在部署应用前,对一台新的 欧拉操作系统(openEuler) 服务器进行安全加固和基础配置是非常关键的步骤。以下是一套推荐的操作清单,涵盖系统初始化、安全加固及运维准备等方面:
一、基础系统配置
1. 系统更新
确保系统为最新状态,修复已知漏洞:
sudo dnf update -y
2. 设置主机名与网络
-
设置有意义的主机名:
sudo hostnamectl set-hostname your-server-name
-
配置静态 IP(如需要),修改
/etc/sysconfig/network-scripts/ifcfg-xxx 或使用 nmcli (若使用 NetworkManager)。
3. 配置时区与时间同步
sudo timedatectl set-timezone Asia/Shanghai
sudo dnf install chrony -y
sudo systemctl enable--now chronyd
二、用户与权限管理
4. 禁用或删除不必要的账户
-
删除或锁定无用账户(如 games , ftp 等)。
-
禁用 root 远程登录(见 SSH 配置)。
5. 创建普通运维用户 + sudo 权限
useradd -m -s /bin/bash opsuser
passwd opsuser# 授予 sudo 权限
echo "opsuser ALL=(ALL) NOPASSWD: ALL">> /etc/sudoers
6. 配置强密码策略(可选但推荐)
安装并配置 PAM 密码复杂度:
sudo dnf install pam_pwquality -y
编辑
/etc/security/pwquality.conf ,例如:
minlen = 12
minclass = 3
dcredit = -1 # 至少一个数字
ucredit = -1 # 至少一个大写
lcredit = -1 # 至少一个小写
ocredit = -1 # 至少一个特殊字符
三、SSH 安全加固
7. 修改 SSH 配置(/etc/ssh/sshd_config)
PermitRootLoginno
PasswordAuthentication no# 强烈建议使用密钥认证
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
AllowUsers opsuser # 仅允许特定用户
Protocol 2
ClientAliveInterval 300
ClientAliveCountMax 2
MaxAuthTries 3
重启 SSH 服务:
sudo systemctl restart sshd
注意:务必先测试密钥登录成功后再禁用密码!
四、防火墙与网络防护
8. 启用并配置 firewalld
sudo systemctl enable --now firewalld
# 仅开放必要端口,例如 22(SSH)、80、443 等
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload
9. 禁用 IPv6(如不需要)
编辑 /etc/default/grub ,添加 ipv6.disable=1 到 GRUB_CMDLINE_LINUX ,然后:
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
五、日志与审计
10. 启用 auditd(系统审计)
sudo dnf installaudit -y
sudo systemctl enable--now auditd
可配置关键文件监控(如 /etc/passwd , /etc/shadow , /etc/ssh/sshd_config )。
11. 配置 rsyslog 远程日志(可选)
将日志发送到集中日志服务器,防止本地篡改 。
六、内核与系统安全参数
12. 调整 sysctl 安全参数
编辑 /etc/sysctl.conf 或新建
/etc/sysctl.d/99-security.conf :
# 防止 SYN flood
net.ipv4.tcp_syncookies = 1
# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# 启用反向路径过滤
net.ipv4.conf.all.rp_filter = 1
# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
生效:
sudo sysctl -p /etc/sysctl.d/99-security.conf
七、文件系统与服务最小化
13. 禁用不必要的服务
systemctl list-unit-files --type=service | grep enabled
# 禁用如 avahi-daemon, cups, bluetooth 等非必要服务
sudo systemctl disable --now avahi-daemon
14. 设置关键文件权限
chmod 600 /etc/shadow
chmod 644 /etc/passwd
chmod 600 /etc/ssh/sshd_config
chown root:root /etc/shadow
15. 挂载点安全(如 /tmp, /var/tmp)
在 /etc/fstab 中为临时目录添加 noexec,nosuid,nodev :
tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 00
八、安装安全工具(可选但推荐)
-
fail2ban :防暴力破解
sudo dnf install fail2ban -y
sudo systemctl enable--now fail2ban
-
ClamAV (如需病毒扫描)
-
AIDE :文件完整性检测
sudo dnf install aide -y
sudo aide --initsudo cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
