发布时间:2026/7/10 5:01:17
Ubuntu服务器防攻击+防病毒手册
Ubuntu服务器防攻击防病毒手册本文是一套完整的Ubuntu服务器安全防护方案构建了系统、网络、杀毒、监控、运维全方位防护体系。通过系统补丁自动更新、账号权限及SSH加固、内核参数优化夯实系统底层安全。依托UFW防火墙、Fail2Ban拦截暴力破解筑牢网络边界防线。搭配ClamAV杀毒、Rootkit检测工具查杀病毒木马与后门。同时启用AppArmor权限管控、auditd日志审计实时监控服务器异常行为。配套自动化巡检、定时备份与入侵应急流程形成常态化安全运维机制可有效抵御爆破、漏洞利用、病毒入侵等各类服务器攻击。总览分层防护体系系统基础加固打补丁、账号、SSH、内核参数网络边界防护UFW 防火墙 Fail2Ban 防暴力破解病毒 / 木马 / 后门查杀ClamAV 杀毒 Rootkit 检测进程强制访问控制AppArmor日志审计、入侵监控、自动告警定期巡检、备份、应急处置前置说明火绒无免费 Linux 个人版Ubuntu 服务器杀毒统一使用开源免费 ClamAV企业商用可采购火绒 Linux 企业终端。一、第一道防线系统底层加固防漏洞入侵1. 杜绝漏洞利用攻击自动安全更新sudoaptupdatesudoaptinstall-yunattended-upgrades# 启用自动安全补丁更新sudodpkg-reconfigure-plowunattended-upgrades# 选择 Yes 开启自动更新# 查看更新配置cat/etc/apt/apt.conf.d/50unattended-upgrades# 查看更新日志tail-f/var/log/unattended-upgrades/unattended-upgrades.log2. 防止暴力登录、提权账号权限加固1新建普通 sudo 用户禁止 root 远程登录# 创建登录用户替换deploy为你的用户名sudoadduser deploy# 赋予sudo权限sudousermod-aGsudodeploy2清理危险账号# 查看空密码账号awk-F:($2){print $1}/etc/shadow# 删除无用测试账号sudouserdel-rtest# 锁定长期不用账号sudousermod-Lolduser3强制高强度密码策略sudoaptinstalllibpam-cracklibsudonano/etc/pam.d/common-password# 修改此行开启复杂度校验password required pam_cracklib.soretry3minlen10difok3dcredit-1ucredit-1lcredit-1ocredit-1参数说明10 位密码必须包含大小写、数字、特殊符号3 次输错锁定。3. 抵御 90% 扫描爆破SSH 全维度加固sudonano/etc/ssh/sshd_config# 修改/新增以下配置Port36742# 修改高位端口10000-65535云安全组同步放行PermitRootLogin no# 禁止root远程登录PasswordAuthentication no# 关闭密码登录仅允许密钥PubkeyAuthenticationyesMaxAuthTries3# 最多3次认证失败AllowUsers deploy# 仅允许deploy用户登录X11Forwarding no# 关闭X11转发减少攻击面PermitEmptyPasswords no# 重启ssh服务sudosystemctl restartssh操作提醒先放行新端口防火墙再重启 ssh避免锁服务器4. 内核安全参数 (sysctl) 防溢出、CC 攻击sudonano/etc/sysctl.conf# 复制全部配置# 1. 防SYN洪水、CC攻击net.ipv4.tcp_syncookies1net.ipv4.tcp_fin_timeout30net.ipv4.tcp_tw_reuse1net.ipv4.tcp_max_syn_backlog2048# 2. 禁止IP转发非网关服务器net.ipv4.ip_forward0# 3. 防止地址欺骗net.ipv4.conf.all.rp_filter1net.ipv4.conf.default.rp_filter1# 4. 关闭ICMP重定向net.ipv4.conf.all.send_redirects0net.ipv4.conf.default.send_redirects0# 5. 限制核心内存防护抵御内核提权kernel.randomize_va_space2# 生效配置sudosysctl-p5. 卸载无用服务缩小攻击面# 查看开机自启服务systemctl list-unit-files--typeservice--stateenabled# 关闭无用服务示例sudosystemctl disable--nowavahi-daemon cups rpcbind# 删除不必要软件sudoaptremove-ytelnet rsh xinetd vsftpdsudoaptautoremove-y二、网络防护UFW 防火墙 Fail2Ban 自动封禁1. 默认拒绝所有入站最小开放端口UFW 防火墙# 安装防火墙sudoaptinstallufw# 默认策略入站全部拒绝出站全部允许sudoufw default deny incomingsudoufw default allow outgoing# 放行SSH自定义端口替换36742为你ssh端口sudoufw allow36742/tcp# 放行Web服务sudoufw allow80/tcpsudoufw allow443/tcp# 数据库仅允许内网IP访问示例MySQLsudoufw allow from192.168.1.0/24 to any port3306# 启用防火墙sudoufwenable# 查看规则sudoufw status verbose2. Fail2Ban 自动拦截暴力破解 - SSH/Nginx/MySQL安装sudoaptinstallfail2ban推荐全局模板配置# 新建本地配置不修改默认jail.confsudocp/etc/fail2ban/jail.conf /etc/fail2ban/jail.localsudonano/etc/fail2ban/jail.local核心配置[DEFAULT] # 白名单本地/内网避免误封 ignoreip 127.0.0.1/8 ::1 192.168.1.0/24 banaction ufw # 封禁动作封禁邮件告警 action %(action_mwl)s # 10分钟内失败3次封禁12小时 findtime 600 maxretry 3 bantime 43200 # SSH防护 [sshd] enabled true port 36742 logpath /var/log/auth.log filter sshd # Nginx网站爆破防护可选 [nginx-http-auth] enabled true filter nginx-http-auth logpath /var/log/nginx/error.log启动与常用命令sudosystemctlenable--nowfail2ban# 查看封禁列表sudofail2ban-client status sshd# 手动解封IPsudofail2ban-clientsetsshd unbanip1.2.3.4# 查看攻击IPTOP10grepFailed password/var/log/auth.log|awk{print $11}|sort|uniq-c|sort-rn|head-10三、核心杀毒模块防病毒、木马、Rootkit方案 1ClamAV 开源免费杀毒生产首选完整安装sudoaptupdatesudoaptinstall-yclamav clamav-daemon clamav-freshclam# 停止更新服务初始化病毒库sudosystemctl stop clamav-freshclamsudofreshclam# 开机自启sudosystemctlenable--nowclamav-freshclamsudosystemctlenable--nowclamav-daemon扫描命令# 全盘递归扫描删除病毒sudoclamscan-r--remove/# 仅扫描网站目录输出日志sudoclamscan-r/var/www/html-l/var/log/clamav/www_scan.log# 实时守护扫描文件写入自动检测clamdscan /home定时自动扫描 邮件告警新建扫描脚本/root/clam_scan.sh#!/bin/bashSCAN_LOG/var/log/clamav/daily_scan.logDATE$(date%Y-%m-%d)# 更新病毒库freshclam$SCAN_LOG# 全盘扫描clamscan-r/--remove$SCAN_LOG# 检测病毒数量INFECT$(grep-iInfected files: [1-9]$SCAN_LOG)if[-n$INFECT];thenecho$DATE服务器检测到恶意文件请立即处理|mail-s服务器病毒告警yourshturl.fi授权并加入定时任务sudochmodx /root/clam_scan.sh# 每天凌晨3点自动扫描sudocrontab-e03* * * /root/clam_scan.sh方案 2查杀挖矿木马、提权后门Rootkit 后门检测# 工具1 chkrootkitsudoaptinstallchkrootkitsudochkrootkit# 工具2 rkhuntersudoaptinstallrkhuntersudorkhunter--updatesudorkhunter--check方案 3付费商用杀毒备选Sophos Linux AntiVirus免费单节点企业杀毒火绒企业 Linux 终端付费需部署火绒控制中心支持统一管控四、防程序漏洞提权进程强制访问控制 AppArmorUbuntu 默认预装限制进程权限即使网站被入侵也无法篡改系统文件# 查看状态sudoaa-status# 启用强制模式生产推荐sudoaa-enforce /etc/apparmor.d/usr.sbin.nginx# 查看日志dmesg|grepapparmor常用配置文件路径/etc/apparmor.d/五、发现异常攻击行为日志审计与入侵监控1. 完整日志留存sudoaptinstallauditdsudosystemctlenable--nowauditd# 监控关键目录篡改/etc /root /var/wwwsudoauditctl-w/etc-prwxa-ketc_changesudoauditctl-w/root-prwxa-kroot_modify# 查看审计日志ausearch-ketc_change-tstoday2. 关键安全日志查看命令# 登录记录成功/失败lastgrepFailed password/var/log/auth.log# 防火墙拦截日志grepUFW /var/log/syslog# Nginx访问攻击日志grep-i403/var/log/nginx/access.log# ClamAV病毒日志tail-f/var/log/clamav/clamd.log六、长效防护配套安全运维规范1. 勒索病毒兜底数据备份系统 数据库每日定时异地备份备份文件设置只读权限避免病毒加密2. 一键自查定期安全巡检脚本#!/bin/bashechoUbuntu安全巡检报告echo1. SSH配置grep-E^(PermitRootLogin|PasswordAuthentication|Port)/etc/ssh/sshd_configecho-en2. 防火墙开放端口sudoufw statusecho-en3. Fail2Ban封禁IPsudofail2ban-client status sshdecho-en4. 近期暴力破解TOP10grepFailed password/var/log/auth.log2/dev/null|awk{print $11}|sort|uniq-c|sort-rn|head-10echo-en5. Rootkit检测结果chkrootkit|grepINFECTEDecho-en6. 病毒库版本clamdscan--version3. 服务器被入侵应急处置流程防火墙临时阻断所有入站sudo ufw default deny incoming全盘 ClamAVRkhunter 查杀查看审计日志溯源攻击 IP 与操作重置所有账号密码、更换 SSH 密钥清理定时任务恶意脚本crontab -l、/etc/cron.*修复漏洞升级系统内核七、新服务器上线标准流程完整安全加固执行顺序创建普通 sudo 用户禁用 root 远程登录修改 SSH 端口关闭密码登录上传密钥认证安装 UFW 防火墙仅开放必要端口安装 Fail2Ban配置 SSH / 网站防爆破开启自动系统安全更新 unattended-upgrades配置 sysctl 内核防攻击参数安装 ClamAV 杀毒配置每日全盘扫描安装 chkrootkit/rkhunter 后门检测启用 auditd 审计日志 AppArmor 强制访问控制配置定时备份、每周安全巡检

相关新闻

3款 .NET Core Web API 生成方案对比:Instant WEB API vs 手动编码 vs Minimal APIs
2026/7/10 5:01:17

3款 .NET Core Web API 生成方案对比:Instant WEB API vs 手动编码 vs Minimal APIs

.NET Core Web API 开发方案深度对比:自动化工具 vs 传统编码 vs 极简模式当团队启动新的API项目时,技术选型往往成为第一个关键决策点。面对.NET生态中涌现的多种API开发范式,如何选择最高效的方案?本文将深入剖析三种主流实现方…

阅读更多
技术沙龙|智源/TileRT/腾讯/华为/智元创新集结北京,聚焦 AI 编译多层级优化实践
2026/7/10 5:01:17

技术沙龙|智源/TileRT/腾讯/华为/智元创新集结北京,聚焦 AI 编译多层级优化实践

8 月 1 日,Meet AI Compiler 技术沙龙第九期将在北京再度启航!本期我们邀请到了来自智源研究院、TileRT 团队、腾讯、华为昇腾、智元创新的多位专家,他们将围绕 FlagTree 语言扩展、TileRT 超低延迟推理、FalconGEMM 算子优化、AscendNPU IR …

阅读更多
Logstash 8.12.2 CentOS 7 手动安装实战:从卡死到首个 stdin→stdout 管道
2026/7/10 4:01:17

Logstash 8.12.2 CentOS 7 手动安装实战:从卡死到首个 stdin→stdout 管道

1. 这不是又一篇“点开就关”的Logstash安装教程——它解决的是你真正卡住的那5分钟你搜“Logstash安装”,页面刷出二十个标题雷同的教程:下载、解压、改配置、启动。可当你真在CentOS 7上敲下./logstash -f test.conf,终端卡住不动&#xff…

阅读更多
TC78H651AFNG与PIC18LF4682的直流电机驱动方案
2026/7/10 5:01:17

TC78H651AFNG与PIC18LF4682的直流电机驱动方案

1. 项目背景与核心器件选型在工业自动化和消费电子领域,直流有刷电机因其结构简单、控制方便、成本低廉等优势,依然保持着广泛的应用场景。TC78H651AFNG作为东芝(Toshiba)推出的H桥驱动器IC,与Microchip的PIC18LF4682微控制器组合&#xff0c…

阅读更多
SP_Flash_Tool v5.2316 隐藏功能实战:3种分区读写与回读操作详解
2026/7/10 5:01:17

SP_Flash_Tool v5.2316 隐藏功能实战:3种分区读写与回读操作详解

SP_Flash_Tool v5.2316 隐藏功能实战:分区读写与回读操作深度解析当你的MTK设备遭遇系统崩溃、分区损坏或需要深度定制时,常规的刷机操作往往力不从心。SP_Flash_Tool作为联发科平台的底层刷机工具,其隐藏的格式化、回读、写内存三大功能&…

阅读更多
Ubuntu服务器防攻击+防病毒手册
2026/7/10 5:01:17

Ubuntu服务器防攻击+防病毒手册

Ubuntu服务器防攻击防病毒手册 本文是一套完整的Ubuntu服务器安全防护方案,构建了系统、网络、杀毒、监控、运维全方位防护体系。通过系统补丁自动更新、账号权限及SSH加固、内核参数优化,夯实系统底层安全。依托UFW防火墙、Fail2Ban拦截暴力破解&#x…

阅读更多
3款 .NET Core Web API 生成方案对比:Instant WEB API vs 手动编码 vs Minimal APIs
2026/7/10 5:01:17

3款 .NET Core Web API 生成方案对比:Instant WEB API vs 手动编码 vs Minimal APIs

.NET Core Web API 开发方案深度对比:自动化工具 vs 传统编码 vs 极简模式当团队启动新的API项目时,技术选型往往成为第一个关键决策点。面对.NET生态中涌现的多种API开发范式,如何选择最高效的方案?本文将深入剖析三种主流实现方…

阅读更多
技术沙龙|智源/TileRT/腾讯/华为/智元创新集结北京,聚焦 AI 编译多层级优化实践
2026/7/10 5:01:17

技术沙龙|智源/TileRT/腾讯/华为/智元创新集结北京,聚焦 AI 编译多层级优化实践

8 月 1 日,Meet AI Compiler 技术沙龙第九期将在北京再度启航!本期我们邀请到了来自智源研究院、TileRT 团队、腾讯、华为昇腾、智元创新的多位专家,他们将围绕 FlagTree 语言扩展、TileRT 超低延迟推理、FalconGEMM 算子优化、AscendNPU IR …

阅读更多
Logstash 8.12.2 CentOS 7 手动安装实战:从卡死到首个 stdin→stdout 管道
2026/7/10 4:01:17

Logstash 8.12.2 CentOS 7 手动安装实战:从卡死到首个 stdin→stdout 管道

1. 这不是又一篇“点开就关”的Logstash安装教程——它解决的是你真正卡住的那5分钟你搜“Logstash安装”,页面刷出二十个标题雷同的教程:下载、解压、改配置、启动。可当你真在CentOS 7上敲下./logstash -f test.conf,终端卡住不动&#xff…

阅读更多
通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御
2026/7/9 20:12:34

通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

1. 项目概述与漏洞背景最近在梳理一些历史OA系统的安全风险时,通达OA v11.6版本中的一个老漏洞又进入了我的视线。这个漏洞位于/general/bi_design/appcenter/report_bi.func.php文件中,是一个典型的SQL注入点。虽然这个漏洞的利用方式看起来并不复杂&am…

阅读更多
3步彻底解决Windows右键菜单混乱问题:ContextMenuManager使用全攻略
2026/7/9 0:51:16

3步彻底解决Windows右键菜单混乱问题:ContextMenuManager使用全攻略

3步彻底解决Windows右键菜单混乱问题:ContextMenuManager使用全攻略 【免费下载链接】ContextMenuManager 🖱️ 纯粹的Windows右键菜单管理程序 项目地址: https://gitcode.com/gh_mirrors/co/ContextMenuManager 你是否曾为Windows右键菜单中那些…

阅读更多
GXDE OS下Wayland兼容性实战:从deepin-mutter原理到VMware Tools修复
2026/7/8 22:48:04

GXDE OS下Wayland兼容性实战:从deepin-mutter原理到VMware Tools修复

如果你正在用 GXDE OS 或者任何基于 Deepin 的发行版,并且遇到了“检测到窗口系统采用 Wayland 协议,程序即将退出”这类弹窗,或者发现 VMware Tools 在 Ubuntu 24.04 这类默认 Wayland 的系统上启动失败,那这篇文章就是为你准备的…

阅读更多
Hive 倾斜 Join 实战:大表关联小表为什么也会慢
2026/7/10 0:01:17

Hive 倾斜 Join 实战:大表关联小表为什么也会慢

Hive 倾斜 Join 实战:大表关联小表为什么也会慢 一、一个反直觉的性能问题 "这不可能!小表才 5 万行,大表 5 亿行,Join 一下怎么会跑两个小时?" 上个月同事小王盯着 Yarn 上快跑炸的 MapReduce 任务&#xf…

阅读更多
无需安装 Office,用 Python 轻松替换 Excel 数据
2026/7/10 0:01:17

无需安装 Office,用 Python 轻松替换 Excel 数据

核心对象模型 库的核心操作围绕两个对象展开: Workbook:代表整个 Excel 工作簿,负责文件的加载与保存 Worksheet:代表单个工作表,提供单元格访问与查找替换能力 导入方式: from spire.xls import * from …

阅读更多
WindowResizer:终极免费窗口强制调整工具,轻松突破Windows尺寸限制
2026/7/10 0:01:17

WindowResizer:终极免费窗口强制调整工具,轻松突破Windows尺寸限制

WindowResizer:终极免费窗口强制调整工具,轻松突破Windows尺寸限制 【免费下载链接】WindowResizer 一个可以强制调整应用程序窗口大小的工具 项目地址: https://gitcode.com/gh_mirrors/wi/WindowResizer 还在为那些无法拖拽的"顽固窗口&qu…

阅读更多
基于Dify与DeepSeek构建私有知识库问答系统实战指南
2026/7/8 18:15:39

基于Dify与DeepSeek构建私有知识库问答系统实战指南

在业务中快速构建一个能理解私有文档、准确回答专业问题的智能助手,是很多开发团队面临的共同挑战。传统方案往往需要从零开始搭建复杂的 RAG(检索增强生成)系统,涉及文档解析、向量化、检索、大模型调用等多个环节,整…

阅读更多
FAE放射组学分析工具:医学影像特征探索的完整解决方案
2026/7/8 10:11:21

FAE放射组学分析工具:医学影像特征探索的完整解决方案

FAE放射组学分析工具:医学影像特征探索的完整解决方案 【免费下载链接】FAE FeAture Explorer 项目地址: https://gitcode.com/gh_mirrors/fae/FAE 你是否曾经面对海量医学影像数据感到无从下手?想要从CT、MRI等影像中提取有价值的定量特征&#…

阅读更多
DesktopNaotu:你的终极离线思维导图解决方案,告别网络依赖!
2026/7/9 3:17:42

DesktopNaotu:你的终极离线思维导图解决方案,告别网络依赖!

DesktopNaotu:你的终极离线思维导图解决方案,告别网络依赖! 【免费下载链接】DesktopNaotu 桌面版脑图 (百度脑图离线版,思维导图) 跨平台支持 Windows/Linux/Mac OS. (A cross-platform multilingual Mind Map Tool) 项目地址:…

阅读更多