UFW、Fail2ban、sysctl调优与AIDE共同构成Ubuntu系统四层安全防护:启用UFW设默认拒绝入站;Fail2ban监控SSH日志自动封禁恶意IP;sysctl强化内核网络防护;AIDE定期校验文件完整性。
Ubuntu及多数Debian系系统默认集成UFW(Uncomplicated Firewall),它是iptables的易用前端,适合快速建立基础网络防护。启用前先检查状态:sudo ufw status verbose。若未启用,执行sudo ufw enable;默认策略建议设为拒绝入站、允许出站:sudo ufw default deny incoming 和 sudo ufw default allow outgoing。
常见服务需显式放行:SSH端口(如22)必须保留,否则可能锁死远程连接:sudo ufw allow 22/tcp;Web服务可开放80/443:sudo ufw allow 'Nginx Full' 或 sudo ufw allow 443/tcp。限制特定IP访问SSH能显著降低暴力破解风险:sudo ufw allow from 192.168.1.100 to any port 22。
Fail2ban通过实时分析日志(如/var/log/auth.log)识别异常登录行为,自动将恶意IP加入iptables或UFW黑名单。安装后启用服务:sudo apt install fail2ban && sudo systemctl enable fail2ban && sudo systemctl start fail2ban。
关键配置在/etc/fail2ban/jail.local(优先于jail.conf)中调整:
启用(enabled = true),并确认logpath指向正确的SSH日志路径配置完成后重启服务:sudo systemctl restart fail2ban,用sudo fail2ban-client status sshd验证运行状态。
Linux内核自带多项网络层防护能力,通过/etc/sysctl.conf或/etc/sysctl.d/99-security.conf持久化启用:
修改后执行sudo sysctl -p立即生效,并建议用sudo sysctl -a | grep "rp_filter\|syncookies"确认参数已加载。
AIDE(Advanced Intrusion Detection Environment)通过哈希比对关键系统文件(如/bin/bash、/etc/passwd)判断是否被篡改,适用于无专职IDS设备的中小环境。
安装后初始化数据库:sudo apt install aide && sudo aide --init,生成的数据库默认位于/var/lib/aide/aide.db.new.gz。将其重命名为生效库:sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz。
日常巡检只需执行sudo aide --check,输出差异即为可疑变更。建议结合cron每日自动扫描并邮件通知:
首次运行前确保排除临时文件和日志目录(在/etc/aide/aide.conf中配置!/var/log/.*等规则),避免误报干扰。
# linux
# bash
# 黑名单
# 安全防护
# ai
# 网络安全
# ubuntu
# 端口
# 防火墙
# cookie
# nginx
# go
# 前端
# date
