Ubuntu服务器安全配置：Web应用防火墙与漏洞防护机制

Ubuntu服务器安全配置：Web应用防火墙与漏洞防护机制

在Linux系统中，特别是Ubuntu服务器环境中，Web应用防火墙（WAF）和漏洞防护是保障系统安全的关键环节。本文将结合内核安全、权限控制与实际部署案例，提供一套可复现的安全配置方案。

1. 安装并配置ModSecurity

ModSecurity是一个开源的Web应用防火墙，可有效防御SQL注入、XSS等常见攻击。

sudo apt update
sudo apt install libapache2-mod-security2

启用ModSecurity模块：

sudo a2enmod security2
sudo systemctl restart apache2

2. 配置安全规则集

创建自定义规则文件 /etc/modsecurity/custom_rules.conf，加入以下内容以增强防护能力：

SecRule REQUEST_URI "^/admin" "id:1001,phase:1,deny,status:403,msg:'Access Denied'"
SecRule ARGS "union.*select" "id:1002,phase:2,deny,status:403,msg:'SQL Injection Detected'"

3. 启用内核安全机制

通过配置内核参数提升系统安全性：

# 禁用执行权限的文件系统挂载
echo 'fs.suid_dumpable = 0' >> /etc/sysctl.conf
# 启用内核地址空间布局随机化（ASLR）
echo 'kernel.randomize_va_space = 2' >> /etc/sysctl.conf

应用配置：sudo sysctl -p

4. 防护漏洞修复机制

通过定期更新系统补丁和启用内核安全模块（如SELinux或AppArmor）实现持续防护。建议使用以下命令确保及时更新：

sudo apt update && sudo apt upgrade -y

结合unattended-upgrades组件实现自动安全更新。

通过上述配置，可显著提升Ubuntu服务器的Web应用安全防护能力，同时符合Linux内核安全与权限控制的最佳实践。