服务器通用(全架构)【系统安全加固方案】

了解更多银河麒麟操作系统全新产品,请点击访问:

麒麟软件产品专区:https://www.kylinos.cn/productPc/

开发者专区:https://developer.kylinos.cn/

文档中心:https://document.kylinos.cn/document/center


目录

一、文章概述

二、主要内容

2.1、核心安全工具

2.2、基础安全配置加固

2.3、禁用无用服务与端口


一、文章概述

本文面向麒麟高级服务器操作系统的运维人员以及技术服务人员,聚焦系统面临的身份冒用、权限滥用、网络攻击、漏洞利用等安全风险,提供从基础配置加固到纵深防御的全流程解决方案。

二、主要内容

2.1、核心安全工具

权限管理:chmod、chown、sudo、usermod

网络防护:firewalld、iptables、ss、ethtool

漏洞扫描:yum check-update、openvas(第三方工具)

审计监控:auditd、journalctl、last、w

2.2、基础安全配置加固

风险识别:系统关键目录(如/etc、/bin)权限过宽,普通用户可修改配置文件;敏感文件(如/etc/shadow)可被非授权访问。

加固方案:

(1) 重置关键目录默认权限:

系统目录权限重置(只读或最小可写)

sudo chmod -R 755 /etc/bin /sbin /usr/bin /usr/sbin

sudo chmod -R 700 /root

敏感文件权限加固

sudo chmod 600 /etc/shadow /etc/gshadow /etc/sudoers

sudo chmod 644 /etc/passwd /etc/group

(2)禁止普通用户修改系统文件:

锁定关键配置文件(防止篡改)

sudo chattr +i /etc/passwd /etc/shadow /etc/group /etc/sudoers

解锁命令(需修改时使用)

sudo chattr -i 文件名

(3)启用文件系统日志功能(ext4 格式):

查看文件系统是否启用日志

dump2fs -h /dev/sda1 | grep "Filesystem features" | grep has_journal

启用日志功能(需卸载分区)

sudo umount /dev/sda1

sudo tune2fs -O has_journal /dev/sda1

sudo mount /dev/sda1 /目标挂载点

合规验证:ls -ld /etc 显示权限为 drwxr-xr-x,ls -l /etc/shadow 显示权限为 -rw-----,符合等保2.0 权限管控要求。

2.3、禁用无用服务与端口

风险识别:系统默认启用的冗余服务(如 Telnet、FTP、邮件服务)可能存在安全漏洞,被攻击者利用;不必要的端口开放增加攻击面。

加固方案:

(1) 禁用无用服务:

查看所有运行中的服务

sudo systemctl list-units --type=service --state=running

禁用高风险服务(示例)

sudo systemctl stop telnet vsftpd postfix rpcbind

sudo systemctl disable telnet vsftpd postfix rpcbind

(2) 关闭不必要的端口:

查看开放端口

sudo firewall-cmd --list-ports

移除无用开放端口(示例)

sudo firewall-cmd --remove-port=21/tcp --permanent // FTP 端口

sudo firewall-cmd --remove-port=23/tcp --permanent // Telnet 端口

重新加载防火墙规则

sudo firewall-cmd --reload

合规验证:systemctl status telnet 显示 "inactive",firewall-cmd --list-ports 仅保留业务必需端口(如 22、80、443)。

相关推荐
IT小白杨19 分钟前
多账号环境稳定性由什么决定:指纹、网络、存储如何共同决定账号安全
网络·安全·开源软件·业界资讯·指纹浏览器
明哥聊AI23 分钟前
大模型安全攻防实战:从越狱到Prompt注入的攻防全解析(2026最新)
安全·prompt
网安蟹佬霸39 分钟前
我国网络安全人才缺口现状、成因与对策研究
安全·web安全
白帽小阳3 小时前
我的AI辅助开发工具链2026版:从编码到部署的全栈智能实践
网络·人工智能·学习·安全·自动化
HackTwoHub3 小时前
AntiDebug Mcp、AI逆向绕过前端,Hook 加密接口,抓取 Vue 路由漏洞,接入 MCP 让 AI 自动化挖掘前端漏洞
前端·vue.js·人工智能·安全·web安全·网络安全·系统安全
无忧智库3 小时前
数据安全与数据合规体系建设规划:从“合规应付”到“数据可控、可用、可审计”的落地指南(PPT)
大数据·人工智能·安全
刘某的Cloud3 小时前
Nginx 最小安全配置模板
linux·运维·nginx·安全·系统
ATA88883 小时前
企业数据库账号安全的技术解决方案
数据库·安全
Sirius Wu3 小时前
OpenClaw 并发安全完整详解
网络·人工智能·安全·ai·架构·aigc
李白你好4 小时前
一款面向攻防演练、红蓝对抗和安全研究场景的高交互智能欺骗蜜罐平台
安全·交互