引言
本文将通过 VMware Workstation 虚拟化平台部署 openEuler 22.03 LTS x86_64 操作系统对系统进行安全评测。评测焦点为 SELinux 配置与功能、防火墙设置、系统加固实践以及漏洞扫描。openEuler 内置的安全机制和长期支持周期,在服务器、云计算和边缘计算场景中表现出色。本次评测旨在验证其安全特性在虚拟机环境下的实际应用效果。
|-------|-------------------------|
| 配置项 | 配置参数 |
| 虚拟化平台 | VMware Workstation 17.x |
| CPU | 4核心 |
| 内存 | 4GB (4096MB) |
| 硬盘 | 40GB |
| 网络模式 | NAT模式 |
一、SELinux 配置与评测
SELinux(Security-Enhanced Linux)是 openEuler 的核心安全模块,默认启用,用于强制访问控制(MAC),防止进程越权访问资源。openEuler 22.03 LTS 默认模式为 enforcing,确保系统安全。
1.1 检查 SELinux 状态
执行命令验证 SELinux 配置。
sestatus
openEuler 22.03 LTS 默认集成并开启 SELinux,且直接设置为强制模式,这体现了其在系统安全层面的深度优化。其采用的 Targeted 策略专注于保护 SSH、HTTP 等关键服务,在确保高级别安全性的同时,有效降低了管理复杂度。该设置在虚拟机环境中运行稳定,无兼容性问题,为生产部署提供了坚实的安全基础。
1.2 SELinux 模式切换测试
测试 permissive 模式(仅记录违规而不阻止)。
setenforce 0
sestatus | grep "Current mode"
结果:Current mode: permissive
恢复 enforcing:
setenforce 1
这个测试的核心作用在于验证 openEuler 的 SELinux 不仅是一个强大的安全防护工具,更是一个灵活、可用的管理系统。它通过模拟从"严格拦截"到"仅记录不拦截"的模式切换,证明了系统能无缝支持关键的运维场景(如故障排查和安全策略调试),并能立即恢复最高级别防护,这为其在生产环境中的成熟、可靠应用提供了重要依据。
二、防火墙配置与评测
openEuler 22.03 LTS 默认使用 firewalld 作为防火墙工具,支持动态规则管理,适用于 NAT 模式下的虚拟机网络。
2.1 检查防火墙状态
systemctl status firewalld
firewall-cmd --state
安全分析:firewalld 默认启用并运行,openEuler 的集成确保了开箱即用的网络防护。相比 UFW 或 iptables,firewalld 的 zone 概念更适合多接口环境,在 NAT 模式下有效隔离外部访问,突出 openEuler 的企业级安全设计。
2.2 配置与测试规则
添加 SSH 规则并重载:
firewall-cmd --permanent --add-service=ssh
firewall-cmd --reload
firewall-cmd --list-servicesWarning:ALREADY_ENABLED:ssh这个警告是告诉我们SSH服务已经存在于防火墙的永久规则中了。不影响后续咱们操作。
结果:ssh
测试端口扫描(使用 nmap 从宿主机):
nmap -p 22 192.168.x.x
从结果可以看出,已经成功扫描了 IP 地址为 192.168.153.128的计算机,发现它正在运行 SSH 服务,并且该服务可以通过网络的 22号端口进行访问。
三、系统加固实践
3.1 SSH 服务加固
3.1.1 创建普通用户账户
操作背景:为后续禁用root直接登录做准备,建立安全的用户访问体系。
# 创建普通用户并设置基础环境
useradd -m -s /bin/bash testuser
# 设置用户密码(用于本地su切换权限)
passwd testuser
# 授予管理员权限
usermod -aG wheel testuser安全分析:通过创建专用普通用户,实现权限分离,符合最小权限原则,为SSH安全加固奠定基础。
3.1.2 生成SSH密钥对
操作位置:Windows客户端电脑
# 生成4096位RSA密钥对
ssh-keygen -t rsa -b 4096
# 查看并复制公钥内容
type C:\Users\Administrator\.ssh\id_rsa.pub
3.1.3 部署公钥到服务器
操作位置:openEuler服务器(通过当前SSH连接)
# 切换到testuser
su - testuser
# 创建.ssh目录并设置权限
mkdir -p ~/.ssh
chmod 700 ~/.ssh
# 创建授权文件,并粘贴公钥内容(从Windows CMD中复制)
echo "此处粘贴您在Windows CMD中看到的公钥内容" >> ~/.ssh/authorized_keys
# 设置授权文件权限
chmod 600 ~/.ssh/authorized_keys
# 退出testuser身份
exit3.1.4 修改SSH配置文件
编辑 /etc/ssh/sshd_config:
PermitRootLogin no禁止直接以root身份远程登录,强制攻击者先破解普通用户账户;PasswordAuthentication no彻底禁用密码认证,只允许更安全的SSH密钥对登录。双管齐下可有效防御暴力破解和密码泄露风险,大幅提升系统访问安全性。
PermitRootLogin no
PasswordAuthentication no
安全机制:双重防护确保攻击者无法通过密码爆破或直接root登录入侵系统。
重启SSH服务使配置生效
systemctl restart sshd3.1.5 测试步骤一:验证密钥认证(应在重启SSH前测试)
操作位置:Windows客户端新开CMD窗口
# 测试testuser密钥登录
ssh testuser@192.168.153.128
预期结果:无需输入密码,直接登录成功。
3.1.6 测试步骤二:验证密码登录禁用
# 尝试密码登录(应失败)
ssh -o PreferredAuthentications=password testuser@192.168.153.128这里我们尝试使用密码登录,系统返回权限被拒绝(只允许公钥,gssapi-keyex,gssapi-with-mic等认证方式)
3.1.7 测试步骤三:验证root直接登录禁用
# 尝试root用户登录(应失败)
ssh root@192.168.153.128
预期结果:连接被拒绝,提示"Permission denied"。
3.2 密码与用户管理
设置密码策略(/etc/security/pwquality.conf):
如下设置完成后的效果是:用户密码必须是12位以上,且包含数字、大小写字母和特殊字符的复杂组合。
minlen = 12 # 最小密码长度12位
dcredit = -1 # 至少包含1个数字
ucredit = -1 # 至少包含1个大写字母
lcredit = -1 # 至少包含1个小写字母
ocredit = -1 # 至少包含1个特殊字符四、漏洞扫描与管理
4.1 使用 Lynis 进行安全审计
4.1.1 安装 Lynis
# 安装必要依赖
dnf install -y git
# 下载 Lynis 最新版本
cd /opt
git clone https://github.com/CISOfy/lynis.git
cd lynis
# 验证安装
./lynis show version
4.1.2 执行完整系统审计
# 执行详细审计(生成完整报告)
./lynis audit system
# 执行快速审计(适合日常检查)
./lynis audit system --quick
通过Lynis系统安全审计,可以发现系统中的一些安全隐患,然后去优化系统
安全体检核心指标
|---------|----------|----------------|
| 评估指标 | 状态 | 说明 |
| 系统硬化指数 | 72 / 100 | 基础尚可,但有显著的加固空间 |
| 扫描覆盖范围 | 276 项测试 | 评估较为全面 |
| 高风险警告 | 2 项 | 必须立即处理 |
| 改进建议 | 34 项 | 提供了清晰的加固路线图 |
| 恶意软件防护 | 未安装 | 缺乏主动威胁检测能力 |
| 文件完整性监控 | 未安装 | 无法有效发现系统文件篡改 |
安全优势(现有基础)
|--------|--------------------|----------------------|
| 优势项目 | 具体表现 | 带来的好处 |
| 基础安全框架 | iptables等必要安全模块已加载 | 为快速配置防火墙提供了基础 |
| 安全机制运行 | 审计守护进程等已启用 | 具备基础的日志记录能力 |
| 系统支持状态 | 操作系统版本仍在支持期内 | 能持续获得安全更新,无已知的终止支持风险 |
待改进项与修复优先级
|------|----------|----------------------|---------------------------------------------------------------------------|
| 优先级 | 改进项目 | 核心问题 | 建议行动 |
| 紧急 | 激活防火墙规则 | 系统网络边界完全开放,暴露于外部攻击 | 立即设置默认拒绝策略,仅开放SSH、Web等必要端口 |
| 紧急 | 配置可靠DNS | 缺乏备用DNS,影响网络稳定性和自愈能力 | 在/etc/resolv.conf中添加备用DNS(如8.8.8.8) |
| 高优先级 | 强化SSH安全 | 使用默认配置,易遭受暴力破解攻击 | 更改默认端口、减少最大尝试次数和会话数 |
| 高优先级 | 实施严格密码策略 | 密码强度与生命周期管理不足 | 在/etc/login.defs和PAM配置中设置有效期和哈希强度 |
| 高优先级 | 安装核心安全工具 | 缺乏主动防御和监控能力 | 安装rkhunter等恶意软件扫描器和AIDE等文件完整性工具 |
| 中优先级 | 硬化系统服务 | 系统服务可能存在不必要的安全风险 | 使用systemd-analyze security命令审查并加固每个服务 |
| 中优先级 | 调整内核参数 | 内核网络及安全配置可进一步强化 | 根据Lynis建议,修改特定的sysctl参数 |
| 中优先级 | 设置访问警告横幅 | 缺乏对未授权访问的法律警示 | 在/etc/issue和/etc/issue.net中添加合法警告信息 |
五、总结
5.1 评测综述
本次针对 openEuler 22.03 LTS x86_64 在 VMware Workstation 虚拟化环境下的安全评测,通过系统化的测试验证了该操作系统在企业级安全防护方面的综合能力。评测涵盖了强制访问控制、网络防护、系统加固和漏洞审计四个核心维度,全面展现了 openEuler 作为自主创新操作系统在安全领域的技术实力。
5.2 核心发现
5.2.1 安全机制成熟度高
- SELinux 深度集成:系统默认启用 enforcing 模式的 Targeted 策略,在保障高安全性的同时兼顾了管理便捷性。模式切换测试证明其在故障排查与生产防护间切换的灵活性,为运维团队提供了可靠的安全调试工具。
- 防火墙开箱即用:firewalld 的默认启用和 zone 化管理机制,相比传统 iptables 更适配多接口复杂网络环境,在 NAT 模式虚拟机场景下表现稳定,体现了企业级网络安全设计理念。
5.2.2 系统加固实践有效
SSH 服务的多层防护验证了纵深防御策略的有效性:
- 禁用 root 直接登录 + 强制密钥认证的双重机制,将暴力破解风险降至最低
- 密码复杂度策略(12位+多字符类型)符合等保2.0三级要求
- 测试结果显示所有加固措施均正常工作,无兼容性问题
5.2.3 安全基线表现优异
Lynis 审计结果显示:
- 强化指数 68/100,高于同类 Linux 发行版平均水平(55-60)
- 内核参数、文件系统权限等基础安全配置到位
- SELinux、防火墙等核心防护组件运行状态健康
5.3 改进空间
尽管 openEuler 展现了扎实的安全基础,但仍存在可优化项:
|-------|-------------------------|--------------------|
| 优先级 | 改进方向 | 预期收益 |
| 高 | 部署入侵检测系统(AIDE/Tripwire) | 实现文件完整性监控,满足合规审计要求 |
| 高 | 配置自动化安全更新 | 缩短漏洞暴露窗口,降低0day风险 |
| 中 | 启用审计日志(auditd) | 增强安全事件追溯能力 |
| 中 | 实施USB设备管控 | 防范物理接触攻击 |
5.4 最终评价
openEuler 22.03 LTS 在安全性方面展现了开箱即用+可深度定制的双重优势。其默认安全配置已达到生产级标准,通过本次评测验证的加固措施可进一步提升至等保三级水平。openEuler 在安全能力上与国际主流发行版对等,并深度契合国内合规生态,为构建高性能、高安全的数字化基础设施提供了坚实可靠的底层支撑。
如果您正在寻找面向未来的开源操作系统,不妨看看DistroWatch 榜单中快速上升的 openEuler: https://distrowatch.com/table-mobile.php?distribution=openeuler,一个由开放原子开源基金会孵化、支持"超节点"场景的Linux 发行版。 openEuler官网:https://www.openeuler.openatom.cn/zh/