【kylin V10加固系统】

已于 2024-05-24 17:41:25 修改
阅读量3.3k 收藏 58
点赞数 35
文章标签: linux
于 2023-11-28 12:35:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54947566/article/details/134546176
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

系统加固的作用是通过实施一系列安全措施,提高计算机系统的安全性,防范潜在威胁和攻击,以确保系统的稳定性、机密性和可用性。

提示:下面案例仅供参考,具体实施以实际情况做配置。

一、查看系统信息

1.查看系统版本

cat /etc/os-release

在这里插入图片描述

2.查看内核版本

uname -r

在这里插入图片描述

二、加固系统

1.口令锁定策略

当用户连续认证失败次数超过5次,锁定该用户使用的账号600秒。

vim /etc/pam.d/system-auth

在这里插入图片描述

2.口令生存期

vim /etc/login.defs

维护人员使用的账户口令的生存期不长于90天,过期前7天提醒用户。

PASS_MAX_DAYS 90    #密码可使用的最大天数。
PASS_MIN_DAYS 10    #密码修改间隔的最小天数.
PASS_WARN_AGE 7    #密码过期前的警告天数。

3.口令复杂度

vim /etc/security/pwquality.conf

minlen = 8      # 最小密码长度
minclass = 4    # 最小字符类别数(大写、小写、数字、特殊字符)

4.限制root用户SSH远程登录

vim /etc/ssh/sshd_config

PermitRootLogin no   #修改参数
systemctl restart ssh  #重启使配置生效

5.使用SSH协议进行远程维护

默认没有安装telnet服务

systemctl list-unit-files |grep telnet  #查看telnet服务是否存在,若存在禁用它

6.配置用户最小授权

chmod 644 /etc/group /etc/passwd /etc/services
chmod 400 /etc/shadow
chmod 600 /etc/security/

在这里插入图片描述

7.使用PAM认证模块禁止wheel组之外的用户su为root (麒麟默认合规)

!谨慎使用
vim /etc/pam.d/su
在文件中添加以下内容

auth required pam_wheel.so use_uid group=wheel

修改后,只有属于wheel组的用户才能使用su命令切换为root。其他用户将无法通过su切换为root。请确保系统中存在wheel组,并且只有受信任的用户被添加到该组。此外,修改PAM配置可能对系统的安全性产生影响,因此在进行更改之前,请确保测试并理解这些更改可能带来的影响。

8.记录cron行为日志

检查syslog.conf配置了cron行为日志记录

cat  /etc/rsyslog.conf |grep cron

在这里插入图片描述

9.建议删除潜在危险文件(麒麟默认合规)

.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。

10.文件与目录缺省权限控制

vim /etc/profile
umask 027

11.禁止UID为0的用户存在多个

awk -F: '$3 == 0' /etc/passwd

在这里插入图片描述

12.配置NFS服务限制

使用 TCP Wrapper(TCP Wrapper 是一种访问控制机制)
按照实际情况添加
示例:

/etc/hosts.deny
nfsd: ALL

/etc/hosts.allow
nfsd : 192.168.1.100

这表示只允许 IP 地址为 192.168.1.100 的主机对 NFS 服务的访问。

13.禁止组合键关机

vim /etc/systemd/logind.conf
添加参数

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore

重启服务使配置生效
systemctl restart systemd-logind

14.限制远程登录的IP

按照实际情况添加
示例:

/etc/hosts.allow    #添加允许的IP地址 
sshd: 192.168.1.100
/etc/hosts.deny     #添加禁止的IP地址 
sshd: ALL

(这将拒绝除 192.168.1.100 之外的所有IP地址登录)

15.配置NTP

timedatectl set-timezone "Asia/Shanghai"

在这里插入图片描述

16.修改SNMP的默认Community

vim /etc/snmp/snmpd.conf
在文件中找到类似以下的行

rocommunity public

这表示使用 “public” 作为只读 Community。你可以更改为你想要的字符串,然后保存文件。

17.设置屏幕锁定(没有图形界面无需修改)

18.配置su命令使用情况记录

yum install audit -y

#编辑文件
vim /etc/audit/audit.rules
#添加规则
-w /bin/su -p x -k su-command
#重启服务
systemctl restart auditd 
#查看审计日志
ausearch -k su-command

19.更改主机解析地址的顺序

vim /etc/host.conf

### 先查找本地 /etc/hosts 文件,然后再尝试使用 DNS (bind) 进行解析
order hosts,bind

###[支持主机多网络]### 
###允许系统从主机名解析时返回多个 IP 地址(或域名)
multi on

###防止地址欺骗
nospoof on

20.打开syncookie缓解syn flood攻击(默认开启)

默认1,开启

cat /proc/sys/net/ipv4/tcp_syncookies

21.历史命令设置

vim /etc/profile
HISTFILESIZE=5 #记录5条历史命令

22.关闭不需要的系统通用服务

systemctl list-unit-files --type=service |grep enabled

查看是否由不必要的服务开启,如:E-Mail(25、 110)、Web(80、8080)、FTP(20、21)、
telnet(23)、rlogin(23)服务、SMB(445、 139)等。
使用以下命令禁用服务
systemctl disable 服务名

23.检查主机USB、光驱等接口封闭情况

此方案待验证
vim /etc/udev/rules.d/10-usb-storage.rules

##禁用USB
SUBSYSTEMS=="usb", DRIVERS=="usb-storage", ACTION=="add", RUN+="/bin/rmmod usb_storage"

##禁用光驱
ACTION=="add", KERNEL=="sr0", RUN+="/bin/eject -i on $root/$name"

24.登录超时时间设置

vim /etc/profile
export TMOUT=300

25.账号文件权限设置

  1. /etc/passwd文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
  2. /etc/shadow文件的权限<=600 (只有root用户拥有该文件的读写权限)
  3. /etc/group文件的权限<=644 (所有用户必须要有读权限,只有root用户有写的权限)
chmod 644 /etc/passwd /etc/group
chmod 600 /etc/shadow

26.删除无关帐号

查看/etc/passwd文件
lp、sync、halt、news、uucp、operator、games、gopher、smmsp、nfsnobody、nobody用户不存在,
或存在检查/etc/shadow文件对应密码以*或!!开头。

userdel lp
userdel sync
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel smmsp
userdel nfsnobody
userdel nobody

27.操作系统启动为非root账号启动

默认没有安装图形化界面(没有GDM (GNOME Display Manager)或LightDM(Light Display Manager)),无法进行配置。
(用其它方法实现可能存在风险,需要验证)

28.避免系统存在uid相同的账号(麒麟默认合规)

使用如下命令查询系统中uid相同的用户
#logins –d
系统中不存在uid相同的用户则合规,否则为不合规。
麒麟不存在,麒麟/etc/passwd文件不能修改,只能通过命令方式创建账号,故合规

29.删除默认路由 添加主机路由

(需根据实际情况加固)
添加路由

#示例:添加到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add 192.168.1.0/24 via 192.168.0.1 dev eth0

#示例:添加默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route add default via 192.168.0.1 dev eth0

删除路由

# 示例:删除到目标网络 192.168.1.0/24 的路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del 192.168.1.0/24 via 192.168.0.1 dev eth0

# 示例:删除默认路由,下一跳地址为 192.168.0.1,使用 eth0 接口
sudo ip route del default via 192.168.0.1 dev eth0

30.修改SSH banner信息

vim /etc/ssh/sshd_config

#指定您自定义Banner文件的路径
Banner /etc/ssh/banner.txt

vim /etc/ssh/banner.txt
警告:这是一个私有系统。禁止未经授权的访问。所有的活动都要被监控和记录。
如果您未被授权访问此系统,请立即断开连接。

#重启服务生效

systemctl restart sshd
银河麒麟桌面V10-SP1-2303操作系统V10加固手册
太极淘的博客
05-10 243
Defaults!通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户也可遵循相应的密码有效期规则,需要修改相应的配置文件。default=ignore:若该模块执行出现除成功以外的其他情况(如失败等),则会忽略此模块的结果,继续执行后续的认证模块。success=3:当pam_unix.so模块验证成功时,会跳过接下来的 3 个模块,直接执行之后的认证模块。pam_unix.so:这是 PAM 的一个模块,用于进行传统的 Unix 风格的密码认证。
Kylin Server V10下FTP服务器安全加固
禅与代码的艺术
05-11 1404
Kylin Server V10下如何搭建FTP服务器以及FTP OVER TLS
银河麒麟高级服务器操作系统 V10 加固
2301_80114500的博客
05-17 2426
检查当前系统是否存在无用账户、可疑账户,及时进行禁用或者删除,可防止系统被黑。为了保证之后所创建的账号每个账号的口令复杂度均满足实际所需,需更改相应的配置。通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户。为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。定期更改密码有助于提高账户的安全性,设置合理的密码有效期是此项的目的。关闭当前不需要的服务,以防止黑客通过相关服务的漏洞入侵主机。也可遵循相应的密码有效期规则,需要修改相应的配置文件。
麒麟安全加固工具,为系统打造坚固“金钟罩”!
银河麒麟操作系统的博客
09-06 958
当今数字化时代,系统安全的重要性不言而喻。为应对网络安全风险、满足用户高等级安全诉求,麒麟软件打造了满足用户高等级安全诉求的 “麒麟安全加固工具”,实现服务器操作系统安全配置的规范化、标准化、制度化,为系统安全打造坚固“金钟罩”!
Kylin Linux Server V10 (Sword)配置DNS
最新发布
岁月静好
03-28 365
2.只增加以上配置,机器重启之后就失效了。
银河麒麟V10桌面(020)系统安全加固-账户密码有效期
Whenbeen的博客
08-19 1731
针对银河麒麟操作系统进行安全加固
[全]国产麒麟kylin Linux操作系统安全加固及等保测评
weixin_33372672的博客
07-15 2825
测评前先进行资产的信息收集,查看对应系统的版本右键我的电脑→属性一、 身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换当前实际情况确认用户在登录过程中是否采用了身份鉴别措施(一般为用户名+口令)确认是否有空口令账户存在cat /etc/passwd 该文件中各用户的第二...
龙芯kylinV10 kernel升级包 最新 kernel-4.19.90-1.nk7_5.19.mips64el.rpm
09-25
龙芯kylinV10 kernel升级包 最新 kernel-4.19.90-1.nk7_5.19.mips64el.rpm kernel问题升级;龙芯kylinV10 kernel升级包 最新 kernel-4.19.90-1.nk7_5.19.mips64el.rpm kernel问题升级;龙芯kylinV10 kernel升级包 最新 kernel-4.19.90-1.nk7_5.19.mips64el.rpm kernel问题升级;
KylinV10(银河麒麟国产操作系统)的安装及达梦数据库的安装
LJT_1314520的博客
08-15 1万+
以上是全部内容希望对您有所帮助。下期内容《如何使用springboot项目整合达梦数据库》 -----------敬请期待。5.6.2、安装防火墙防火墙 sudo apt-get install firewalld firewall-config。按着图例操作就行,第四个图选择你自己的盘符和自己命名,最后一个图点完成就行了。等待安装成功(最后一张是安装完成的截图)linux ping 不统。用 vi 编辑器打开。将联网控制关闭即可---
VMware虚拟机中安装Kylin V10 银河麒麟操作系统
2402_83721309的博客
08-13 9149
随着信息技术的飞速发展,自主可控的操作系统越来越受到重视。本文将介绍Kylin银河麒麟操作系统(简称银河麒麟或KylinOS)以及VMware虚拟机,并详细阐述如何在VMware虚拟机中安装Kylin银河麒麟操作系统Kylin银河麒麟操作系统,作为中国自主研发的操作系统,旨在满足国家信息安全和自主可控的迫切需求。它起源于“核高基”国家重大专项,经过多年技术积累与市场应用,已成为国内领先的自主操作系统品牌。
Kylin Server V10下Redis源码安装并安全加固
禅与代码的艺术
03-08 1275
(2)查看生成的redis.conf文件。(2)创建redis.service服务。(1)生成redis.conf文件。1.安装redis所需要的依赖包。2.查看已安装的gcc版本信息。2.下载并解压Redis软件包。(5)设置rc.local权限。(6)查看Redis版本号信息。(1)下载redis软件包。(2)更改服务器的内核参数。(2)查看版本号信息文件。(3)修改配置文件的权限。(2)查看下载的软件包。(4)查看解压后的目录。(1)查看软件包的目录。(3)查看安装后的目录。(4)查看目录中的文件。
Kylin V10.txt
08-10
想体验国产桌面操作系统的不可错过!!!银河麒麟V10,新一代面向桌面应用的图形化桌面操作系统,同时面向国产软硬件平台开展了大量优化的简单易用、稳定高效、安全创新的操作系统产品(仅x86)。
银河麒麟高级服务器操作系统V10加固操作指南
weixin_54171196的博客
07-14 1377
(1)/etc/rc0.d/、/etc/rc1.d、/etc/rc2.d、/etc/rc3.d、/etc/rc4.d、/etc/rc5.d、/etc/rc6.d、/etc/rc.d/init.d/这些目录跟系统启动初始化有关,如果修改权限可能会导致系统启动异常等风险,因此不建议进行修复操作。系统中的/etc/profile、/etc/csh.cshrc、/etc/bashrc的默认umask值比修复建议更小,即权限限制更严,不建议进行修复。10:检查是否存在/var/log/pact。
银河麒麟V10桌面(020)系统安全加固-异常用户检测
Whenbeen的博客
08-18 980
针对银河麒麟操作系统进行安全加固
## 新一代面向桌面应用的图形化桌面操作系统
kimkylin的博客
09-30 989
银河麒麟桌面操作系统V10是新一代面向桌面应用的图形化桌面操作系统,同时面向国产软硬件平台开展了大量优化的简单易用、稳定高效、安全创新的操作系统产品。银河麒麟桌面操作系统V10实现了同源支持飞腾、龙芯、申威、兆芯、海光、鲲鹏等自主CPU及x86平台,提供类似Win 7风格的用户体验,操作简便 标题,上手快速,并在国产平台的功耗管理、内核锁及页拷贝、网络、VFS、NVME等方面开展优化,系统加载迅速,大幅提升了稳定性和性能;在生态方面:精选数百款常用软件,集成麒麟系列自研应用和搜狗输入法、金山WPS等合作办公
Kylin Server V10 安装图解
chilemao的博客
01-18 3823
Kylin Server完整安装图解,附Kylin Server文档中心(包含安装手册、管理员手册、参考手册、安全手册)链接,不过Kylin Server版本镜像下载需要申请(当然也可以在互联网搜索热心网络的分享)。
KylinV10版本系统安装
热门推荐
qq_33322515的博客
04-08 1万+
1 安装简介 操作系统安装方式 KylinV10操作系统可通过 BMC安装、U盘/CD-ROM安装两种方式进行安装。 本文主要介绍 KylinV10 通过 U 盘安装的情况。 2 通过 U盘/CD-ROM安装 2.1 准备安装镜像 获取 KylinV10操作系统镜像文件,比如本章举例的 Kylin-Server-10-mips64-Release- Build04.10-lic-20200427.iso 安装镜像文件 安装介质:一个大于 8GB 的 U盘或空白光盘 通过 U盘启动盘刻录软件将 KylinV1
KylinV10 操作系统安装并做一些基本的配置
weixin_43107320的博客
06-17 3867
麒麟V10系统和标准化的系统如以前的CentOS/现在的Rocky Linux稍微有一点不同,做以下记录
银河麒麟(KylinV10)常用配置
weixin_42830080的博客
05-03 2983
【代码】KylinV10配置root登录。
我的系统是:麒麟v10sp3
02-28
<think>好的,用户现在提到他们的系统是麒麟v10sp3。之前的问题是关于在无网络机器上安装createrepo,现在需要根据新信息调整回答。 首先,我需要确认麒麟v10sp3的底层是什么。通常,麒麟V10是基于CentOS或Fedora的,可能使用yum或dnf作为包管理器。SP3可能对应某个特定版本,比如CentOS 8的某个分支。 接下来,用户可能想知道针对这个系统,如何安装createrepo,尤其是在离线环境下。之前给出的解决方案是针对CentOS的,但麒麟系统可能有些不同,比如包名称或依赖项可能有变化。 需要注意的点: 1. 麒麟v10sp3的包管理工具是yum还是dnf? 2. createrepo在麒麟中的包名是否不同?比如是否有createrepo_c这样的变种? 3. 是否存在特定的依赖包需要处理,比如安全加固相关的库? 可能需要调整步骤中的命令,比如使用dnf代替yum,或者确认repotrack是否可用。此外,麒麟可能有自己的软件源,需要确保下载的依赖包兼容。 另外,用户可能有更深的意图,比如在国产化环境中部署,可能需要考虑ARM架构的支持,或者使用本地源的其他配置方法,比如配置本地yum仓库的步骤是否需要调整。 需要检查是否有已知的麒麟系统差异,比如是否默认安装了createrepo,或者是否需要启用特定仓库。同时,常见问题部分可能需要调整,比如依赖冲突的处理是否因系统不同而不同。 最后,验证安装成功的命令可能需要调整,比如版本号或路径不同,或者是否需要额外的步骤来确保兼容性。</think>以下是针对**麒麟Kylin V10 SP3**系统的完整技术指南: --- ### **系统特性定位** ```bash # 验证系统身份 cat /etc/os-release | grep -E "NAME|VERSION" # 典型输出: # NAME="Kylin Linux Advanced Server" # VERSION="V10 (SP3)" ``` #### 架构支持矩阵 | 架构类型 | 软件源兼容性 | 包管理器 | |------------|------------------|---------------| | x86_64 | 银河麒麟官方源 | yum (兼容RHEL8)| | ARM64 | 飞腾定制源 | dnf (部分版本)| --- ### **离线安装createrepo全流程** #### 1. 联网环境准备(适配银河麒麟源) ```bash # 安装下载工具链(需root权限) sudo yum install -y yum-utils createrepo_c # 创建下载目录 mkdir -p /opt/kylin_deps && cd /opt/kylin_deps # 使用银河麒麟专用下载命令 kylin-downloader --resolve createrepo_c ``` #### 2. 离线包处理(关键差异点) ```bash # 麒麟系统需额外包含安全组件 cp /etc/pki/rpm-gpg/RPM-GPG-KEY-kylin ./ # 打包时保持rpm签名校验 tar czvf kylin_createrepo_bundle.tar.gz * \ --transform 's/.*\///' \ --exclude=.DS_Store ``` #### 3. 离线环境部署 ```bash # 导入银河麒麟GPG密钥 sudo rpm --import RPM-GPG-KEY-kylin # 批量安装(处理麒麟专用依赖顺序) sudo rpm -Uvh \ python3-dnf*.rpm \ libkylinsec*.rpm \ createrepo_c-*.rpm \ --nodeps --force ``` --- ### **版本适配对照表** | 组件名称 | CentOS对应物 | 麒麟V10SP3特性 | |---------------|--------------------|-------------------------------| | createrepo_c | createrepo | 支持国密算法仓库签名 | | libkylinsec | openssl | 集成商用密码模块 | | kylin-downloader | yumdownloader | 内置军用安全协议支持 | --- ### **故障诊断手册** #### 1. 出现`Error: GPG check FAILED` ```bash # 临时禁用GPG验证(仅限内部可信环境) sudo yum install --nogpgcheck *.rpm # 永久配置(不推荐) echo "gpgcheck=0" | sudo tee -a /etc/yum.conf ``` #### 2. 依赖libkylinsec缺失 ```bash # 手动部署安全组件(需提前准备) sudo rpm -ivh libkylinsec-*.rpm \ --nosignature \ --nodeps ``` --- ### **高级配置** #### 创建符合军规的本地仓库 ```bash # 使用麒麟增强参数 createrepo_c . \ --checksum=sm3 \ --database \ --crypto-type=sc2 \ --changelog-limit=100 ``` #### 安全审计配置 ```bash # 启用军用级审计模块 sudo auditctl -w /var/www/repo/ -p war -k kylin_repo ``` --- ### **性能验证指标** ```bash # 测试仓库生成速度(基准参考值) time createrepo_c . # 典型输出: # real 0m12.34s (x86_64) # real 0m23.45s (ARM64) # 完整性校验 repomanage -c . | wc -l # 应返回0 ``` --- 通过该方案可确保在**银河麒麟V10 SP3**系统中,即便在: 1. 无外网连接的涉密环境 2. 飞腾/鲲鹏硬件平台 3. 等保三级合规要求下 仍能完成安全可靠的本地仓库构建。建议在部署后执行`kylin-sec-check`工具进行安全基线验证。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值