Debian云安全加固指南（从零开始保护你的云服务器）

一、更新系统与软件包

首先，确保你的Debian系统是最新的。老旧的软件包可能存在已知漏洞，及时更新是安全的第一步。

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 可选：升级到新版本（如从 Debian 11 升级到 12）sudo apt full-upgrade -y

二、创建非root用户并禁用root远程登录

直接使用 root 用户登录存在极大风险。建议创建一个普通用户，并赋予其 sudo 权限，然后禁止 root 通过 SSH 远程登录。

# 创建新用户（例如 myuser）sudo adduser myuser# 将用户加入 sudo 组sudo usermod -aG sudo myuser# 切换到新用户su - myuser

接着编辑 SSH 配置文件：

sudo nano /etc/ssh/sshd_config

找到以下行并修改为：

PermitRootLogin noPasswordAuthentication no  # 强烈建议改用密钥登录

保存后重启 SSH 服务：

sudo systemctl restart ssh

三、配置防火墙（UFW）

Debian 默认未启用防火墙。我们推荐使用 UFW（Uncomplicated Firewall），它简单易用，适合新手。

# 安装 UFWsudo apt install ufw -y# 默认拒绝所有入站连接sudo ufw default deny incoming# 允许 SSH（假设你使用的是默认端口 22）sudo ufw allow 22/tcp# 如果你更改了 SSH 端口（比如 2222），则运行：# sudo ufw allow 2222/tcp# 启用防火墙sudo ufw enable# 查看状态sudo ufw status verbose

四、安装并配置 Fail2Ban

Fail2Ban 能自动封禁多次尝试暴力破解 SSH 的 IP 地址，是提升云服务器安全配置的重要工具。

# 安装 Fail2Bansudo apt install fail2ban -y# 复制默认配置（便于日后升级保留自定义设置）sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local# 编辑配置文件sudo nano /etc/fail2ban/jail.local

在 [sshd] 部分添加或修改：

[sshd]enabled = trueport = sshfilter = sshdlogpath = /var/log/auth.logmaxretry = 3bantime = 86400  # 封禁 24 小时findtime = 600   # 在 10 分钟内失败 3 次即封禁

保存后重启服务：

sudo systemctl restart fail2ban

五、定期审计与日志监控

安全不是一次性的任务。建议定期检查系统日志（如 /var/log/auth.log）和使用工具如 auditd 监控关键文件变更。此外，保持关注 Linux云环境防护 最佳实践，能让你的服务器长期处于安全状态。

结语

通过以上五个步骤，你已经完成了基础但非常有效的 Debian系统安全 加固。记住：安全是一个持续的过程，而不是终点。建议将这些操作写成脚本，以便在新部署服务器时快速应用。

如果你觉得这篇教程有帮助，请收藏并分享给更多需要的朋友！