引言

Ubuntu作为最受欢迎的Linux发行版之一，以其用户友好性和稳定性而闻名。然而，随着网络威胁的不断增加，保护Ubuntu系统安全变得至关重要。无论您是家庭用户、开发人员还是系统管理员，了解如何保护您的Ubuntu系统都是必不可少的技能。本文将从基础到高级，全面介绍Ubuntu安全设置的各个方面，帮助您建立一个坚不可摧的系统防护体系。

基础安全设置

系统更新

保持系统更新是维护Ubuntu安全的第一步，也是最重要的一步。更新可以修复已知的安全漏洞，防止攻击者利用这些漏洞入侵您的系统。

检查和安装更新

Ubuntu提供了简单的命令来检查和安装系统更新：

# 检查可用更新 sudo apt update # 列出可用更新 apt list --upgradable # 安装所有可用更新 sudo apt upgrade # 如果需要，可以执行发行版升级 sudo apt dist-upgrade 

自动更新设置

为了确保系统始终保持最新状态，可以配置自动更新：

# 安装无人值守升级包 sudo apt install unattended-upgrades # 配置自动更新 sudo dpkg-reconfigure -plow unattended-upgrades 

这将打开一个配置界面，您可以选择是否自动安装安全更新和其他类型的更新。

配置自动重启

某些更新（特别是内核更新）需要系统重启才能生效。您可以配置系统在需要时自动重启：

编辑/etc/apt/apt.conf.d/50unattended-upgrades文件：

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades 

取消注释或添加以下行：

Unattended-Upgrade::Automatic-Reboot "true"; Unattended-Upgrade::Automatic-Reboot-Time "02:00"; 

这将在凌晨2点自动重启系统（如果需要）。

用户账户管理

合理的用户账户管理是系统安全的基础。默认情况下，Ubuntu安装过程中会创建一个具有sudo权限的用户账户，但为了安全起见，我们需要进一步配置。

创建和管理用户账户

# 创建新用户 sudo adduser newusername # 将用户添加到sudo组 sudo usermod -aG sudo newusername # 删除用户 sudo deluser username # 删除用户及其主目录 sudo deluser --remove-home username 

强制密码策略

强密码是防止未授权访问的第一道防线。您可以安装libpam-pwquality来强制密码策略：

# 安装pwquality sudo apt install libpam-pwquality # 编辑配置文件 sudo nano /etc/security/pwquality.conf 

修改或添加以下设置：

minlen = 12 minclass = 3 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 maxrepeat = 3 

这些设置要求密码至少12个字符，包含至少3种字符类型（大写、小写、数字和特殊字符），每种类型至少一个，最多允许3个重复字符。

配置密码过期策略

# 编辑密码策略配置 sudo nano /etc/login.defs 

修改以下设置：

PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_WARN_AGE 14 

这要求用户每90天更换一次密码，至少使用7天后才能再次更改，并在密码过期前14天开始警告。

禁用root登录

Ubuntu默认禁用了root账户登录，这是一种良好的安全实践。确保保持这种设置：

# 确保root账户被锁定 sudo passwd -l root # 确保不允许通过SSH直接root登录 sudo nano /etc/ssh/sshd_config 

确保有以下行：

PermitRootLogin no 

然后重启SSH服务：

sudo systemctl restart sshd 

防火墙配置

防火墙是保护系统免受网络攻击的重要工具。Ubuntu默认使用ufw（Uncomplicated Firewall）作为防火墙管理工具。

安装和启用UFW

# 安装ufw sudo apt install ufw # 启用ufw（默认拒绝所有传入连接） sudo ufw enable # 查看状态 sudo ufw status verbose 

配置基本规则

# 允许SSH连接（非常重要，否则可能会被锁定在系统外） sudo ufw allow ssh # 允许HTTP和HTTPS连接 sudo ufw allow http sudo ufw allow https # 允许特定端口的传入连接 sudo ufw allow 8080/tcp # 允许特定IP地址的所有连接 sudo ufw allow from 192.168.1.100 # 允许特定IP地址访问特定端口 sudo ufw allow from 192.168.1.100 to any port 22 proto tcp # 拒绝特定IP地址的所有连接 sudo ufw deny from 203.0.113.4 

高级UFW配置

# 限制SSH连接（允许在30秒内最多6次连接尝试） sudo ufw limit ssh # 删除规则 sudo ufw delete allow http # 按编号删除规则 sudo ufw status numbered sudo ufw delete [number] # 重置UFW（删除所有规则） sudo ufw reset 

配置日志记录

# 启用日志记录 sudo ufw logging on # 设置日志级别（low, medium, high） sudo ufw logging medium 

SSH安全

SSH（Secure Shell）是远程管理Linux系统的常用工具，但也是攻击者的主要目标。以下是一些增强SSH安全性的方法。

更改默认SSH端口

更改默认端口可以减少自动化攻击：

# 编辑SSH配置文件 sudo nano /etc/ssh/sshd_config 

找到并修改以下行：

Port 22 

改为一个不常用的端口（例如2222）：

Port 2222 

然后重启SSH服务：

sudo systemctl restart sshd 

禁用密码认证，使用密钥认证

密钥认证比密码认证更安全：

# 在本地计算机上生成SSH密钥对（如果还没有） ssh-keygen -t rsa -b 4096 # 将公钥复制到远程服务器 ssh-copy-id -i ~/.ssh/id_rsa.pub username@remote_host # 或者手动复制公钥到远程服务器的~/.ssh/authorized_keys文件 # 编辑SSH配置文件 sudo nano /etc/ssh/sshd_config 

确保有以下设置：

PasswordAuthentication no PubkeyAuthentication yes 

然后重启SSH服务：

sudo systemctl restart sshd 

限制SSH用户

只允许特定用户使用SSH：

# 编辑SSH配置文件 sudo nano /etc/ssh/sshd_config 

添加以下行（替换为允许的用户名）：

AllowUsers user1 user2 

或者，只允许特定组的用户：

AllowGroups sshusers 

然后重启SSH服务：

sudo systemctl restart sshd 

使用Fail2ban防止暴力破解

Fail2ban可以监控日志文件并自动封禁恶意IP：

# 安装Fail2ban sudo apt install fail2ban # 复制配置文件 sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local # 编辑配置文件 sudo nano /etc/fail2ban/jail.local 

在[sshd]部分添加或修改以下设置：

[sshd] enabled = true port = 2222 # 如果您更改了SSH端口 filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 3600 findtime = 600 

然后启动并启用Fail2ban：

sudo systemctl start fail2ban sudo systemctl enable fail2ban 

查看Fail2ban状态：

sudo fail2ban-client status sshd 

中级安全设置

文件系统安全

文件系统安全是保护系统数据的关键。以下是一些增强文件系统安全性的方法。

文件权限和所有权

理解并正确设置文件权限和所有权：

# 查看文件权限 ls -l # 更改文件权限 chmod 644 file.txt # rw-r--r-- chmod 755 script.sh # rwxr-xr-x # 更改文件所有权 chown user:group file.txt # 递归更改目录所有权 chown -R user:group /path/to/directory 

特殊权限位

了解和使用特殊权限位：

# 设置SUID位（以文件所有者权限执行，无论谁运行） chmod u+s program # 设置SGID位（在目录中创建的文件继承目录的组） chmod g+s directory # 设置粘滞位（只有文件所有者才能删除文件，如/tmp目录） chmod +t directory 

不可变文件

使用chattr命令设置文件为不可变，防止被修改或删除：

# 设置文件为不可变 sudo chattr +i important_file # 查看文件属性 lsattr important_file # 移除不可变属性 sudo chattr -i important_file 

加密目录

使用eCryptfs加密敏感目录：

# 安装eCryptfs sudo apt install ecryptfs-utils # 加密用户主目录（在新用户创建时） sudo adduser --encrypt-home newusername # 加密现有用户主目录 sudo ecryptfs-migrate-home -u username # 挂载加密目录 sudo mount -t ecryptfs /path/to/encrypted /path/to/mountpoint 

服务安全

Ubuntu系统运行着各种服务，每个服务都可能成为安全漏洞的来源。以下是一些增强服务安全性的方法。

查看和管理运行的服务

# 查看所有运行的服务 systemctl list-units --type=service --state=running # 查看服务状态 systemctl status servicename # 停止服务 sudo systemctl stop servicename # 禁用服务（防止开机启动） sudo systemctl disable servicename # 启用服务 sudo systemctl enable servicename 

禁用不必要的服务

# 禁用Avahi（如果没有使用网络设备发现） sudo systemctl stop avahi-daemon sudo systemctl disable avahi-daemon # 禁用CUPS打印服务（如果不使用打印机） sudo systemctl stop cups sudo systemctl disable cups # 禁用RPC Bind服务（如果不使用NFS） sudo systemctl stop rpcbind sudo systemctl disable rpcbind 

服务加固

# 编辑服务配置文件 sudo nano /etc/systemd/system/servicename.service.d/override.conf # 添加安全选项 [Service] PrivateTmp=true ProtectSystem=strict ProtectHome=true NoNewPrivileges=true PrivateDevices=true ProtectKernelTunables=true ProtectKernelModules=true ProtectControlGroups=true 

然后重新加载systemd并重启服务：

sudo systemctl daemon-reload sudo systemctl restart servicename 

使用AppArmor限制服务

AppArmor是Linux内核的安全模块，可以限制程序的能力：

# 安装AppArmor工具 sudo apt install apparmor apparmor-utils # 查看AppArmor状态 sudo aa-status # 启用AppArmor配置文件 sudo aa-enforce /path/to/profile # 将配置文件设置为抱怨模式（记录但不阻止） sudo aa-complain /path/to/profile # 禁用AppArmor配置文件 sudo aa-disable /path/to/profile 

入侵检测系统

入侵检测系统（IDS）可以帮助您检测和响应潜在的入侵尝试。

安装和配置AIDE

AIDE（Advanced Intrusion Detection Environment）是一个文件完整性检查器：

# 安装AIDE sudo apt install aide # 初始化AIDE数据库 sudo aideinit # 移动数据库到安全位置 sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db # 运行AIDE检查 sudo aide --check # 更新AIDE数据库 sudo aide --update sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db 

设置定期AIDE检查：

# 编辑crontab sudo crontab -e 

添加以下行以每天运行AIDE检查：

0 3 * * * /usr/bin/aide --check | /usr/bin/mail -s "AIDE report" your@email.com 

安装和配置OSSEC

OSSEC是一个开源的主机入侵检测系统：

# 添加OSSEC仓库 echo "deb http://ossec.alienvault.com/repos/apt/ubuntu trusty main" | sudo tee /etc/apt/sources.list.d/ossec.list # 添加仓库密钥 wget -q -O - https://www.atomicorp.com/RPM-GPG-KEY.atomicorp.txt | sudo apt-key add - # 更新包列表并安装OSSEC sudo apt update sudo apt install ossec-hids-agent # 配置OSSEC sudo /var/ossec/bin/ossec-control enable sudo /var/ossec/bin/ossec-control start 

安全审计

定期审计系统安全设置和活动是维护系统安全的重要部分。

审计系统日志

# 查看系统日志 sudo less /var/log/syslog # 查看认证日志 sudo less /var/log/auth.log # 查看内核日志 sudo dmesg # 使用journalctl查看systemd日志 sudo journalctl -xe 

使用Auditd进行系统审计

Auditd是Linux的审计框架，可以记录系统活动：

# 安装auditd sudo apt install auditd audispd-plugins # 启动并启用auditd sudo systemctl start auditd sudo systemctl enable auditd # 查看auditd状态 sudo systemctl status auditd # 添加审计规则 sudo auditctl -w /etc/passwd -p wa -k passwd_changes sudo auditctl -w /etc/sudoers -p wa -k sudoers_changes # 查看审计日志 sudo ausearch -k passwd_changes sudo ausearch -k sudoers_changes 

使用Lynis进行系统安全扫描

Lynis是一个强大的系统安全审计工具：

# 安装Lynis sudo apt install lynis # 运行Lynis审计 sudo lynis audit system # 查看报告 sudo less /var/log/lynis-report.dat 

使用Tripwire进行文件完整性检查

Tripwire是另一个文件完整性检查器：

# 安装Tripwire sudo apt install tripwire # 配置Tripwire sudo tripwire --init # 运行Tripwire检查 sudo tripwire --check # 更新Tripwire数据库 sudo tripwire --update 

高级安全设置

内核强化

Linux内核是系统的核心，强化内核可以显著提高系统安全性。

内核参数调整

通过修改/etc/sysctl.conf文件来调整内核参数：

# 编辑sysctl配置文件 sudo nano /etc/sysctl.conf 

添加或修改以下参数：

# 禁用IP转发 net.ipv4.ip_forward = 0 # 启用TCP SYN Cookie保护 net.ipv4.tcp_syncookies = 1 # 防止IP欺骗 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # 忽略ICMP重定向 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 # 忽略发送ICMP重定向 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 不接受源路由包 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 # 记录欺骗、源路由和重定向包 net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 # 禁用IPv6（如果不需要） net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 # 增加文件描述符限制 fs.file-max = 65535 # 防止SYN洪水攻击 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 # 启用execshield保护 kernel.exec-shield = 1 kernel.randomize_va_space = 1 # 核心转储限制 fs.suid_dumpable = 0 

应用更改：

sudo sysctl -p 

内核模块安全

# 列出加载的内核模块 lsmod # 禁用不必要的内核模块 echo "install module_name /bin/true" | sudo tee /etc/modprobe.d/blacklist-module_name.conf # 禁用特定功能（如USB存储） echo "install usb-storage /bin/true" | sudo tee /etc/modprobe.d/disable-usb-storage.conf # 更新initramfs sudo update-initramfs -u 

使用GRUB密码保护引导过程

# 生成GRUB密码 sudo grub-mkpasswd-pbkdf2 # 编辑GRUB配置文件 sudo nano /etc/grub.d/40_custom 

添加以下内容（替换为您生成的密码哈希）：

set superusers="admin" password_pbkdf2 admin grub.pbkdf2.sha512.10000.YOUR_HASH_HERE 

更新GRUB配置：

sudo update-grub 

安全模块配置

除了AppArmor，还有其他安全模块可以增强系统安全性。

SELinux配置

虽然Ubuntu默认使用AppArmor，但您也可以选择使用SELinux：

# 安装SELinux sudo apt install selinux selinux-utils selinux-basics # 激活SELinux sudo selinux-activate # 设置SELinux为强制模式 sudo nano /etc/selinux/config 

设置：

SELINUX=enforcing 

重启系统：

sudo reboot 

检查SELinux状态：

sestatus 

使用Tomoyo进行安全策略

Tomoyo是另一个Linux安全模块：

# 安装Tomoyo sudo apt install tomoyo-tools # 启用Tomoyo sudo ccs-loadpolicy sudo ccs-setlevel -p 1 

网络安全

高级网络安全设置可以保护系统免受复杂的网络攻击。

配置iptables防火墙

虽然UFW提供了简化的防火墙管理，但直接使用iptables可以提供更精细的控制：

# 查看当前iptables规则 sudo iptables -L -v -n # 清除所有现有规则 sudo iptables -F sudo iptables -X sudo iptables -t nat -F sudo iptables -t nat -X sudo iptables -t mangle -F sudo iptables -t mangle -X # 设置默认策略 sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT ACCEPT # 允许本地回环 sudo iptables -A INPUT -i lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT # 允许已建立的连接 sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # 允许SSH sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许HTTP和HTTPS sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 防止DDoS攻击 sudo iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT # 保存iptables规则 sudo iptables-save > /etc/iptables/rules.v4 sudo ip6tables-save > /etc/iptables/rules.v6 

安装和配置Snort

Snort是一个强大的网络入侵检测系统：

# 安装Snort sudo apt install snort # 配置Snort sudo nano /etc/snort/snort.conf # 运行Snort sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 

配置网络流量监控

使用ntopng监控网络流量：

# 安装ntopng sudo apt install ntopng # 配置ntopng sudo nano /etc/ntopng/ntopng.conf # 启动ntopng sudo systemctl start ntopng sudo systemctl enable ntopng 

加密和隐私保护

加密是保护敏感数据的最终防线。

全盘加密

使用LUKS进行全盘加密：

# 安装cryptsetup sudo apt install cryptsetup # 加密分区 sudo cryptsetup luksFormat /dev/sdX # 打开加密分区 sudo cryptsetup open /dev/sdX encrypted_partition # 格式化加密分区 sudo mkfs.ext4 /dev/mapper/encrypted_partition # 挂载加密分区 sudo mount /dev/mapper/encrypted_partition /mnt # 关闭加密分区 sudo umount /mnt sudo cryptsetup close encrypted_partition 

使用VeraCrypt创建加密容器

VeraCrypt是一个跨平台的加密软件：

# 添加VeraCrypt仓库 sudo add-apt-repository ppa:unit193/encryption sudo apt update # 安装VeraCrypt sudo apt install veracrypt # 创建加密容器 veracrypt -t -c /path/to/container.vc 

使用GnuPG加密文件和通信

GnuPG是GNU隐私保护工具：

# 安装GnuPG sudo apt install gnupg # 生成密钥对 gpg --full-generate-key # 列出密钥 gpg --list-keys # 导出公钥 gpg --export -a "Your Name" > public.key # 导入公钥 gpg --import public.key # 加密文件 gpg -c file.txt # 解密文件 gpg -d file.txt.gpg > file.txt # 签名文件 gpg --sign file.txt # 验证签名 gpg --verify file.txt.sig 

使用Tor保护隐私

Tor是一个匿名网络工具：

# 安装Tor sudo apt install tor # 启动Tor sudo systemctl start tor sudo systemctl enable tor # 配置应用程序使用Tor（例如，设置代理为127.0.0.1:9050） 

安全最佳实践和常见问题

安全最佳实践

1. 最小权限原则：只授予用户和服务完成其任务所需的最小权限。
2. 定期更新：保持系统和所有软件包最新。
3. 备份：定期备份重要数据，并测试恢复过程。
4. 监控：实施系统监控和日志审查。
5. 安全意识：教育用户安全最佳实践。
6. 最小化攻击面：禁用不必要的服务和功能。
7. 纵深防御：实施多层安全控制。
8. 定期审计：定期审查系统安全设置和活动。

常见安全问题及解决方案

问题1：如何检测系统是否被入侵？

解决方案：

• 使用AIDE或Tripwire检查文件完整性
• 检查异常用户活动
• 检查系统日志中的异常条目
• 使用Lynis或类似工具进行安全扫描
• 检查网络连接和开放端口

# 检查网络连接 sudo netstat -tulnp sudo ss -tulnp # 检查进程 ps auxf # 检查最近登录的用户 last lastb # 检查计划任务 crontab -l sudo ls -la /etc/cron.*/ 

问题2：如何处理安全漏洞？

解决方案：

• 订阅安全公告
• 定期更新系统
• 使用漏洞扫描工具
• 实施修复措施
• 测试修复

# 使用apt-check检查安全更新 /usr/lib/update-notifier/apt-check --human-readable # 使用unattended-upgrades检查并安装安全更新 sudo unattended-upgrades 

问题3：如何保护Web服务器？

解决方案：

• 使用Web应用防火墙（如ModSecurity）
• 定期更新Web服务器软件
• 实施SSL/TLS
• 限制文件权限
• 禁用不必要的服务

# 安装ModSecurity sudo apt install libapache2-mod-security2 # 启用ModSecurity sudo a2enmod security2 sudo systemctl restart apache2 # 配置ModSecurity sudo cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf sudo nano /etc/modsecurity/modsecurity.conf 

设置SecRuleEngine为On，然后重启Apache：

sudo systemctl restart apache2 

问题4：如何保护数据库服务器？

解决方案：

• 限制网络访问
• 使用强密码
• 定期备份数据
• 加密敏感数据
• 实施访问控制

# 对于MySQL/MariaDB sudo mysql_secure_installation # 编辑MySQL配置文件 sudo nano /etc/mysql/mysql.conf.d/mysqld.cnf 

添加或修改以下设置：

bind-address = 127.0.0.1 skip-networking 

重启MySQL服务：

sudo systemctl restart mysql 

总结

Ubuntu安全设置是一个多层次、持续的过程，需要从基础到高级全面考虑。本文涵盖了从基础系统更新到高级内核强化的各个方面，帮助您建立一个强大的系统防护体系。

记住，安全不是一次性的任务，而是持续的过程。定期审查和更新您的安全设置，保持对最新安全威胁的了解，并采用最佳实践来保护您的Ubuntu系统。

通过遵循本文提供的指南，您可以显著提高Ubuntu系统的安全性，保护您的数据和隐私免受各种威胁。无论您是个人用户还是系统管理员，这些安全设置都将帮助您建立一个更加安全和可靠的Ubuntu环境。