Ubuntu安全防护实战指南（从零开始配置Linux系统安全）

一、更新系统与安装安全补丁

保持系统最新是安全防护的第一步。Ubuntu官方会定期发布安全更新，修复已知漏洞。

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 安装安全相关的内核更新（如有）sudo apt dist-upgrade -y

二、配置UFW防火墙（Ubuntu Firewall）

UFW（Uncomplicated Firewall）是Ubuntu默认的防火墙工具，简单易用，能有效控制进出系统的网络流量。这是Ubuntu防火墙配置的核心步骤。

# 启用UFWsudo ufw enable# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许SSH连接（端口22）sudo ufw allow ssh# 如果你使用的是自定义SSH端口（如2222），则运行：# sudo ufw allow 2222/tcp# 允许HTTP（80）和HTTPS（443）服务（如运行Web服务器）sudo ufw allow httpsudo ufw allow https# 查看当前规则sudo ufw status verbose

三、SSH安全加固

SSH是远程管理Linux服务器的主要方式，也是黑客攻击的重点目标。通过以下配置可大幅提升SSH安全加固水平：

1. 禁用root远程登录：防止暴力破解root账户。
2. 更改默认SSH端口：减少自动化扫描攻击。
3. 仅允许密钥认证：比密码更安全。

编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

修改以下参数（取消注释并更改值）：

# 禁用root登录PermitRootLogin no# 更改端口（例如改为2222）Port 2222# 禁用密码认证，仅允许密钥PasswordAuthentication noPubkeyAuthentication yes# 限制用户（可选，只允许特定用户登录）AllowUsers your_username

保存后重启SSH服务：

sudo systemctl restart sshd

⚠️ 注意：在修改SSH配置前，请确保你已配置好SSH密钥登录，并保留一个终端会话以防配置错误导致无法连接。

四、安装Fail2ban防止暴力破解

Fail2ban是一款入侵防御软件，能自动检测失败的登录尝试，并临时封禁IP地址，是提升Linux系统安全的有效工具。

# 安装Fail2bansudo apt install fail2ban -y# 复制默认配置（便于自定义）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑配置文件sudo nano /etc/fail2ban/jail.local

在[sshd]部分添加或修改：

[sshd]enabled = trueport = 2222  # 如果你更改了SSH端口，请在此处填写新端口maxretry = 3bantime = 600  # 封禁10分钟（秒）findtime = 600

启动并启用Fail2ban：

sudo systemctl start fail2bansudo systemctl enable fail2ban

五、定期审计与监控

安全不是一次性的任务。建议定期检查日志、更新系统，并使用工具如lynis进行安全审计：

sudo apt install lynis -ysudo lynis audit system

结语

通过以上步骤，你已经为Ubuntu系统构建了基础但有效的安全防线。记住，Ubuntu安全防护是一个持续的过程，需要定期维护和更新。希望本教程能帮助你打造一个更安全、更可靠的Linux环境！