Ubuntu Server 安全加固指南

Ubuntu Server 24.04 LTS（Noble Numbat）系列在默认安装时已实现相当程度的“最小化攻击面”设计：纯命令行、无不必要图形栈、默认启用AppArmor、UFW防火墙框架预装、systemd-journald日志机制等。这些特性构成了现代Linux发行版的安全基线，但互联网暴露的生产环境仍需进一步纵深防御（defense in depth），以应对零日漏洞、供应链攻击、配置漂移和内部威胁。

加固的核心哲学是最小权限原则（Principle of Least Privilege）、可审计性与自动化一致性。Canonical官方强烈推荐以CIS Benchmarks（Center for Internet Security）作为参考框架，该基准分为Level 1（平衡安全与可用性）和Level 2（极致安全，可能牺牲部分性能/兼容性）。Ubuntu 24.04 LTS已全面支持通过Ubuntu Security Guide (USG) 工具自动化应用和审计这些基准。

1. 安全模型与分层防御框架

现代Ubuntu Server安全架构可分为以下层次：

• 内核层：LSM（Linux Security Modules）框架下运行AppArmor（Ubuntu默认），提供强制访问控制（MAC）。内核参数（sysctl）控制网络栈、指针泄露、用户命名空间等。
• 用户与认证层：PAM（Pluggable Authentication Modules）框架 + SSHD + sudoers细粒度控制。
• 网络层：nftables后端（UFW前端简化）、TCP/IP栈参数硬化。
• 文件系统与进程层：权限模型（chmod/chown）、immutable属性、auditd系统调用审计。
• 日志与监控层：journald持久化 + auditd + 入侵检测（fail2ban / crowdsec）。
• 合规自动化层：USG + OpenSCAP后端，实现CIS / DISA-STIG基准的自动化fix与audit。

2. 基础安全原则与默认强化点

• 及时补丁管理：Ubuntu采用分层安全更新模型。Main仓库5年免费，Pro订阅扩展至10年ESM（Extended Security Maintenance）+ Livepatch（内核热补丁，无需重启修复高危漏洞）。无人值守更新（unattended-upgrades）默认聚焦security源，极大缩小暴露窗口。
• 最小安装：Server镜像默认不含X11、浏览器、办公套件，仅核心服务（如openssh-server可选）。这天然减少了软件供应链攻击面。
• 强制MAC（Mandatory Access Control）：AppArmor在enforce模式下限制进程文件、网络、能力等访问路径。相比SELinux，AppArmor采用路径-based而非标签-based策略，更易维护且对大多数服务已有成熟profile。

3. 关键内核与网络硬化（sysctl层面）

内核参数调整是防御网络攻击（如SYN洪水、IP spoofing）和信息泄露的最直接手段。主要目标：

• 防止指针与符号泄露（kptr_restrict、dmesg_restrict）
• 启用源地址验证与反向路径过滤（rp_filter）
• SYN cookies防御洪水攻击
• 禁用不必要功能（如IP转发、IPv6若未使用）
• 限制ptrace与用户命名空间（容器逃逸常见向量）

典型生产配置示例（写入/etc/sysctl.d/99-hardening.conf）：

• net.ipv4.tcp_syncookies = 1
• net.ipv4.conf.all.rp_filter = 1
• kernel.kptr_restrict = 2
• kernel.dmesg_restrict = 1
• kernel.unprivileged_userns_clone = 0（24.04默认已限制）
• net.ipv4.ip_forward = 0
• fs.protected_hardlinks = 1 / fs.protected_symlinks = 1

这些参数在CIS Level 1中几乎全部覆盖，Level 2进一步收紧日志与模块加载。

4. 认证与访问控制深化

• 根用户禁用远程登录：PermitRootLogin no（甚至prohibit-password），强制走普通sudo用户路径。
• SSH协议现代化：强制PubkeyAuthentication，禁用PasswordAuthentication，限制PubkeyAcceptedAlgorithms仅保留ed25519、ecdsa-nistp521等现代曲线。MaxAuthTries 3–4 + LoginGraceTime 20–30秒显著降低暴力破解效率。
• sudo细粒度与NOPASSWD控制：通过/etc/sudoers.d/文件实现命令白名单、主机限制、需要密码验证等，避免全sudo权限滥用。

5. 日志与审计机制

• auditd：记录系统调用级事件（如execve、open、chmod），是取证与合规核心。典型规则覆盖身份文件（/etc/passwd、/etc/shadow）、可执行文件启动、文件属性变更。
• journald持久化：默认volatile存储，重启丢失；启用persistent模式（/var/log/journal）结合SystemMaxUse限制占用。
• AppArmor日志：/var/log/syslog或audit.log中记录拒绝事件，便于profile调优（complain模式先观察，再enforce）。

6. 自动化合规路径：Ubuntu Security Guide (USG)

USG是Canonical官方工具，基于OpenSCAP后端，实现CIS基准的自动化审计与修复（remediation）。Ubuntu Pro免费个人≤5台、企业订阅。

核心命令：

• 启用：sudo pro enable usg
• 审计：sudo usg audit cis_level1_server
• 修复：sudo usg fix cis_level1_server（生产环境建议先测试/快照）
• 生成报告：sudo usg generate-report cis_level1_server

Level 1覆盖文件权限、网络参数、日志、SSH、服务禁用等约200+项；Level 2增加更严格审计、加密强制等，但可能导致兼容性问题（如某些容器工具依赖unprivileged namespace）。

7. 入侵检测与响应补充

• nftables / UFW：默认deny incoming + 显式allow，结合connlimit、recent模块限速。
• 动态封禁：fail2ban（日志正则匹配）或CrowdSec（社区威胁情报共享、更智能 bouncer 到nftables/cloud API）。
• 文件完整性：AIDE或debsums定期校验系统包完整性。

8. 加固权衡与验证

加固总伴随权衡：

• 禁用unprivileged_userns_clone → 部分Podman/Docker rootless模式失效
• 严格AppArmor → 需要自定义profile调试
• 高审计级别 → 日志爆炸、磁盘压力

验证路径：

• USG audit报告通过率
• Lynis扫描（lynis audit system）
• OpenSCAP手动评估
• 定期渗透测试 / 红队演练

在2026年，Canonical持续推进Ubuntu Pro生态：CIS自动化、DISA-STIG profile、FIPS 140-3模块验证等，使Ubuntu Server成为云原生与合规环境中的首选基石。通过USG + CIS Level 1起步，大多数生产系统可快速达到行业基准安全水准，同时保留可运维性。