Fail2ban、自动更新与审计
运维不是追求“绝对安全”,而是先把低成本、高收益的防护措施全部做上。
基线防护组合
graph LR
A[Fail2ban] --> B[阻断暴力破解]
C[自动安全更新] --> D[补已知漏洞]
E[审计日志] --> F[事后可追踪]
典型安装命令
sudo apt update
sudo apt install fail2ban unattended-upgrades
sudo systemctl enable fail2ban --now
sudo systemctl status fail2ban
这三件事各自解决什么
| 措施 | 主要作用 |
|---|---|
| Fail2ban | 限制暴力登录 |
| unattended-upgrades | 自动安装安全更新 |
| 审计日志 | 保留操作与访问记录 |
审计最小要求
- 记录谁在什么时候登录
- 记录 sudo 操作
- 记录服务重启、配置变更、失败日志
本节执行清单
- [ ] 启用 Fail2ban
- [ ] 启用安全更新
- [ ] 确认登录和 sudo 日志可追溯
下一章:Web 服务与反向代理——安全基线完成后,开始处理流量入口。