Debian安全防护措施配置（新手也能轻松上手的系统安全加固指南）

一、更新系统与软件包

保持系统最新是安全的第一步。定期更新可修复已知漏洞：

sudo apt updatesudo apt upgrade -ysudo apt dist-upgrade -y  

二、配置防火墙（UFW）

Debian防火墙设置是防止未授权访问的关键。推荐使用 UFW（Uncomplicated Firewall），它简单易用：

# 安装 UFWsudo apt install ufw -y# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许 SSH（假设你使用默认端口 22）sudo ufw allow 22/tcp# 启用防火墙sudo ufw enable# 查看状态sudo ufw status verbose  

如果你修改了 SSH 端口，请相应调整允许的端口号。

三、SSH 安全优化

SSH安全优化能有效防止暴力破解攻击。编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config  

建议修改以下几项（取消注释并修改）：

# 禁用 root 登录PermitRootLogin no# 仅允许特定用户登录（例如 youruser）AllowUsers youruser# 更改默认端口（可选但推荐）Port 2222# 禁用密码登录，改用密钥认证（更安全）PasswordAuthentication noPubkeyAuthentication yes  

修改后重启 SSH 服务：

sudo systemctl restart sshd  

四、安装 Fail2ban 防暴力破解

Fail2ban 可自动封禁多次尝试失败的 IP 地址：

sudo apt install fail2ban -ysudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localsudo systemctl enable fail2bansudo systemctl start fail2ban  

默认配置已对 SSH 有效，如需自定义可编辑 jail.local 文件。

五、创建非 root 用户并禁用 root 登录

始终使用普通用户 + sudo 执行管理命令：

sudo adduser yourusersudo usermod -aG sudo youruser  

确保该用户可通过 SSH 密钥登录后，再在 /etc/ssh/sshd_config 中设置 PermitRootLogin no 并重启 SSH。

六、定期审计与监控

使用工具如 lynis 进行安全审计：

sudo apt install lynis -ysudo lynis audit system  

它会给出详细的系统安全建议。

总结

通过以上步骤，你已经完成了基础的 Debian安全配置 和 系统安全加固。记住：安全不是一次性任务，而是一个持续过程。定期更新、监控日志、审查权限，才能让你的服务器长期稳定运行。

希望这篇教程能帮助你构建一个更安全的 Debian 环境！