全新安装的 Ubuntu Server 需要做哪些安全方面的加固？

如果 ufw 没有 enable 会有哪些安全问题，会有那种能够直接拿 root 权限的漏洞么？

@RoyShaw 如果有公开漏洞，官方一定补……

基础的就是
1.设置一下 ssh 登入方式：禁止root登入，禁止密码登录，使用密钥，设置sudo用户
2.设置防火墙，只留必要端口或者白名单ip
3.关闭/卸载不必要的服务

Fail2ban 加固SSH，配合iptables很好

这个我也需要，关注一下。

和其他发行版没区别吧
主要是设置好ssh、防火墙iptables，注意更新安全补丁。如果可以的话，启用SELinux。

*一般*来说，禁止root密码登录+fail2ban可以解决99.9%的攻击。

还可以：
1. 禁ping, https://help.ubuntu.com/community/UFW#Allow_Access
2. 改ssh端口

这可以避免很多探测器的骚扰

禁root这什么心态……
用公钥然后禁密码才是正道
端口肯定要改，不然安全日志一天到晚刷，真出了什么事就查不到该查的了

本人就是做网络安全方面的工作,以一个攻击者的角度，给你点建议：
1、在端口方面做文章其实没什么用。
2、限制root用户也没什么用。
3、你要做的是关注你的口令是否复杂，别很容易被人猜到。
4、做好web权限的分离，web别被人攻破。如果权限做的好，也就是把你数据库拖了、代码下载了。现在危害也不是非常高。（如果说我的目的拿你的数据库，这时我的目的已经达到了。）
5、如果说web层你没有信心防护好，那就要勤打linux的补丁，防止被攻陷了web后再被拿到root权限。（我一般不会去费尽心机搞root，拿到了root对我来说用处也不大。）

@xiaoks 说的很对
基本上要你的权限是为了用你的资源或者数据资料
数据库这里不多说了,水很深,而且我也不太懂,毕竟我是做SA运维,基本的权限分离,读写分离是一定要有的
然后禁不禁root没什么意思,只是给自己添加麻烦,因为入侵重点不是这里
改端口,密码复杂,使用key文件,这些都是提高暴力破解难度,改端口主要是为了查找方便,不然一堆扫描器产生的日志会掩盖特定的入侵
复杂的密码和key文件目的都是一致,虽然你key文件的暴力破解几乎不可能,但是依然存在泄露的可能,所以经常更换口令才是王道

web入侵是比较常见的,这取决于程序员的水平
如果运行的代码自己不可控(例如是别人的程序)
那么一定要慎重选择,经常更新

@Admstor

我对SA运维不熟悉。但是有一点我可以肯定。读写分离应该与服务器性能有关，和安全没什么关系。。。。

1.改SSH登陆端口
2.生成SSH证书, 禁用密码登陆
3.设置iptable
3.安装fail2ban