Ubuntu服务安全加固指南（全面保护你的Linux服务器）

一、更新系统与软件包

保持系统最新是安全的第一道防线。Ubuntu会定期发布安全补丁，及时更新可修复已知漏洞。

# 更新软件包列表sudo apt update# 升级所有已安装的软件包sudo apt upgrade -y# 可选：执行完整升级（包括内核）sudo apt full-upgrade -y

二、配置防火墙（UFW）

Ubuntu自带的UFW（Uncomplicated Firewall）是一个简单易用的防火墙工具，能有效控制进出流量。

# 启用UFWsudo ufw enable# 允许SSH（假设使用默认端口22）sudo ufw allow 22/tcp# 允许HTTP和HTTPS（如运行Web服务）sudo ufw allow 80/tcpsudo ufw allow 443/tcp# 查看当前规则sudo ufw status verbose

建议只开放必要的端口，关闭其他所有端口，这是网络服务防护的核心原则之一。

三、禁用不必要的服务

系统默认可能启用了许多你不需要的服务（如CUPS打印服务、Avahi等），这些服务会增加攻击面。

# 列出所有正在运行的服务systemctl list-units --type=service --state=running# 停止并禁用不需要的服务（以avahi-daemon为例）sudo systemctl stop avahi-daemonsudo systemctl disable avahi-daemon

四、强化SSH安全

SSH是远程管理Linux服务器的主要方式，也是黑客重点攻击目标。通过以下配置可大幅提升安全性：

1. 禁止root直接登录
2. 更改默认端口（可选但推荐）
3. 仅允许密钥认证

编辑SSH配置文件：

sudo nano /etc/ssh/sshd_config

修改以下参数：

# 禁止root登录PermitRootLogin no# 更改端口（例如改为2222）Port 2222# 禁用密码登录，仅使用密钥PasswordAuthentication noPubkeyAuthentication yes# 限制用户（可选）AllowUsers your_username

保存后重启SSH服务：

sudo systemctl restart sshd

五、定期审计与监控

完成上述Ubuntu系统安全配置后，还需定期检查日志、监控异常行为。可以使用fail2ban自动封禁暴力破解IP，或配置logwatch发送每日安全摘要。

结语

通过以上步骤，你已经为你的Ubuntu服务器打下了坚实的安全基础。记住，Linux服务器安全不是一次性任务，而是一个持续的过程。建议定期回顾安全策略，及时响应新出现的威胁。

安全无小事，从今天开始加固你的Ubuntu服务吧！