网硕互联帮助中心在信创浪潮下,银河麒麟操作系统(以下简称“银河麒麟”)已成为党政军、金融、能源等关键领域的首选服务器操作系统。它不仅同源支持鲲鹏、飞腾、龙芯、海光、兆芯等多款国产CPU,还内置KYSEC本质安全机制,被誉为“国内最安全Linux之一”。然而,再安全的系统也需要“加固”才能真正抵御高级威胁。本文基于银河麒麟高级服务器操作系统V10 SP3(最新主流版本)实战经验,系统梳理从基础配置到高级防护的全链路加固干货,帮助运维同学快速把系统打造成“金钟罩”。
为什么银河麒麟天生就比普通Linux更安全?
银河麒麟不是简单“魔改CentOS/Ubuntu”,它有三大核心安全基因:
取代传统SELinux/AppArmor,提供强制访问控制(MAC)+执行控制(exectl)+安全标签。默认开启白名单执行控制,恶意脚本/木马直接弹窗拦截。
root被拆分成三个角色,防止超级管理员“一权独大”。
图形化/命令行双模式,支持等保三级/四级一键扫描加固。
但默认配置仍偏“易用”,生产环境必须手动加固。下面进入正题。
账户与密码策略加固(最常见攻击入口)
弱密码、默认账户是90%入侵的起点。
# 锁定系统默认账户(部分可能不存在,根据实际情况执行)
passwd -l sync
passwd -l shutdown
passwd -l halt
passwd -l news
passwd -l operator
passwd -l games
passwd -l gopher
# 删除无用账户
userdel adm
userdel lp
userdel uucp
编辑/etc/security/pwquality.conf:
minlen = 12 # 最小长度12位
dcredit = -1 # 至少1个数字
ucredit = -1 # 至少1个大写
lcredit = -1 = -1 # 至少1个小写
ocredit = -1 # 至少1个特殊字符
difok = 8 # 新密码与旧密码至少不同8位
retry = 3 # 最大重试3次
编辑/etc/login.defs:
PASS_MAX_DAYS 90 # 密码最长有效期90天
PASS_MIN_DAYS 0
PASS_WARN_AGE 7 # 过期前7天提醒
编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth,在auth段落添加:
auth required pam_faillock.so preauth silent deny=5 unlock_time=600
auth required pam_faillock.so authfail deny=5 unlock_time=600
(5次输错锁定10分钟)
编辑/etc/ssh/sshd_config:
PermitRootLogin no
PasswordAuthentication no # 强制密钥登录
重启sshd:systemctl restart sshd
文件权限与系统服务最小化
chmod 600 /etc/shadow
chmod 600 /etc/passwd
chmod 000 /etc/ssh/ssh_host_*
chmod 700 /root
chmod 750 /home/*
chmod 644 /etc/group
systemctl disable avahi-daemon cups telnet rsh rlogin rexec ypserv tftp vsftpd xinetd
# 查看开机启动服务
systemctl list-unit-files | grep enabled
编辑/etc/profile和/etc/bashrc添加:
umask 027
内核参数加固(sysctl最全清单)
编辑/etc/sysctl.conf,添加以下内容(等保三级+生产最佳实践):
# 网络安全
net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# 防御常见攻击
kernel.core_uses_pid = 1
kernel.kptr_restrict = 2
kernel.dmesg_restrict = 1
kernel.randomize_va_space = 2
fs.suid_dumpable = 0
# 防止ping和模块加载
net.ipv4.icmp_echo_ignore_all = 1
kernel.modules_disabled = 1
# 执行生效
sysctl -p
防火墙与网络访问控制
银河麒麟V10默认使用firewalld(部分老版本用iptables)。
systemctl enable –now firewalld
firewall-cmd –set-default-zone=drop # 推荐drop区,所有未明确允许的拒绝
firewall-cmd –permanent –add-service=ssh
firewall-cmd –permanent –add-port=80/tcp
firewall-cmd –permanent –add-port=443/tcp
firewall-cmd –reload
firewall-cmd –permanent –add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept"
firewall-cmd –permanent –add-rich-rule="rule family="ipv4" service name="ssh" drop" # 其他来源SSH全部丢弃
firewall-cmd –reload
审计与日志加固
systemctl enable –now auditd
-w /etc/passwd -p wa -k passwd
-w /etc/shadow -p wa -k shadow
-w /etc/ssh/sshd_config -p wa -k sshd
-a always,exit -F arch=b64 -S execve -k exec_command
配置rsyslog转发到集中日志服务器。
KYSEC高级安全机制深度配置
这是银河麒麟独门绝技!
security-switch –set strict # 需要重启
图形化:在“安全中心 → 应用保护 → 执行控制”添加信任程序
命令行:
exectl -a /usr/bin/bash # 授权bash
exectl -l # 查看列表
chkysec -t trusted /usr/local/myapp # 给自定义程序打信任标签
系统更新与补丁管理(安全永不过期)
编辑/etc/yum.repos.d/kylin.repo(服务器版)或apt源(桌面版),确保指向官方updates仓库。
# 服务器版yum-cron
yum install yum-cron
systemctl enable –now yum-cron
去官网“服务支持 → 系统更新”下载最新SP补丁包,使用rpm -Uvh批量升级。
银河麒麟官方提供“安全加固工具”(图形化),支持等保三级/四级一键扫描+修复,覆盖本文90%内容。生产环境强烈建议先用工具扫一遍,再手动精细化。
加固不是一劳永逸,要形成“最小化权限+及时更新+持续审计”的闭环。把本文收藏起来,下次部署银河麒麟服务器直接照着敲,3小时内就能让系统安全指数从60分飙到95分!
如果你的环境有特殊需求(如容器、虚拟化),欢迎留言交流,一起把国产系统玩得更安全、更极致!
评论前必须登录!
注册