Ubuntu升级SSH升级OpenSSH9.7

背景

      操作系统加固（OS Hardening）是指通过调整系统配置、优化安全策略、修复已知漏洞、限制不必要权限等一系列技术手段，降低操作系统自身的安全风险，提升其抵御恶意攻击（如入侵、数据泄露、病毒感染等）能力的过程。简单来说，操作系统（如 Windows、Linux、macOS）在出厂或默认安装时，为了兼顾 “易用性” 和 “兼容性”，往往会保留一些非必需的功能、开放默认端口、设置宽松的权限规则 —— 这些 “便利” 恰好可能成为黑客攻击的突破口。而 “加固” 的核心就是 “关掉后门、补上漏洞、收紧权限”，将操作系统从 “易用优先” 调整为 “安全优先”。
指导原则

一、操作系统加固的核心目标

加固的最终目的是构建一个 “最小攻击面”，具体可拆解为以下 4 个核心目标：

• 减少安全漏洞：修复系统已知的漏洞（如缓冲区溢出、权限绕过漏洞），避免被黑客利用；
  
• 控制访问权限：确保只有授权用户 / 程序能访问系统资源（文件、端口、服务等），杜绝越权操作；
  
• 保障数据安全：通过加密、备份等手段，防止系统内敏感数据被窃取、篡改或删除；
  
• 提升可追溯性：开启日志审计功能，记录关键操作（如登录、权限变更、文件修改），便于事后追溯攻击行为。
  

二、操作系统加固的主要措施

不同操作系统（Windows、Linux）的加固细节略有差异，但核心思路一致，主要涵盖以下 6 个维度：
1. 系统补丁与版本管理

• 及时安装安全补丁：定期更新操作系统的安全补丁（如 Windows Update、Linux 的yum update/apt update），修复厂商公布的已知漏洞（如微软的 “永恒之蓝” 漏洞补丁）；
  
• 淘汰老旧系统：停止使用不再提供安全支持的系统（如 Windows 7、Windows Server 2008），这类系统的漏洞会持续暴露且无修复方案。
  

2. 账户与权限加固

这是操作系统加固的 “核心环节”，旨在避免账户被破解或滥用：

• 禁用 / 删除无用账户：删除默认的冗余账户（如 Linux 的guest账户、Windows 的默认管理员以外的无用账户），禁用长期不使用的账户；
  
• 强化密码策略：设置复杂密码规则（如长度≥12 位、包含大小写字母 + 数字 + 特殊符号）、定期强制修改密码（如 90 天）、禁止使用历史密码；
  
• 启用多因素认证（MFA）：对关键账户（如管理员账户）开启 MFA（如短信验证码、谷歌验证器），即使密码泄露也能阻止登录；
  
• 遵循 “最小权限原则”：普通用户仅授予 “完成工作必需的权限”，避免随意使用管理员账户（如 Linux 避免长期使用root、Windows 避免用Administrator日常操作）；
  
• 限制远程登录：仅允许特定 IP 地址远程登录（如 Linux 通过/etc/hosts.allow配置、Windows 通过防火墙限制），禁用默认远程登录端口（如将 Windows 的 RDP 端口 3389 改为非默认端口）。
  

3. 文件系统与数据保护

• 设置文件 / 目录权限：严格控制敏感文件的访问权限（如 Linux 的chmod 600 /etc/shadow，仅允许 root 读取；Windows 对 “C:\Program Files” 设置 “仅管理员可修改”）；
  
• 启用磁盘加密：对系统盘或数据盘进行加密（如 Windows 的 BitLocker、Linux 的 LUKS、macOS 的 FileVault），防止设备丢失后数据被窃取；
  
• 禁用不必要的文件共享：关闭 Windows 的 “文件和打印机共享”、Linux 的 Samba 服务（若无需使用），避免共享目录被未授权访问。
  

4. 网络安全配置

• 配置防火墙：开启系统自带防火墙（Windows 防火墙、Linux 的iptables/ufw），仅开放 “必需的端口”（如 Web 服务开放 80/443 端口，其他端口全部关闭）；
  
• 禁用无用网络服务：停止并禁用非必需的网络服务（如 Linux 的telnet、ftp服务，Windows 的 “远程注册表” 服务），这些服务可能存在漏洞且增加攻击面；
  
• 关闭 IPv6（若无需使用）：若系统未使用 IPv6 网络，可禁用 IPv6 协议，避免因 IPv6 配置不当引入安全风险。
  

5. 日志与审计配置

• 开启关键日志记录：配置系统记录重要操作日志（如登录日志、权限变更日志、文件修改日志），例如：
  
  
  
  • Linux：通过rsyslog记录/var/log/secure（登录日志）、/var/log/messages（系统日志）；
    
  • Windows：通过 “事件查看器” 记录 “安全日志”（登录、权限变更）、“系统日志”（服务启动 / 停止）；
    
  
  
• 日志备份与留存：将日志定期备份到独立服务器（如日志服务器），避免日志被黑客篡改或删除，留存时间需满足合规要求（如等保 2.0 要求日志留存≥6 个月）。
  

6. 应用与服务加固

• 卸载无用软件：删除系统中未使用的应用程序（如 Windows 的 “迈克菲” 试用版、Linux 的冗余工具），减少潜在漏洞来源；
  
• 禁用自动运行 / 自动播放：关闭 Windows 的 “自动播放” 功能（防止插入恶意 U 盘时自动执行病毒），禁用 Linux 的autofs自动挂载服务（若无需使用）；
  
• 更新第三方软件：除了系统本身，还要定期更新系统中安装的第三方软件（如浏览器、Java、Python），这些软件的漏洞也可能被利用攻击系统。
  

实践Ubuntu升级SSH升级

1.安装编译依赖

apt update
apt install build-essential zlib1g-dev libssl-dev libpam0g-dev
2.解压源码包

tar -zxvf XXXXX
3.配置安装选项

cd openssh-9.7
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-privsep-path=/var/lib/sshd --with-pam
4.编译

apt-get install make
make
5.安装

make install
6.重启SSH

systemctl restart ssh

换软件源

1.备份已有的

cp /etc/apt/sources.list /etc/apt/sources.list.bak
2.编辑更换

vi /etc/apt/sources.list
https://developer.aliyun.com/mirror/ubuntu?spm=a2c6h.13651102.0.0.3e221b11xgh2AI 阿里云源地址，自己选择对应的系统版本
举例Ubuntu20.04：
deb https://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb-src https://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse

deb https://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb-src https://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse

deb https://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb-src https://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse

# deb https://mirrors.aliyun.com/ubuntu/ focal-proposed main restricted universe multiverse
# deb-src https://mirrors.aliyun.com/ubuntu/ focal-proposed main restricted universe multiverse

deb https://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
deb-src https://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse

删除原来的，填入上面的。

3.更新软件列表，完成换源。

apt update





今天先到这儿，希望对AI，云原生，技术领导力， 企业管理，系统架构设计与评估，团队管理, 项目管理, 产品管理，信息安全，团队建设 有参考作用 , 您可能感兴趣的文章:
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变 如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯，请关注我的微信订阅号：

作者：Petter Liu
出处：http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

来源：豆瓜网用户自行投稿发布，如果侵权，请联系站长删除