云服务器Ubuntu系统基线检测关键指标与步骤

在云服务器上部署Ubuntu系统时，基线检测是保障系统安全稳定的重要环节。它通过扫描系统配置、权限、网络等核心模块，精准定位不符合安全规范的项，帮助运维人员及时修复潜在风险，避免因配置疏漏引发数据泄露或服务中断。

关键指标：从配置到网络的三重防线

基线检测的核心是围绕系统安全的三大维度展开，每个维度都有需重点关注的细节。

系统配置类：账户与服务的"安全锁"

账户策略直接关系系统入口安全。实际运维中常见弱密码问题，建议强制密码复杂度（如8位以上，包含大小写+数字+特殊字符），并设置90天有效期。可通过`chage -l username`命令检查用户密码策略，若发现"密码过期警告天数"为0，需及时调整。
服务配置需遵循"最小化原则"：禁用Telnet等明文传输服务（数据易被截获），保留SSH服务但需强化配置——修改默认22端口（降低暴力破解概率），限制仅特定IP段访问（如`AllowUsers user@192.168.1.*`）。

文件系统类：敏感数据的"保护罩"

文件权限是防止数据泄露的关键。/etc/passwd（存储用户信息）和/etc/shadow（存储加密密码）需严格控制权限：前者应设置为644（所有用户可读，仅root可写），后者为600（仅root读写）。可通过`ls -l /etc/passwd`命令验证，若显示`-rw-r--r--`则符合要求。
系统日志（如/var/log/auth.log）需确保存在且权限正确（通常640）。日志不仅记录登录、操作等行为，更是故障排查和合规审计的重要依据，建议定期归档（可通过logrotate工具自动管理）。

网络安全类：流量入口的"过滤网"

防火墙（ufw）需仅开放必要端口。例如Web服务开放80（HTTP）、443（HTTPS），数据库服务开放3306（MySQL），其他端口默认关闭。可通过`ufw status`查看当前规则，若发现非必要端口（如23/Telnet）处于启用状态，需执行`ufw delete allow 23`关闭。
IP地址绑定需检查是否存在异常。通过`ip addr show`命令查看当前绑定的IP，若发现未授权的IP（如非分配的公网IP），需排查是否为非法接入或配置错误。

执行步骤：从准备到验证的全流程操作

基线检测需遵循标准化流程，确保每个环节可追溯、可验证。

准备阶段：信息收集与数据备份

检测前需收集系统基础信息：执行`lsb_release -a`获取Ubuntu版本（如20.04/22.04），`dpkg -l`查看已安装软件包（避免冗余服务运行）。同时，对/etc目录（关键配置文件）、/home（用户数据）执行`tar -czvf backup_$(date +%F).tar.gz /etc /home`备份，防止检测操作导致配置丢失。

检测阶段：手动核查+工具辅助

手动检测适合针对性检查：用`netstat -tuln`查看开放端口（重点核对是否与业务需求一致），`cat /etc/ssh/sshd_config`检查SSH配置（确认端口、允许IP等参数）。
自动化检测推荐使用Lynis（开源安全审计工具），安装后执行：

sudo apt update && sudo apt install lynis -y
sudo lynis audit system --report-file baseline_audit_$(date +%F).log

工具会自动扫描系统，生成包含"警告（Warning）""建议（Suggestion）"的报告，例如指出密码策略过松或防火墙规则不严格。

修复与验证：闭环处理隐患

根据报告优先级处理问题：高风险项（如密码无复杂度要求）需立即修复（通过`passwd --enforce-email`启用密码策略）；中低风险项（如日志文件权限宽松）可在24小时内调整（`chmod 640 /var/log/auth.log`）。
修复后需二次检测：重新运行Lynis或手动核查关键指标（如再次用`chage -l`检查密码有效期），确认所有问题已解决，系统符合基线标准。

云服务器Ubuntu系统的基线检测并非一次性工作，建议每月定期执行（可通过cron设置`0 3 * * 1 /usr/sbin/lynis audit system`每月首周周一3点自动检测），结合业务变化动态调整检测指标，持续为云服务器构建安全防护网。