一. 文档概述本文档基于 openEuler 官方安全基线规范旨在修复系统默认安全风险、规避恶意攻击、提升系统机密性、完整性、可用性适配等保2.0、企业服务器安全运维规范、日常安全合规自查。二. 加固前置准备2.1 实验环境操作系统openEuler 22.03 SP3实验平台天枢一体化虚拟仿真平台2.2系统信息核查加固前先确认系统版本、内核、运行状态确保加固适配性# 查看openEuler版本cat /etc/openEuler-release# 查看内核版本uname -r# 查看系统运行状态、开机自启服务systemctl list-unit-files --typeservice# 查看已开放端口ss -tulnp2.3配置备份所有系统核心配置文件修改前统一备份备份文件保留修改时间戳便于故障回滚本实验环境有初始模版暂不需要进行备份操作如中途有操作备份也可以使用平台的快照功能保存配置。生产环境加固前创建服务器快照/镜像规避配置错误导致系统故障确认加固窗口为业务低峰期记录业务进程、端口、数据库状态便于异常恢复禁止业务高峰期执行内核参数、SSH、账号权限等核心加固操作三. 账号与口令安全加固3.1 清理无效账号核查系统所有账号删除闲置、无效、测试账号锁定无用系统账号# 查看所有系统账号cat /etc/passwd# 查看所有可登录账号grep /bin/bash /etc/passwd# 删除无效普通账号示例userdel -r testuserdel -r temp# 锁定系统无用账号禁止登录usermod -L admusermod -L lpusermod -L syncusermod -L shutdownusermod -L halt加固标准仅保留业务必需账号、root账号无闲置、匿名、测试账号。3.2 配置口令复杂度策略通过 PAM 模块强制口令复杂度杜绝弱口令适配官方安全基线要求# 安装PAM口令校验组件系统默认已安装缺失则执行yum install pam_pwquality -y# 编辑PAM认证配置vi /etc/pam.d/system-auth添加/修改如下配置password required pam_pwquality.so retry3 minlen8 dcredit-1 ucredit-1 lcredit-1 ocredit-1 enforce_for_root参数说明minlen8口令最小长度8位dcredit-1至少包含1个数字ucredit-1至少包含1个大写字母lcredit-1至少包含1个小写字母ocredit-1至少包含1个特殊字符retry3输错3次退出修改enforce_for_rootroot账号同样生效不豁免3.3 口令有效期与修改策略修改登录配置文件规范口令生命周期避免长期不更换弱口令vi /etc/login.defs修改如下参数PASS_MAX_DAYS 90 # 口令最大有效期90天PASS_MIN_DAYS 0 # 口令最小修改间隔0天可随时修改PASS_WARN_AGE 7 # 过期前7天弹窗提醒修改3.4 登录失败锁定策略防止暴力破解登录配置登录失败锁定机制openEuler 默认基础锁定优化强化vi /etc/pam.d/sshdvi /etc/pam.d/login文件末尾添加# 连续输错3次锁定账号锁定600秒auth required pam_tally2.so deny3 unlock_time600 even_deny_root root_unlock_time600解锁账号命令pam_tally2 --reset -u 用户名3.5 限制 su 权限仅允许 root 及 wheel 组用户执行 su 切换权限杜绝普通用户越权切换 rootvi /etc/pam.d/su开启如下配置取消注释auth required pam_wheel.so use_uid加固效果非 wheel 组普通用户无法执行 su 切换 root 账号。四. SSH 服务安全加固SSH 为远程登录核心服务是攻击高频入口需全面加固禁用弱算法、高危配置。4.1 禁止 root 直接 SSH 登录vi /etc/ssh/sshd_config修改参数PermitRootLogin no加固说明禁止 root 账号远程直接登录需通过普通用户登录后切换 root降低爆破风险。4.2 配置登录超时与最大会话数vi /etc/ssh/sshd_config添加/修改如下参数# 客户端心跳检测300秒无响应断开ClientAliveInterval 300ClientAliveCountMax 3# 最大并发登录会话数MaxSessions 10# 仅支持SSH2协议Protocol 2同时配置全局字符界面超时统一闲置退出规则echo export TMOUT300 /etc/profilesource /etc/profile4.3 禁用弱加密算法启用强加密套件禁用 CBC、MD5、SHA1 等不安全算法仅保留高强度加密算法适配 openEuler 官方安全配置vi /etc/ssh/sshd_config添加如下配置Ciphers aes128-ctr,aes192-ctr,aes256-ctrMACs hmac-sha2-256,hmac-sha2-512KexAlgorithms diffie-hellman-group-exchange-sha2564.4 关闭 SSH 弱特性vi /etc/ssh/sshd_config修改关闭高危配置# 禁止空密码登录PermitEmptyPasswords no# 禁止密码登录可选生产环境建议开启密钥登录后关闭# PasswordAuthentication no# 关闭反向解析提升登录速度、规避解析攻击UseDNS no4.5 重启 SSH 服务生效systemctl restart sshdsystemctl enable sshd注意修改加密算法后低版本 Xshell、PuTTY 可能无法登录需使用 5.0 及以上版本客户端。五. 内核参数安全加固通过优化内核参数防范端口扫描、SYN 洪水、ICMP 攻击、路由欺骗等网络攻击提升系统网络安全防护能力。5.1 统一加固配置vi /etc/sysctl.conf清空原有冗余配置添加如下标准加固参数# 关闭IP转发防止路由劫持net.ipv4.ip_forward 0# 禁止转发ICMP重定向报文net.ipv4.accept_redirects 0net.ipv6.accept_redirects 0# 禁止源路由net.ipv4.accept_source_route 0# 防范SYN洪水攻击net.ipv4.tcp_syncookies 1net.ipv4.tcp_syn_retries 2net.ipv4.tcp_synack_retries 2# 忽略ICMP广播报文防范Smurf攻击net.ipv4.icmp_echo_ignore_broadcasts 1# 禁止响应非法ICMP请求net.ipv4.icmp_ignore_bogus_error_responses 1# 限制TCP连接超时net.ipv4.tcp_keepalive_time 600net.ipv4.tcp_keepalive_intvl 30net.ipv4.tcp_keepalive_probes 3# 提升端口范围规避端口占用风险net.ipv4.ip_local_port_range 1024 65535# 关闭内核Dump防止敏感信息泄露kernel.core_pattern 0# 禁止非root用户查看内核日志kernel.dmesg_restrict 1# 防范地址随机化绕过kernel.randomize_va_space 25.2 生效配置并核查# 生效所有内核参数sysctl -p# 核查所有加固参数是否生效sysctl -a | grep 加固参数名六. 文件系统与权限安全加固6.1 配置默认 UMASK 权限修改系统默认权限掩码确保新建文件、目录权限最小化防止权限过宽vi /etc/profilevi /etc/bashrc添加/修改umask 077生效后新建文件默认权限600、目录默认权限700仅属主可读写执行。source /etc/profilesource /etc/bashrc6.2 关键文件权限锁定系统核心配置文件仅允许 root 读写禁止其他用户访问、修改# 关键权限加固chmod 600 /etc/shadowchmod 644 /etc/passwdchmod 600 /etc/gshadowchmod 644 /etc/groupchmod 600 /etc/ssh/sshd_configchmod 700 /root# 锁定文件禁止修改防止篡改chattr i /etc/shadowchattr i /etc/passwd6.3 临时目录安全挂载加固加固 /tmp、/var/tmp、/dev/shm 临时目录禁止执行恶意程序、SUID 提权vi /etc/fstab添加如下挂载参数tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev 0 0tmpfs /dev/shm tmpfs defaults,noexec,nosuid,nodev 0 0重新挂载生效mount -o remount /tmpmount -o remount /var/tmpmount -o remount /dev/shm6.4 清理 SUID/SGID 高危权限文件SUID/SGID 文件易被利用提权清理无用高危权限文件# 查找所有SUID文件find / -type f -perm -4000 2/dev/null# 查找所有SGID文件find / -type f -perm -2000 2/dev/null# 移除无用文件的SUID权限示例chmod u-s /usr/bin/chfnchmod u-s /usr/bin/chshchmod u-s /usr/bin/newgrp七. 系统服务与开机自启加固7.1 关闭无用高危服务关闭系统默认闲置、高危服务减少攻击面# 关闭打印、蓝牙、邮件等无用服务systemctl stop cups.servicesystemctl disable cups.servicesystemctl stop bluetoothsystemctl disable bluetoothsystemctl stop postfixsystemctl disable postfix# 关闭telnet、rlogin等高危明文服务systemctl stop telnet.socketsystemctl disable telnet.socket7.2 管控定时任务权限限制普通用户使用 crontab、at 任务防止恶意定时任务植入# 仅允许root使用定时任务touch /etc/cron.allowtouch /etc/at.allowchmod 600 /etc/cron.allowchmod 600 /etc/at.allowchown root:root /etc/cron.allowchown root:root /etc/at.allow# 禁止普通用户rm -f /etc/cron.denyrm -f /etc/at.deny八. 日志审计安全加固8.1 开启系统完整审计日志安装并启用 audit 审计服务记录系统关键操作满足合规追溯需求yum install audit audit-libs -ysystemctl start auditdsystemctl enable auditd8.2 配置日志留存与轮转策略vi /etc/audit/auditd.conf修改参数# 日志文件大小2048Mmax_file_size 2048# 保留10个历史日志文件num_logs 10# 日志满后轮转不阻塞系统disk_full_action ROTATE# 禁止日志被篡改immutable yes8.3 加固系统日志权限所有日志文件仅 root 可读写防止普通用户篡改、删除日志chmod 600 /var/log/*.logchmod 600 /var/log/messageschmod 600 /var/log/securechown root:root /var/log/*openEuler 安全加固工具日志默认存储于/var/log/openEuler-security.log需定期巡检。九. GRUB 引导加固防止恶意人员修改系统引导参数、破解 root 密码、篡改启动项openEuler 默认 GRUB 密码为 openEuler#12必须修改。9.1 生成加密 GRUB 密码# 生成SHA-512加密密码grub2-mkpasswd-pbkdf2输入自定义密码复制生成的加密密文。9.2 配置 GRUB 密码保护vi /etc/grub.d/40_custom添加如下内容粘贴上述加密密文set superusersrootpassword_pbkdf2 root 生成的加密密文9.3 生效 GRUB 配置# BIOS服务器grub2-mkconfig -o /boot/grub2/grub.cfg# UEFI服务器grub2-mkconfig -o /boot/efi/EFI/openEuler/grub.cfg加固效果修改引导参数、进入单用户模式必须输入 GRUB 密码。十. 防火墙与端口安全加固10.1 启用 firewalld 防火墙systemctl start firewalldsystemctl enable firewalld# 设置默认拒绝所有流量firewall-cmd --set-default-zonedrop10.2 仅放行业务必需端口# 放行SSH端口自定义端口需同步修改firewall-cmd --permanent --add-port22/tcp# 放行业务端口根据实际业务补充# firewall-cmd --permanent --add-port80/tcp# firewall-cmd --permanent --add-port443/tcp# 重载生效firewall-cmd --reload# 查看已放行端口firewall-cmd --list-ports十一. 安全加固验收标准与核查命令所有加固完成后逐项核查确保100%合规以下为核心验收命令11.1 账号口令核查# 核查口令有效期grep PASS /etc/login.defs# 核查登录锁定策略grep pam_tally2 /etc/pam.d/sshd# 核查root远程登录状态grep PermitRootLogin /etc/ssh/sshd_config11.2 内核参数核查sysctl -a | grep tcp_syncookiessysctl -a | grep ip_forwardsysctl -a | grep core_pattern11.3 文件权限核查ls -l /etc/shadow /etc/passwdumaskmount | grep tmpfs11.4 服务与端口核查systemctl list-unit-files | grep disabless -tulnpfirewall-cmd --list-all11.5 加固工具日志核查cat /var/log/openEuler-security.log
openEuler 操作系统安全加固实验
发布时间:2026/6/10 1:43:28
一. 文档概述本文档基于 openEuler 官方安全基线规范旨在修复系统默认安全风险、规避恶意攻击、提升系统机密性、完整性、可用性适配等保2.0、企业服务器安全运维规范、日常安全合规自查。二. 加固前置准备2.1 实验环境操作系统openEuler 22.03 SP3实验平台天枢一体化虚拟仿真平台2.2系统信息核查加固前先确认系统版本、内核、运行状态确保加固适配性# 查看openEuler版本cat /etc/openEuler-release# 查看内核版本uname -r# 查看系统运行状态、开机自启服务systemctl list-unit-files --typeservice# 查看已开放端口ss -tulnp2.3配置备份所有系统核心配置文件修改前统一备份备份文件保留修改时间戳便于故障回滚本实验环境有初始模版暂不需要进行备份操作如中途有操作备份也可以使用平台的快照功能保存配置。生产环境加固前创建服务器快照/镜像规避配置错误导致系统故障确认加固窗口为业务低峰期记录业务进程、端口、数据库状态便于异常恢复禁止业务高峰期执行内核参数、SSH、账号权限等核心加固操作三. 账号与口令安全加固3.1 清理无效账号核查系统所有账号删除闲置、无效、测试账号锁定无用系统账号# 查看所有系统账号cat /etc/passwd# 查看所有可登录账号grep /bin/bash /etc/passwd# 删除无效普通账号示例userdel -r testuserdel -r temp# 锁定系统无用账号禁止登录usermod -L admusermod -L lpusermod -L syncusermod -L shutdownusermod -L halt加固标准仅保留业务必需账号、root账号无闲置、匿名、测试账号。3.2 配置口令复杂度策略通过 PAM 模块强制口令复杂度杜绝弱口令适配官方安全基线要求# 安装PAM口令校验组件系统默认已安装缺失则执行yum install pam_pwquality -y# 编辑PAM认证配置vi /etc/pam.d/system-auth添加/修改如下配置password required pam_pwquality.so retry3 minlen8 dcredit-1 ucredit-1 lcredit-1 ocredit-1 enforce_for_root参数说明minlen8口令最小长度8位dcredit-1至少包含1个数字ucredit-1至少包含1个大写字母lcredit-1至少包含1个小写字母ocredit-1至少包含1个特殊字符retry3输错3次退出修改enforce_for_rootroot账号同样生效不豁免3.3 口令有效期与修改策略修改登录配置文件规范口令生命周期避免长期不更换弱口令vi /etc/login.defs修改如下参数PASS_MAX_DAYS 90 # 口令最大有效期90天PASS_MIN_DAYS 0 # 口令最小修改间隔0天可随时修改PASS_WARN_AGE 7 # 过期前7天弹窗提醒修改3.4 登录失败锁定策略防止暴力破解登录配置登录失败锁定机制openEuler 默认基础锁定优化强化vi /etc/pam.d/sshdvi /etc/pam.d/login文件末尾添加# 连续输错3次锁定账号锁定600秒auth required pam_tally2.so deny3 unlock_time600 even_deny_root root_unlock_time600解锁账号命令pam_tally2 --reset -u 用户名3.5 限制 su 权限仅允许 root 及 wheel 组用户执行 su 切换权限杜绝普通用户越权切换 rootvi /etc/pam.d/su开启如下配置取消注释auth required pam_wheel.so use_uid加固效果非 wheel 组普通用户无法执行 su 切换 root 账号。四. SSH 服务安全加固SSH 为远程登录核心服务是攻击高频入口需全面加固禁用弱算法、高危配置。4.1 禁止 root 直接 SSH 登录vi /etc/ssh/sshd_config修改参数PermitRootLogin no加固说明禁止 root 账号远程直接登录需通过普通用户登录后切换 root降低爆破风险。4.2 配置登录超时与最大会话数vi /etc/ssh/sshd_config添加/修改如下参数# 客户端心跳检测300秒无响应断开ClientAliveInterval 300ClientAliveCountMax 3# 最大并发登录会话数MaxSessions 10# 仅支持SSH2协议Protocol 2同时配置全局字符界面超时统一闲置退出规则echo export TMOUT300 /etc/profilesource /etc/profile4.3 禁用弱加密算法启用强加密套件禁用 CBC、MD5、SHA1 等不安全算法仅保留高强度加密算法适配 openEuler 官方安全配置vi /etc/ssh/sshd_config添加如下配置Ciphers aes128-ctr,aes192-ctr,aes256-ctrMACs hmac-sha2-256,hmac-sha2-512KexAlgorithms diffie-hellman-group-exchange-sha2564.4 关闭 SSH 弱特性vi /etc/ssh/sshd_config修改关闭高危配置# 禁止空密码登录PermitEmptyPasswords no# 禁止密码登录可选生产环境建议开启密钥登录后关闭# PasswordAuthentication no# 关闭反向解析提升登录速度、规避解析攻击UseDNS no4.5 重启 SSH 服务生效systemctl restart sshdsystemctl enable sshd注意修改加密算法后低版本 Xshell、PuTTY 可能无法登录需使用 5.0 及以上版本客户端。五. 内核参数安全加固通过优化内核参数防范端口扫描、SYN 洪水、ICMP 攻击、路由欺骗等网络攻击提升系统网络安全防护能力。5.1 统一加固配置vi /etc/sysctl.conf清空原有冗余配置添加如下标准加固参数# 关闭IP转发防止路由劫持net.ipv4.ip_forward 0# 禁止转发ICMP重定向报文net.ipv4.accept_redirects 0net.ipv6.accept_redirects 0# 禁止源路由net.ipv4.accept_source_route 0# 防范SYN洪水攻击net.ipv4.tcp_syncookies 1net.ipv4.tcp_syn_retries 2net.ipv4.tcp_synack_retries 2# 忽略ICMP广播报文防范Smurf攻击net.ipv4.icmp_echo_ignore_broadcasts 1# 禁止响应非法ICMP请求net.ipv4.icmp_ignore_bogus_error_responses 1# 限制TCP连接超时net.ipv4.tcp_keepalive_time 600net.ipv4.tcp_keepalive_intvl 30net.ipv4.tcp_keepalive_probes 3# 提升端口范围规避端口占用风险net.ipv4.ip_local_port_range 1024 65535# 关闭内核Dump防止敏感信息泄露kernel.core_pattern 0# 禁止非root用户查看内核日志kernel.dmesg_restrict 1# 防范地址随机化绕过kernel.randomize_va_space 25.2 生效配置并核查# 生效所有内核参数sysctl -p# 核查所有加固参数是否生效sysctl -a | grep 加固参数名六. 文件系统与权限安全加固6.1 配置默认 UMASK 权限修改系统默认权限掩码确保新建文件、目录权限最小化防止权限过宽vi /etc/profilevi /etc/bashrc添加/修改umask 077生效后新建文件默认权限600、目录默认权限700仅属主可读写执行。source /etc/profilesource /etc/bashrc6.2 关键文件权限锁定系统核心配置文件仅允许 root 读写禁止其他用户访问、修改# 关键权限加固chmod 600 /etc/shadowchmod 644 /etc/passwdchmod 600 /etc/gshadowchmod 644 /etc/groupchmod 600 /etc/ssh/sshd_configchmod 700 /root# 锁定文件禁止修改防止篡改chattr i /etc/shadowchattr i /etc/passwd6.3 临时目录安全挂载加固加固 /tmp、/var/tmp、/dev/shm 临时目录禁止执行恶意程序、SUID 提权vi /etc/fstab添加如下挂载参数tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev 0 0tmpfs /dev/shm tmpfs defaults,noexec,nosuid,nodev 0 0重新挂载生效mount -o remount /tmpmount -o remount /var/tmpmount -o remount /dev/shm6.4 清理 SUID/SGID 高危权限文件SUID/SGID 文件易被利用提权清理无用高危权限文件# 查找所有SUID文件find / -type f -perm -4000 2/dev/null# 查找所有SGID文件find / -type f -perm -2000 2/dev/null# 移除无用文件的SUID权限示例chmod u-s /usr/bin/chfnchmod u-s /usr/bin/chshchmod u-s /usr/bin/newgrp七. 系统服务与开机自启加固7.1 关闭无用高危服务关闭系统默认闲置、高危服务减少攻击面# 关闭打印、蓝牙、邮件等无用服务systemctl stop cups.servicesystemctl disable cups.servicesystemctl stop bluetoothsystemctl disable bluetoothsystemctl stop postfixsystemctl disable postfix# 关闭telnet、rlogin等高危明文服务systemctl stop telnet.socketsystemctl disable telnet.socket7.2 管控定时任务权限限制普通用户使用 crontab、at 任务防止恶意定时任务植入# 仅允许root使用定时任务touch /etc/cron.allowtouch /etc/at.allowchmod 600 /etc/cron.allowchmod 600 /etc/at.allowchown root:root /etc/cron.allowchown root:root /etc/at.allow# 禁止普通用户rm -f /etc/cron.denyrm -f /etc/at.deny八. 日志审计安全加固8.1 开启系统完整审计日志安装并启用 audit 审计服务记录系统关键操作满足合规追溯需求yum install audit audit-libs -ysystemctl start auditdsystemctl enable auditd8.2 配置日志留存与轮转策略vi /etc/audit/auditd.conf修改参数# 日志文件大小2048Mmax_file_size 2048# 保留10个历史日志文件num_logs 10# 日志满后轮转不阻塞系统disk_full_action ROTATE# 禁止日志被篡改immutable yes8.3 加固系统日志权限所有日志文件仅 root 可读写防止普通用户篡改、删除日志chmod 600 /var/log/*.logchmod 600 /var/log/messageschmod 600 /var/log/securechown root:root /var/log/*openEuler 安全加固工具日志默认存储于/var/log/openEuler-security.log需定期巡检。九. GRUB 引导加固防止恶意人员修改系统引导参数、破解 root 密码、篡改启动项openEuler 默认 GRUB 密码为 openEuler#12必须修改。9.1 生成加密 GRUB 密码# 生成SHA-512加密密码grub2-mkpasswd-pbkdf2输入自定义密码复制生成的加密密文。9.2 配置 GRUB 密码保护vi /etc/grub.d/40_custom添加如下内容粘贴上述加密密文set superusersrootpassword_pbkdf2 root 生成的加密密文9.3 生效 GRUB 配置# BIOS服务器grub2-mkconfig -o /boot/grub2/grub.cfg# UEFI服务器grub2-mkconfig -o /boot/efi/EFI/openEuler/grub.cfg加固效果修改引导参数、进入单用户模式必须输入 GRUB 密码。十. 防火墙与端口安全加固10.1 启用 firewalld 防火墙systemctl start firewalldsystemctl enable firewalld# 设置默认拒绝所有流量firewall-cmd --set-default-zonedrop10.2 仅放行业务必需端口# 放行SSH端口自定义端口需同步修改firewall-cmd --permanent --add-port22/tcp# 放行业务端口根据实际业务补充# firewall-cmd --permanent --add-port80/tcp# firewall-cmd --permanent --add-port443/tcp# 重载生效firewall-cmd --reload# 查看已放行端口firewall-cmd --list-ports十一. 安全加固验收标准与核查命令所有加固完成后逐项核查确保100%合规以下为核心验收命令11.1 账号口令核查# 核查口令有效期grep PASS /etc/login.defs# 核查登录锁定策略grep pam_tally2 /etc/pam.d/sshd# 核查root远程登录状态grep PermitRootLogin /etc/ssh/sshd_config11.2 内核参数核查sysctl -a | grep tcp_syncookiessysctl -a | grep ip_forwardsysctl -a | grep core_pattern11.3 文件权限核查ls -l /etc/shadow /etc/passwdumaskmount | grep tmpfs11.4 服务与端口核查systemctl list-unit-files | grep disabless -tulnpfirewall-cmd --list-all11.5 加固工具日志核查cat /var/log/openEuler-security.log
