Debian系统安全维护指南（从零开始保障你的Debian服务器安全）

一、保持系统最新：及时更新软件包

确保系统和所有已安装的软件包都是最新的，是Debian安全维护的第一步。漏洞往往通过未打补丁的软件暴露出来。

执行以下命令更新系统：

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 如果有内核更新，建议执行完整升级sudo apt full-upgrade -y  

二、配置防火墙（UFW）

启用防火墙可以有效阻止未经授权的访问。Debian默认不安装UFW（Uncomplicated Firewall），但我们可以轻松安装并配置它。

# 安装 UFWsudo apt install ufw -y# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许SSH（假设你使用默认端口22）sudo ufw allow 22/tcp# 如果你还运行Web服务，可开放80和443端口sudo ufw allow 80/tcpsudo ufw allow 443/tcp# 启用防火墙sudo ufw enable  

⚠️ 注意：如果你通过SSH远程管理服务器，请务必先允许SSH端口，否则可能被锁在系统外！

三、禁用不必要的服务

减少攻击面的关键是关闭不需要的服务。使用以下命令查看当前运行的服务：

systemctl list-units --type=service --state=running  

如果发现如 telnet、ftp 等不安全或未使用的服务，可将其停止并禁用：

sudo systemctl stop servicenamesudo systemctl disable servicename  

四、加强SSH安全

SSH是远程管理Debian服务器的主要方式，因此必须加固。编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config  

建议修改以下几项（取消注释并修改值）：

• PermitRootLogin no —— 禁止root直接登录
• PasswordAuthentication no —— 改用密钥认证（更安全）
• Port 2222 —— 更改默认端口（可选，但能减少自动化扫描攻击）

保存后重启SSH服务：

sudo systemctl restart ssh  

五、定期检查日志与入侵迹象

使用 journalctl 或查看 /var/log/ 目录下的日志文件，可以帮助你发现异常行为。例如：

# 查看SSH登录失败记录sudo grep "Failed password" /var/log/auth.log# 查看最近的系统日志sudo journalctl -u ssh --since "1 hour ago"  

六、安装安全工具（可选但推荐）

你可以安装如 fail2ban 自动封禁多次尝试登录失败的IP：

sudo apt install fail2ban -ysudo systemctl enable fail2bansudo systemctl start fail2ban  

结语

通过以上步骤，你已经完成了基础的Debian服务器加固。记住，安全不是一次性的任务，而是持续的过程。建议定期执行Debian系统更新，监控系统状态，并关注官方安全公告。

坚持这些良好习惯，你的Debian系统将更加安全可靠！