银河麒麟系统加固

已于 2023-03-28 19:31:23 修改
阅读量4.2k 收藏 18
点赞数 3
分类专栏: 运维 文章标签: 系统安全 运维 linux
于 2022-09-20 20:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjl7035887/article/details/126960284
版权


本文介绍部分系统加固方法。后续有新内容再更新。

基于银河麒麟V10(非SP1,基于 Ubuntu16.04 改版)。

禁用USB存储设备

本系统禁用USB存储设备的方法和传统Ubuntu相比增加了一部。

# 禁用use_storage模块
echo "blacklist usb_storage" | sudo tee -a /etc/modprobe.d/blacklist.conf
# 禁用uas模块
echo "blacklist uas" | sudo tee -a /etc/modprobe.d/blacklist.conf
# 更新initramfs,此项是银河麒麟独需。
sudo update-initramfs -u

参考链接: Ubuntu禁用USB存储设备

封禁端口

执行防火墙配置需要具备一些基础。比如,iptables里面各个链(chain),运行机制(从上到下逐个判别,顺序很重要), 保存机制等。

比如要求为:

1.以下端口禁止开放:TCP21,TCP23,TCP/UDP135,TCP/UDP137,TCP/UDP138,TCP/UDP139,TCP/UDP445。
2.以下端口应限制访问 IP:TCP3389

具体执行如下:

# 先在银河麒麟系统中的控制面板->网络控制里面。将防火墙配置成自定义。
# 参考使用以下指令:
# 查看当前规则链
sudo iptables -nL
# 添加drop,使用了multiport模块
sudo iptables -I INPUT 1  -p tcp -m multiport --dport 21,23,135,137,138,139,445,3389 -j DROP
sudo iptables -I INPUT 2  -p udp -m multiport --dport 135,137,138,139,445,3389 -j DROP
# 删除num
sudo iptables -D INPUT 4
# 查看帮助
sudo iptables --help
# 保存,必须用root
iptables-save > /etc/iptables/rulesIPV4
# 开机自启动,写入/etc/rc.local的 exit 0 前面
iptable-restore < /etc/iptables/rulesIPV4

关键目录下文件变更

此问题一般由网安探针汇报。逻辑为监测 /lib/ 目录下有无文件变化。若存在。则告警。此问题的处理很是麻烦,必须先弄清楚探针是如何检测到目录变化的,其实他用到了Linux下的 audit 审计系统。

audit由红帽开发,负责系统审计。通过配置audit对 /lib/文件夹进行监控,然后audit发现异常汇报给探针。知道此机制后。我们就能顺腾摸瓜,同样基于audit去查找是哪些文件发生了变动。具体查找过程不做赘述,最终发现是麒麟内置的商店类应用后台存在创建/删除定时器的情况。禁用或删除这些服务即可。

# 先查找相关服务
systemctl list-units | grep kylin
------------输出内容----------------
  ksc-defender-init.service                   loaded active exited    Init kylin security center configure to system
  kylin-display-switch.service                loaded active running   The daemon of kylin display switch
  kylin-update-manager-dbus.service           loaded active running   Kylin Update Manager Dbus service
  dev-mapper-kylin\x2d\x2dvg\x2dswap_1.swap   loaded active active    /dev/mapper/kylin--vg-swap_1
  kylin-source-update-T1.timer                loaded active waiting   kylin-update-timer
  kylin-source-update-T2.timer                loaded active waiting   kylin-update-timer
  kylin-source-update-T3.timer                loaded active waiting   kylin-update-timer
  kylin-source-update-T4.timer                loaded active waiting   kylin-update-timer
  kylin-source-update-timer.timer             loaded active waiting   更新源管理器启动时间的定时器生成工具
# 对输出内容中kylin-source*相关程序stop并disable.

其实此问题暴露出麒麟系统工程师做事的一个不好的方面。其基于Ubuntu添加服务时,添加了一个kylin-source-update-timer.service。此服务每次开机启动后,会删除并创建4个kylin-source-update-T*.timer定时器。这些定时器会在随机时间点对麒麟软件源进行更新。但是实际上,这些timer是不需要删除重建的,只要使用程序判一下有没有,没有则创建就好了。这么简单粗暴的处理问题不大好。

MrHarson
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
银河麒麟高级服务器操作系统安全加固方案
10-10
银河麒麟高级服务器操作系统安全加固方案,等保三级
麒麟操作系统】查看和关闭139、445端口的方法
热门推荐
jin_study的博客
04-15 1万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、查看139、445端口的方法二、关闭139、445端口的方法三、139、445端口的作用 前言 作为国产操作系统,无论是银河麒麟,还是中标麒麟,它们的服务器操作系统或者桌面操作系统,已广泛应用于工业生产和科学研究领域,关于更多麒麟操作系统的介绍,可以参考以下公众号(航天派)前期的一些文章。 因为麒麟操作系统的内核是Linux系统内核,所以在使用与维护麒麟操作系统时,有必要掌握一些Linux命令。今天介绍麒麟操作系统中,.
网安等保-国产Linux操作系统银河麒麟KylinOS-V10SP3常规配置、系统优化与安全加固基线实践文档
hejinde的专栏
05-09 648
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
【kylin V10加固系统
qq_54947566的博客
11-28 1046
系统加固的作用是通过实施一系列安全措施,提高计算机系统的安全性,防范潜在威胁和攻击,以确保系统的稳定性、机密性和可用性。提示:下面案例仅供参考,具体实施以实际情况做配置。
银河麒麟高级服务器操作系统 V10 加固
最新发布
2301_80114500的博客
05-17 809
检查当前系统是否存在无用账户、可疑账户,及时进行禁用或者删除,可防止系统被黑。为了保证之后所创建的账号每个账号的口令复杂度均满足实际所需,需更改相应的配置。通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户。为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。定期更改密码有助于提高账户的安全性,设置合理的密码有效期是此项的目的。关闭当前不需要的服务,以防止黑客通过相关服务的漏洞入侵主机。也可遵循相应的密码有效期规则,需要修改相应的配置文件。
凝思&麒麟操作系统加固操作手册.docx
05-29
国产凝思及麒麟操作系统安全加固指导。含用户策略、身份鉴别、桌面配置、安全内核、主机配置、防火墙功能、网络服务管理、外设接口、自动播放、远程登录、外部连接管理、日志与审计等方面内容。
银河麒麟V4.0.2安防加固
LANSHUIHAIYU的专栏
01-09 588
例如:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1。编辑/etc/pam.d/common-password文件,在pam_cracklib.so行末增加以下内容。root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;1设置密码复杂度,登录失败锁定用户。
06-银河麒麟高级服务器操作系统V10 SP3 2303安全加固手册
09-08
安全加固手册: 包含15大领域: 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护 ......
07-银河麒麟高级服务器操作系统V10 SP3 2303安全三级加固手册
09-08
银河麒麟高级服务器操作系统V10 SP3 2303安全三级加固手册 包含9大领域和等保三级要求相关加固知识 1 安全服务 2 密码强度 3 账户锁定 4 系统安全 5 系统审计 6 系统设置 7 磁盘检查 8 资源分配 9 系统维护
02-银河麒麟高级服务器操作系统 V10 SP3 2303系统管理员手册
09-08
银河麒麟高级服务器操作系统 V10 同源支持飞腾、龙芯、申威、兆芯、海光、鲲鹏等自主 CPU 平台。本手册主要面向系统管理员及相关技术人员,如本手册未能详细描述之处,有需要请致电麒麟软件有限公司技术服务部门。 ...
内核参数-安全加固项 for 银河麒麟高级服务器操作系统 V10 SP3
weixin_53704976的博客
09-08 746
麒麟服务器操作系统进行安全加固时,在内核层面可以配置加固的项
网安等保 | 主机安全之KylinOS银河麒麟服务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-30 2458
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
网安等保-国产Linux操作系统银河麒麟KylinOS-V10SP3常规配置、系统优化与安全加固基线实践文档...
WeiyiGeek 唯一极客IT知识分享
04-27 7066
描述: 随着国家要求各政府部门及事企业单位服务器系统国产化,越来越多的的企业单位逐步引进国产化Linux操作系统(大趋势),在众多国产操作系统银河麒麟(KylinOS)、中科方德、统信UOS,此三家持续版本迭代超15年的其生态市场及占有率最高, 除此之外红旗Linux、共创Linux、凝思磐石、新支点、深度Linux、Start OS、思普操作系统、云针OS、鸿蒙OS、YunOS、OpenCloudOS等国产操作系统
麒麟信安操作系统衍生产品解决方案 | 安全探针软件,竖起内网安全护城墙
weixin_49546901的博客
08-25 2627
长久以来,麒麟信安以操作系统为根技术,并对主机安全防护进行深入研究,开发出了录屏审计软件、主机安全加固软件、存储多路径管理系统等系列增值产品,有效提升用户内部网络环境安全防护基线,从被动管理到主动监视及防御,有力保障企业网络以及终端安全稳定运行。可支持在金智科技、华众电信、东方电子、兆和电力、康拓普、科东电力、东方京海、南瑞信通、四方股份、威努特、优普科技、渔翁信息、泽宇智能、珠海鸿瑞、上海宽域、融安网络、苏州华天、大唐先一、研华科技、启明星辰、长园深瑞等Ⅱ型电力安全监测装置中运行。
银河麒麟高级服务器操作系统测试NFS服务端,客户端,端口加固配置
weixin_45754407的博客
12-15 1908
银河麒麟高级服务器操作系统测试NFS服务端,客户端,端口加固配置
Ubuntu 14.04 麒麟版安装:Apache+php5+mysql+phpmyadmin.
weixin_34019929的博客
10-29 200
2019独角兽企业重金招聘Python工程师标准>>> ...
V10 桌面版、服务器版系统加固
哂笑年少
11-16 657
默认参数比 V10 桌面系统多了一个 PASS_MIN_LEN, 代表密码最小长 度(V10 桌面系统中也可以加限制密码长度的参数)而在 V10 服务 器版的 pwquality.conf 中也限制了密码的最小长度,在login.defs 和 pwquality.conf 文件同时限制了密码最小长度时是 以 pwquality.conf 文件中的为准,也就是 pwquality.conf 的优先 级高于 login.defs 的优先级。密码老化 控制策略需要配置/etc/login.defs 文件;
银河麒麟v10 基线加固
06-22
### 回答1: 银河麒麟v10基线加固是指手机硬件和软件的防护措施进一步升级,以提高安全性和稳定性。硬件上,银河麒麟v10加强了手机壳体的耐磨性,以及连接手机的USB接口的耐用程度。软件上,系统的安全性得到了提高,应用程序的运行速度更加流畅,不易受到病毒的攻击和黑客的盗取。为确保数据的安全性,银河麒麟v10还提供了多种数据保护机制,如密码保护、指纹识别等。此外,银河麒麟v10还支持微信、支付宝等应用的指纹支付功能,使得支付更加便捷,安全性更高。总之,银河麒麟v10基线加固的升级,使得手机在安全性和稳定性方面更具优势,大大提升了用户的使用体验和数据的安全保障。 ### 回答2: 银河麒麟v10是一款高端智能手机。随着科技发展,手机功能越来越先进,对手机的基线加固也越来越重要。基线加固是指对手机的底层安全进行加固保护,这是保证手机整体安全的重要措施。 银河麒麟v10的基线加固措施包括了操作系统内核加固、驱动加固、文件系统加固、进程保护等方面。通过加固操作系统内核,可以抵御恶意程序的攻击,保证手机系统的安全。加固驱动和文件系统可以防止用户意外删除系统文件,避免手机出现不可逆的故障。进程保护可以在手机操作过程中尽可能地防止应用程序的不当行为,保护用户的数据和隐私安全。 银河麒麟v10基线加固的措施,不仅保护了手机的安全,而且可以有效预防黑客、病毒等恶意软件的攻击,提高用户的手机使用体验。此外,加固操作系统的安全性也能够避免手机用户信息泄露,保证用户的隐私安全。 总之,银河麒麟v10基线加固是一项极其重要的措施,这将有助于提高手机使用体验,保障用户的数据和隐私安全。 ### 回答3: 银河麒麟V10是一款高性能计算机系统,为了提高系统的稳定性和性能,需要进行基线加固。 基线加固是指针对系统操作系统和应用程序的基础设置,对系统进行优化和加固。通过对系统的安全设置、网络设置和性能设置等进行检查和优化,保障系统的安全性、可靠性和稳定性,提高系统的运行效率和性能。 在银河麒麟V10中,基线加固涉及到以下几个方面: 1.安全加固:加强系统安全性,设置安全策略,如关闭不必要的服务和端口、禁用不安全的网络协议等,以防止系统被攻击和病毒入侵。 2.网络优化:通过网络配置优化,提高系统网络通信速度和品质,缩短数据传输时间,优化用户的使用体验。 3.性能优化:优化系统的硬件和软件环境,提高系统的资源利用率,加快系统的运行速度和响应能力,提高系统的性能。 4.数据备份:定期备份关键数据,以防数据丢失或损坏。 总之,基线加固是对银河麒麟V10系统进行全面加固和优化,以提高系统的安全性、稳定性和性能,使系统运行更加顺畅和高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值