Arch Linux 安全与便利平衡配置清单
非常好 👍,那我们来做一个系统化、实用的版本:
👉 《Arch Linux 安全与便利平衡配置清单》
适合你这种日常自用 + 管理服务器 + 注重安全的用户。
🧱 Arch Linux 安全与便利平衡配置清单
🧩 一、用户与密码安全
✅ 1. 创建非 root 管理用户
确保你的主要账户(如 ding)在 wheel 组:
sudo usermod -aG wheel ding
编辑 /etc/sudoers:
sudo visudo
取消注释以下行:
%wheel ALL=(ALL:ALL) ALL
这样
ding可以使用sudo提权,无需直接登录 root。
✅ 2. 设置密码策略
安装密码策略模块:
sudo pacman -S libpwquality
编辑 /etc/security/pwquality.conf:
minlen = 8
minclass = 3
maxrepeat = 2
dictcheck = 1
这样要求密码至少 8 位、包含 3 类字符(大小写、数字、符号等)。
✅ 3. 强密码建议
仅系统与 SSH 等重要账号使用强密码,桌面登录可中等复杂度。
| 场景 | 密码强度 | 示例 |
|---|---|---|
| root、NAS SSH、服务器 | 强(12+位,符号混合) | Lf7$kqD2#zRv9 |
| 笔记本登录 | 中等(6~10位,简单符号) | myarch8! |
| 临时测试 | 简单(仅本地使用) | arch99 |
🔐 二、SSH 服务安全
编辑 SSH 配置:
sudo vi /etc/ssh/sshd_config
推荐配置:
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
AllowUsers ding
PermitEmptyPasswords no
重启 SSH:
sudo systemctl restart sshd
说明:
禁止 root 登录
禁止密码登录,只允许公钥
指定允许用户,防止暴力扫描
✅ 生成公钥认证
在你的笔记本(客户端)上生成密钥:
ssh-keygen -t ed25519 -C "ding@arch"
上传公钥到服务器:
ssh-copy-id ding@server_ip
或者手动复制到服务器的:
~/.ssh/authorized_keys
✅ 临时启用 SSH
平时关闭 SSH 服务,只在需要时打开:
sudo systemctl disable --now sshd # 关闭
sudo systemctl enable --now sshd # 启用
🧱 三、防火墙与网络
安装 ufw:
sudo pacman -S ufw
sudo systemctl enable --now ufw
设置默认规则:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp comment 'SSH'
sudo ufw enable
sudo ufw status
如果笔记本只偶尔使用 SSH,可关闭该规则:
sudo ufw delete allow 22/tcp
🔒 四、root 安全策略
✅ 禁止 root 登录系统(可选)
sudo passwd -l root
如需恢复:
sudo passwd -u root
✅ 禁止 root 远程登录(强烈推荐)
已在 /etc/ssh/sshd_config 中设置:
PermitRootLogin no
🧰 五、系统更新与监控
✅ 定期更新系统
sudo pacman -Syu
✅ 启用日志与安全审计
安装 auditd:
sudo pacman -S audit
sudo systemctl enable --now auditd
查看安全事件:
sudo ausearch -m USER_LOGIN
💡 六、桌面安全与便利
✅ 自动锁屏与唤醒密码
-
KDE: 设置 → Workspace → Screen Locking → 5 分钟锁屏
-
XFCE: 设置 → Power Manager → Security → “锁定时需要密码”
✅ 登录密码自动解锁
如果你电脑只有自己使用,可用 pam 配置自动登录:
编辑 /etc/systemd/system/getty@tty1.service.d/autologin.conf
[Service]
ExecStart=
ExecStart=-/sbin/agetty --autologin ding --noclear %I $TERM
⚠️ 不推荐在笔记本有敏感数据时使用。
🧮 七、数据备份与加密
✅ 使用 rsync 备份配置
rsync -aAXv --delete --exclude={"/proc/*","/sys/*","/dev/*","/run/*","/tmp/*","/mnt/*"} /home/ding/ /mnt/backup/
✅ 加密私密目录
可选安装 veracrypt 或使用 ecryptfs:
sudo pacman -S ecryptfs-utils
🔑 八、物理安全建议
-
BIOS 设置开机密码;
-
禁止从外部设备启动;
-
禁止 root 自动登录;
-
不随意插入未知 U 盘;
-
不运行来源不明的脚本。
✅ 总结(安全级别表)
| 安全项 | 群晖 NAS | Arch 笔记本 |
|---|---|---|
| SSH 登录 | 仅密钥、禁 root | 临时开启 |
| 密码复杂度 | 强 | 中等 |
| Root 账户 | 禁用 | 可锁定或保留 |
| 防火墙 | 必开 | 推荐开 |
| 自动锁屏 | 可选 | 必开 |
| 公网访问 | 避免 | 尽量避免 |
| 日志审计 | 推荐 | 可选 |
| 数据加密 | 关键数据 | 视情况 |
是否希望我帮你再写一个「群晖 + Arch 联动安全体系架构」方案?
比如:
-
群晖远程备份到笔记本
-
使用 SSH 公钥双向信任
-
自动镜像同步脚本安全执行
-
防止交叉感染(病毒复活问题)