了解更多银河麒麟操作系统全新产品,请点击访问:
麒麟软件产品专区:https://www.kylinos.cn/productPc/
开发者专区:https://developer.kylinos.cn/
文档中心:https://document.kylinos.cn/document/center
目录
一、文章概述
本文面向麒麟高级服务器操作系统的运维人员以及技术服务人员,聚焦系统面临的身份冒用、权限滥用、网络攻击、漏洞利用等安全风险,提供从基础配置加固到纵深防御的全流程解决方案。
二、主要内容
2.1、核心安全工具
权限管理:chmod、chown、sudo、usermod
网络防护:firewalld、iptables、ss、ethtool
漏洞扫描:yum check-update、openvas(第三方工具)
审计监控:auditd、journalctl、last、w
2.2、基础安全配置加固
风险识别:系统关键目录(如/etc、/bin)权限过宽,普通用户可修改配置文件;敏感文件(如/etc/shadow)可被非授权访问。
加固方案:
(1) 重置关键目录默认权限:
系统目录权限重置(只读或最小可写)
sudo chmod -R 755 /etc/bin /sbin /usr/bin /usr/sbin
sudo chmod -R 700 /root
敏感文件权限加固
sudo chmod 600 /etc/shadow /etc/gshadow /etc/sudoers
sudo chmod 644 /etc/passwd /etc/group
(2)禁止普通用户修改系统文件:
锁定关键配置文件(防止篡改)
sudo chattr +i /etc/passwd /etc/shadow /etc/group /etc/sudoers
解锁命令(需修改时使用)
sudo chattr -i 文件名
(3)启用文件系统日志功能(ext4 格式):
查看文件系统是否启用日志
dump2fs -h /dev/sda1 | grep "Filesystem features" | grep has_journal
启用日志功能(需卸载分区)
sudo umount /dev/sda1
sudo tune2fs -O has_journal /dev/sda1
sudo mount /dev/sda1 /目标挂载点
合规验证:ls -ld /etc 显示权限为 drwxr-xr-x,ls -l /etc/shadow 显示权限为 -rw-----,符合等保2.0 权限管控要求。
2.3、禁用无用服务与端口
风险识别:系统默认启用的冗余服务(如 Telnet、FTP、邮件服务)可能存在安全漏洞,被攻击者利用;不必要的端口开放增加攻击面。
加固方案:
(1) 禁用无用服务:
查看所有运行中的服务
sudo systemctl list-units --type=service --state=running
禁用高风险服务(示例)
sudo systemctl stop telnet vsftpd postfix rpcbind
sudo systemctl disable telnet vsftpd postfix rpcbind
(2) 关闭不必要的端口:
查看开放端口
sudo firewall-cmd --list-ports
移除无用开放端口(示例)
sudo firewall-cmd --remove-port=21/tcp --permanent // FTP 端口
sudo firewall-cmd --remove-port=23/tcp --permanent // Telnet 端口
重新加载防火墙规则
sudo firewall-cmd --reload
合规验证:systemctl status telnet 显示 "inactive",firewall-cmd --list-ports 仅保留业务必需端口(如 22、80、443)。