Debian 安全加固方案｜2026最新版

适用范围：Debian 12/13 及基于 Debian 的服务器环境
适用场景：云服务器、企业内网服务器、Web 服务、数据库服务、容器宿主机、个人 VPS
目标：降低系统被入侵、横向移动、权限提升、数据泄露和服务中断的风险

一、前言：为什么 Debian 也需要安全加固？

Debian 一直以稳定、安全、可靠著称，是服务器领域非常常见的 Linux 发行版。很多人认为“Debian 默认就很安全”，但这只是相对而言。任何操作系统在默认安装完成后，都只是提供了一个基础运行环境，并不等于已经完成了安全加固。

在真实生产环境中，攻击者通常不会只依赖单一漏洞入侵系统，而是结合弱口令、开放端口、错误权限、未更新的软件包、暴露的管理入口、日志缺失、横向移动等多种方式逐步扩大权限。因此，Debian 安全加固的核心并不是安装某一个安全工具，而是建立一套完整的安全体系。

本文将从账户安全、SSH 加固、系统更新、服务最小化、防火墙、内核安全、日志审计、文件权限、恶意软件防护、备份恢复、容器安全等多个方面，系统介绍 2026 年 Debian 服务器安全加固方案。

二、安全加固基本原则

在正式操作之前，需要明确几个基本原则。

1. 最小权限原则

用户、进程、服务只应拥有完成工作所需的最小权限。能不用 root 就不用 root，能只读就不要读写，能限制目录就不要访问全盘。

2. 最小暴露原则

服务器不应该开放不必要的端口，不应该安装不需要的软件包，也不应该启用无关服务。暴露面越小，攻击面越小。

3. 默认拒绝原则

无论是防火墙、访问控制还是系统权限，都应优先采用“默认拒绝，按需放行”的策略。

4. 持续更新原则

安全加固不是一次性工作。系统、内核、OpenSSH、Web 服务、数据库、容器运行时等都需要持续更新。

5. 可审计原则

所有关键操作都应有日志可查。没有日志，就无法判断攻击是否发生，也无法进行溯源。

三、系统安装阶段安全建议

如果是新服务器，建议从安装阶段就开始进行安全规划。

1. 使用官方镜像

下载 Debian 镜像时，应优先使用官方站点或可信镜像源：

https://www.debian.org/distrib/

建议校验 ISO 文件的哈希值和签名，防止镜像被篡改。

2. 合理分区

生产环境中不建议所有目录都放在一个根分区。可以考虑如下分区方式：

/          系统根目录
/boot      启动分区
/home      普通用户目录
/var       日志、缓存、服务数据
/tmp       临时目录
/var/log   日志目录

对于 /tmp、/var/tmp、/home 等目录，可配合挂载参数限制执行权限。

例如编辑 /etc/fstab：

sudo nano /etc/fstab

为 /tmp 添加安全挂载参数：

tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0

参数说明：

• noexec：禁止执行二进制文件；
• nosuid：禁止 SUID 权限生效；
• nodev：禁止设备文件生效。

需要注意，如果某些程序需要在 /tmp 执行脚本，可能会受到影响，应根据业务环境测试后再应用。

四、系统更新与安全补丁

1. 更新软件包索引

sudo apt update

2. 升级已安装软件

sudo apt upgrade -y

如需完整升级依赖关系：

sudo apt full-upgrade -y

3. 安装安全更新工具

Debian 可以使用 unattended-upgrades 自动安装安全更新：

sudo apt install unattended-upgrades apt-listchanges -y

启用自动更新：

sudo dpkg-reconfigure unattended-upgrades

也可以检查配置文件：

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

建议至少启用安全更新源。对于生产环境，自动更新需要谨慎配置，最好先在测试环境验证，避免更新引起服务异常。

4. 清理无用软件包

sudo apt autoremove --purge -y
sudo apt autoclean

无用软件越少，潜在漏洞越少。

五、账户与权限安全加固

1. 禁止直接使用 root 登录

生产服务器不建议直接使用 root 账户远程登录。应创建普通用户，再通过 sudo 执行管理任务。

创建用户：

sudo adduser adminuser

加入 sudo 组：

sudo usermod -aG sudo adminuser

验证：

su - adminuser
sudo whoami

如果输出为：

root

说明 sudo 权限配置成功。

2. 设置强密码策略

安装密码质量检测模块：

sudo apt install libpam-pwquality -y

编辑配置：

sudo nano /etc/security/pwquality.conf

建议配置：

minlen = 12
dcredit = -1
ucredit = -1
lcredit = -1
ocredit = -1
retry = 3

含义：

• 密码长度至少 12 位；
• 至少包含数字；
• 至少包含大写字母；
• 至少包含小写字母；
• 至少包含特殊字符；
• 最多重试 3 次。

3. 设置密码过期策略

编辑登录策略：

sudo nano /etc/login.defs

建议配置：

PASS_MAX_DAYS   90
PASS_MIN_DAYS   1
PASS_WARN_AGE   7

查看用户密码状态：

sudo chage -l adminuser

修改指定用户策略：

sudo chage -M 90 -m 1 -W 7 adminuser

4. 锁定无用账户

查看系统用户：

cat /etc/passwd

锁定不需要登录的账户：

sudo usermod -L username

将系统账户 shell 设置为不可登录：

sudo usermod -s /usr/sbin/nologin username

六、SSH 安全加固

SSH 是服务器最常见的远程管理入口，也是攻击者重点扫描的目标。

1. 使用密钥登录

在本地生成密钥：

ssh-keygen -t ed25519 -C "admin@example.com"

上传公钥到服务器：

ssh-copy-id adminuser@server_ip

确认密钥登录成功后，再禁用密码登录。

2. 修改 SSH 配置

编辑配置文件：

sudo nano /etc/ssh/sshd_config

建议配置如下：

Port 22222
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
PermitEmptyPasswords no
X11Forwarding no
MaxAuthTries 3
LoginGraceTime 30
ClientAliveInterval 300
ClientAliveCountMax 2
AllowUsers adminuser

说明：

• Port 22222：修改默认端口，降低自动扫描噪声；
• PermitRootLogin no：禁止 root 登录；
• PasswordAuthentication no：禁用密码登录；
• AllowUsers adminuser：只允许指定用户登录；
• MaxAuthTries 3：限制认证尝试次数。

检查配置是否正确：

sudo sshd -t

重启 SSH：

sudo systemctl restart ssh

注意：修改 SSH 前，应保持一个已登录终端不要关闭，确认新配置可正常登录后再退出，避免把自己锁在服务器外。

3. 使用 Fail2ban 防暴力破解

安装：

sudo apt install fail2ban -y

创建本地配置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

配置 SSH 保护：

[sshd]
enabled = true
port = 22222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

启动并设置开机自启：

sudo systemctl enable --now fail2ban

查看状态：

sudo fail2ban-client status sshd

七、防火墙与网络访问控制

Debian 中常用防火墙方案包括 nftables、ufw 和云厂商安全组。生产环境建议同时配置主机防火墙和云安全组。

1. 使用 UFW 简化防火墙管理

安装：

sudo apt install ufw -y

默认拒绝入站：

sudo ufw default deny incoming
sudo ufw default allow outgoing

允许 SSH 新端口：

sudo ufw allow 22222/tcp

允许 Web 服务：

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

启用防火墙：

sudo ufw enable

查看状态：

sudo ufw status verbose

2. 使用 nftables

如果需要更底层、更灵活的规则，可使用 nftables。

安装：

sudo apt install nftables -y

启用：

sudo systemctl enable --now nftables

示例规则：

sudo nano /etc/nftables.conf

内容示例：

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0;
        policy drop;

        iif lo accept
        ct state established,related accept

        tcp dport 22222 accept
        tcp dport {80, 443} accept

        ip protocol icmp accept
        ip6 nexthdr ipv6-icmp accept

        counter drop
    }

    chain forward {
        type filter hook forward priority 0;
        policy drop;
    }

    chain output {
        type filter hook output priority 0;
        policy accept;
    }
}

加载规则：

sudo nft -f /etc/nftables.conf

八、关闭不必要服务与端口

1. 查看监听端口

sudo ss -tulnp

或：

sudo lsof -i -P -n

2. 查看开机自启服务

systemctl list-unit-files --type=service --state=enabled

3. 禁用无用服务

例如：

sudo systemctl disable --now service_name

如果不需要某个软件，建议直接卸载：

sudo apt purge package_name -y

安全加固的一个重要思路是：不安装、不运行、不暴露，就不会被利用。

九、内核与系统安全参数加固

可以通过 sysctl 调整内核安全参数。

编辑配置：

sudo nano /etc/sysctl.d/99-security.conf

推荐配置：

# 禁止 IP 转发，除非服务器作为路由器使用
net.ipv4.ip_forward = 0

# 启用 SYN Cookie，缓解 SYN Flood
net.ipv4.tcp_syncookies = 1

# 禁止 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

# 禁止发送 ICMP 重定向
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 禁止源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# 忽略广播 ping
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 启用反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 限制 ptrace
kernel.yama.ptrace_scope = 1

# 禁止普通用户查看 dmesg
kernel.dmesg_restrict = 1

# 限制内核指针泄露
kernel.kptr_restrict = 2

应用配置：

sudo sysctl --system

十、文件权限与关键目录保护

1. 检查 SUID/SGID 文件

SUID 文件一旦存在漏洞，可能被用于权限提升。

sudo find / -perm -4000 -type f 2>/dev/null
sudo find / -perm -2000 -type f 2>/dev/null

对于不必要的 SUID 程序，可以移除 SUID 位：

sudo chmod u-s /path/to/file

但修改前必须确认不会影响系统功能。

2. 查找全局可写文件

sudo find / -xdev -type f -perm -0002 2>/dev/null

查找全局可写目录：

sudo find / -xdev -type d -perm -0002 2>/dev/null

常见如 /tmp 属于正常情况，但业务目录不应随意设置为 777。

3. 保护关键配置文件

设置 /etc/passwd、/etc/shadow 权限：

sudo chmod 644 /etc/passwd
sudo chmod 640 /etc/shadow
sudo chown root:shadow /etc/shadow

检查：

ls -l /etc/passwd /etc/shadow

十一、日志审计与入侵检测

1. 使用 journalctl 查看日志

查看系统日志：

journalctl

查看 SSH 登录日志：

journalctl -u ssh

查看最近失败登录：

sudo lastb

查看成功登录：

last

2. 安装 auditd

auditd 可用于记录关键系统调用和敏感文件访问。

sudo apt install auditd audispd-plugins -y
sudo systemctl enable --now auditd

添加审计规则：

sudo nano /etc/audit/rules.d/hardening.rules

示例：

-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
-w /etc/ssh/sshd_config -p wa -k sshd_config_changes

加载规则：

sudo augenrules --load

查询审计日志：

sudo ausearch -k sshd_config_changes

3. 安装 AIDE 文件完整性检测

AIDE 可以建立文件基线，用于发现系统文件是否被篡改。

sudo apt install aide -y
sudo aideinit

初始化后，将数据库复制到正式路径：

sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

执行检查：

sudo aide --check

十二、恶意软件与 Rootkit 检测

1. 安装 rkhunter

sudo apt install rkhunter -y

更新数据库：

sudo rkhunter --update

执行检查：

sudo rkhunter --check

2. 安装 chkrootkit

sudo apt install chkrootkit -y

执行扫描：

sudo chkrootkit

需要注意，Rootkit 检测工具并不能保证 100% 发现入侵，只能作为辅助检测手段。真正可靠的安全策略仍然是最小化暴露、及时更新、日志审计和备份恢复。

十三、AppArmor 强制访问控制

Debian 默认支持 AppArmor。它可以限制进程能够访问的文件、网络和系统资源，即使进程被攻击，也能降低危害范围。

1. 安装 AppArmor 工具

sudo apt install apparmor apparmor-utils -y

查看状态：

sudo aa-status

2. 启用配置文件

将配置设置为强制模式：

sudo aa-enforce /etc/apparmor.d/*

如果某些服务出现异常，可以先使用 complain 模式观察：

sudo aa-complain /etc/apparmor.d/profile_name

AppArmor 的配置需要结合实际服务逐步调优，不建议在未测试环境中一次性强制所有策略。

十四、Web 服务安全建议

如果 Debian 服务器用于部署网站，还应对 Nginx、Apache、PHP、Node.js 等进行单独加固。

1. 隐藏版本信息

以 Nginx 为例：

sudo nano /etc/nginx/nginx.conf

添加：

server_tokens off;

测试并重载：

sudo nginx -t
sudo systemctl reload nginx

2. 启用 HTTPS

建议使用 Let’s Encrypt 免费证书：

sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx

3. 配置安全响应头

Nginx 示例：

add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

4. 限制上传目录执行权限

如果网站允许上传文件，应确保上传目录不能执行脚本。例如 PHP 站点应禁止上传目录解析 PHP 文件。

十五、数据库安全加固

数据库是服务器中最敏感的资产之一。

1. 禁止数据库公网暴露

MySQL/MariaDB/PostgreSQL 默认应只监听本地地址或内网地址。

检查端口：

sudo ss -tulnp | grep -E '3306|5432'

如果没有必要，不要将 3306、5432 暴露到公网。

2. 使用强密码与最小权限账号

不要让业务系统使用数据库 root 用户连接。应为每个业务创建独立数据库用户，并只授予必要权限。

MySQL 示例：

CREATE USER 'appuser'@'localhost' IDENTIFIED BY 'StrongPasswordHere!';
GRANT SELECT, INSERT, UPDATE, DELETE ON appdb.* TO 'appuser'@'localhost';
FLUSH PRIVILEGES;

3. 定期备份数据库

备份应加密、异地保存，并定期进行恢复演练。没有经过恢复验证的备份，不能视为可靠备份。

十六、容器与 Docker 安全加固

如果 Debian 作为 Docker 宿主机，需要额外关注容器安全。

1. 不要使用特权容器

避免使用：

--privileged

除非确实有充分理由。

2. 限制容器权限

可以使用：

--cap-drop ALL

再按需添加能力：

--cap-add NET_BIND_SERVICE

3. 避免挂载敏感目录

不要随意挂载：

/
 /etc
 /var/run/docker.sock

尤其是 /var/run/docker.sock，一旦容器获得该套接字访问权限，通常等价于获得宿主机 root 控制能力。

4. 使用非 root 用户运行容器

Dockerfile 中建议添加：

RUN useradd -r -s /usr/sbin/nologin appuser
USER appuser

十七、备份与灾难恢复

安全加固不能只防攻击，也要考虑攻击成功后的恢复能力。勒索软件、误删除、磁盘损坏、配置错误都可能造成严重影响。

1. 遵循 3-2-1 备份原则

• 至少保留 3 份数据；
• 使用 2 种不同存储介质；
• 至少 1 份异地备份。

2. 备份内容

建议备份：

/etc
/home
/var/www
/var/lib/mysql 或 /var/lib/postgresql
应用配置文件
SSL 证书
定时任务
防火墙规则

3. 加密备份

可使用 restic、borgbackup、rsync + gpg 等方案。备份文件如果不加密，一旦备份仓库泄露，也会造成严重数据泄露。

十八、安全巡检清单

以下清单可用于日常检查：

[ ] 系统是否已安装最新安全补丁
[ ] SSH 是否禁用 root 登录
[ ] SSH 是否禁用密码登录
[ ] 防火墙是否默认拒绝入站
[ ] 是否只开放必要端口
[ ] 是否存在无用账户
[ ] 是否存在弱密码或长期未修改密码
[ ] 是否存在不必要的 SUID 文件
[ ] 是否有全局 777 权限目录
[ ] 日志是否正常记录
[ ] Fail2ban 是否正常运行
[ ] auditd 是否启用
[ ] AppArmor 是否启用
[ ] Web 服务是否隐藏版本信息
[ ] 数据库是否暴露公网
[ ] 备份是否成功完成
[ ] 是否进行过恢复演练

十九、推荐的一键基础加固流程

对于新部署的 Debian 服务器，可以按以下顺序执行基础加固：

sudo apt update && sudo apt upgrade -y
sudo apt install sudo ufw fail2ban unattended-upgrades auditd apparmor apparmor-utils -y
sudo adduser adminuser
sudo usermod -aG sudo adminuser
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

然后再配置：

1. SSH 密钥登录；
2. 禁止 root 登录；
3. 禁止密码登录；
4. 配置 Fail2ban；
5. 调整 sysctl 内核参数；
6. 启用日志审计；
7. 配置自动安全更新；
8. 做好备份与恢复验证。

需要强调的是，一键脚本虽然方便，但生产环境更推荐逐项加固、逐项验证，避免错误配置影响业务。

二十、结语

Debian 安全加固是一项系统工程，不是简单修改几个配置文件就能完成。真正可靠的安全方案，应覆盖系统更新、账户权限、SSH 防护、防火墙、服务最小化、内核参数、日志审计、文件完整性检测、应用安全、数据库安全、容器安全和备份恢复等多个层面。

对于 2026 年的服务器安全环境而言，攻击自动化程度更高，漏洞利用速度更快，暴露在公网的服务会持续遭受扫描和撞库。因此，管理员需要把安全加固视为长期工作，而不是上线前的一次性任务。

一个合格的 Debian 安全体系，至少应做到：

• 系统及时更新；
• 登录入口严格受控；
• 端口最小化开放；
• 服务按需运行；
• 权限严格分离；
• 日志完整可查；
• 异常能够告警；
• 数据可以恢复。

只有把预防、检测、响应和恢复结合起来，才能真正提升 Debian 服务器的安全防护能力。