安全防护指南

防火墙 · SSH加固 · Rootkit检测 · 杀毒 · 应急响应

版本 v1.0 | 2026-05-24 | 存档: /mnt/sda/work/SECURITY.md

二、待安装工具

2.1 安装命令（需 sudo）

核心安全（高优先级）
sudo apt install -y fail2ban rkhunter chkrootkit aide aide-common
可选（中优先级）
sudo apt install -y clamav clamav-daemon   # 杀毒
sudo apt install -y auditd audispd-plugins  # 审计

2.2 fail2ban — SSH 防暴力破解

sudo systemctl enable --now fail2ban
配置: /etc/fail2ban/jail.local
默认已保护 SSH，10分钟禁5次失败

2.3 rkhunter — Rootkit 检测

sudo rkhunter --update          # 更新特征库
sudo rkhunter --propupd         # 建立系统基线
sudo rkhunter --check           # 手动扫描
建议 cron: 每天凌晨 3:00 扫描

2.4 AIDE — 文件完整性监控

sudo aideinit                  # 初始化基线（首次运行较慢）
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
sudo aide --check              # 检查变更
建议 cron: 每周日扫描

三、日常安全检查清单

每天自动（daily-check.sh 已覆盖）

[ ] UFW 状态

[ ] 磁盘使用率（>85%告警）

[ ] 关键进程运行

[ ] 端口监听正常

每周手动（建议加入）

[ ] `sudo rkhunter --check` — rootkit 扫描

[ ] `sudo fail2ban-client status sshd` — 查看被封 IP

[ ] `grep "Failed password" /var/log/auth.log` — 异常登录尝试

每月手动

[ ] `sudo aide --check` — 文件完整性校验

[ ] `sudo apt update && sudo apt upgrade -y` — 手动更新

[ ] `sudo aa-status` — AppArmor 策略审查

[ ] 检查 crontab 无异常条目

[ ] 审计日志 review（如装了 auditd）

五、应急响应

发现异常进程

ps aux --sort=-%cpu | head -20     # CPU 异常
ps aux --sort=-%mem | head -20     # 内存异常
sudo netstat -tlnp | grep ESTABLISHED  # 异常连接

怀疑被入侵

sudo rkhunter --check --sk         # 快速 rootkit 扫描
sudo chkrootkit                      # 辅助检查
last -20                            # 近期登录
sudo grep "Accepted\|Failed" /var/log/auth.log | tail -50

紧急切断

sudo ufw enable                      # 启用防火墙
sudo ufw default deny incoming       # 拒绝所有入站
逐个开放必要端口
sudo ufw allow 22/tcp

六、NAS 备份安全

备份脚本含 NAS 密码，文件权限 700

vault.db AES-GCM 加密，密钥文件独立存储

备份走内网 192.168.2.6，不经过公网

← 返回首页