web服务器安全加固。安全不是一次性的任务，而是一个持续的过程。建议定期更新系统、审查配置、监控日志，并根据业务需求调整安全策略。记住：没有绝对安全的系统，但我们可以让攻击者付出更高的代价！