Debian系统安全防护实战指南（从零开始构建安全的Debian服务器环境）

一、更新系统与软件包

保持系统最新是Debian安全防护的第一步。老旧的软件包可能存在已知漏洞，及时更新可有效减少攻击面。

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 可选：执行完整升级（包括内核）sudo apt full-upgrade -y  

二、创建非root用户并禁用root远程登录

直接使用root账户存在极高风险。建议创建普通用户，并通过sudo提权操作。

# 创建新用户（例如：myuser）sudo adduser myuser# 将用户加入sudo组sudo usermod -aG sudo myuser  

接着，编辑SSH配置文件以禁用root远程登录：

sudo nano /etc/ssh/sshd_config  

找到以下行并修改为：

PermitRootLogin no  

保存后重启SSH服务：

sudo systemctl restart ssh  

三、配置UFW防火墙（实现Debian防火墙配置）

UFW（Uncomplicated Firewall）是Debian中简单易用的防火墙工具，适合新手快速上手。

# 安装UFWsudo apt install ufw -y# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许SSH（端口22）sudo ufw allow ssh# 如果你运行Web服务，可开放80和443端口sudo ufw allow 80/tcpsudo ufw allow 443/tcp# 启用防火墙sudo ufw enable  

启用后，可通过 sudo ufw status verbose 查看当前规则。

四、安装并配置Fail2ban（防止暴力破解）

Fail2ban能自动检测登录失败行为，并临时封禁恶意IP，是Debian服务器加固的重要一环。

# 安装Fail2bansudo apt install fail2ban -y# 复制默认配置（便于自定义）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑配置文件sudo nano /etc/fail2ban/jail.local  

在[sshd]部分添加或修改：

[sshd]enabled = trueport = sshfilter = sshdlogpath = /var/log/auth.logmaxretry = 3bantime = 600  

保存后启动服务：

sudo systemctl enable fail2bansudo systemctl start fail2ban  

五、定期审计与监控

安全不是一次性任务。建议定期检查日志（如 /var/log/auth.log）、审查用户权限，并使用工具如 lynis 进行系统安全审计。

sudo apt install lynis -ysudo lynis audit system  

结语

通过以上五个步骤，你已经为Debian系统搭建了基础但有效的安全防线。记住，Debian系统安全是一个持续的过程，需要结合良好的操作习惯与定期维护。希望本教程能帮助你构建一个更安全、更可靠的服务器环境！