文章总结: 该文档详细阐述了OpenEuler服务器部署前的安全加固与初始化配置流程。内容涵盖系统更新、用户权限管理、SSH安全配置、防火墙设置、日志审计、内核参数优化及文件系统加固等关键步骤。文档提供了具体的操作命令与配置示例,旨在通过最小化权限、禁用不必要服务和强化网络防护来提升系统安全性,具有很强的实操指导价值。 综合评分: 91 文章分类: 安全建设,终端安全,实战经验,安全工具
OpenEuler 服务器部署前安全加固与初始化配置指南
原创
刘军军 刘军军
运维星火燎原
2026年2月17日 00:38 山西
在部署应用前,对一台新的 欧拉操作系统(openEuler) 服务器进行安全加固和基础配置是非常关键的步骤。以下是一套推荐的操作清单,涵盖系统初始化、安全加固及运维准备等方面:
一、基础系统配置
1.系统更新
确保系统为最新状态,修复已知漏洞:
sudo dnf update -y
2.设置主机名与网络
- 设置有意义的主机名:
sudo hostnamectl set-hostname your-server-name
- 配置静态 IP(如需要),修改 /etc/sysconfig/network-scripts/ifcfg-xxx 或使用 nmcli(若使用 NetworkManager)。
3.配置时区与时间同步
sudo timedatectl set-timezone Asia/Shanghai
sudo dnf install chrony -y
sudo systemctl enable --now chronyd
二、用户与权限管理
4.禁用或删除不必要的账户
- 删除或锁定无用账户(如 games, ftp 等)。
- 禁用 root 远程登录(见 SSH 配置)。
5.创建普通运维用户 + sudo 权限
useradd -m -s /bin/bash opsuser
passwd opsuser
# 授予 sudo 权限
echo "opsuser ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
6.配置强密码策略(可选但推荐)
安装并配置 PAM 密码复杂度:
sudo dnf install pam_pwquality -y
编辑 /etc/security/pwquality.conf,例如:
minlen = 12
minclass = 3
dcredit = -1 # 至少一个数字
ucredit = -1 # 至少一个大写
lcredit = -1 # 至少一个小写
ocredit = -1 # 至少一个特殊字符
三、SSH 安全加固
7.修改 SSH 配置(/etc/ssh/sshd_config)
PermitRootLogin no
PasswordAuthentication no # 强烈建议使用密钥认证
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
AllowUsers opsuser # 仅允许特定用户
Protocol 2
ClientAliveInterval 300
ClientAliveCountMax 2
MaxAuthTries 3
重启 SSH 服务:
sudo systemctl restart sshd
注意:务必先测试密钥登录成功后再禁用密码!
四、防火墙与网络防护
8.启用并配置 firewalld
sudo systemctl enable --now firewalld
# 仅开放必要端口,例如 22(SSH)、80、443 等
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload
9.禁用 IPv6(如不需要)
编辑 /etc/default/grub,添加 ipv6.disable=1 到 GRUB_CMDLINE_LINUX,然后:
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
五、日志与审计
10.启用 auditd(系统审计)
sudo dnf install audit -y
sudo systemctl enable --now auditd
可配置关键文件监控(如 /etc/passwd, /etc/shadow, /etc/ssh/sshd_config)。
11.配置 rsyslog 远程日志(可选)
将日志发送到集中日志服务器,防止本地篡改。
六、内核与系统安全参数
12.调整 sysctl 安全参数
编辑 /etc/sysctl.conf 或新建 /etc/sysctl.d/99-security.conf:
# 防止 SYN flood
net.ipv4.tcp_syncookies = 1
# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# 启用反向路径过滤
net.ipv4.conf.all.rp_filter = 1
# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
生效:
sudo sysctl -p /etc/sysctl.d/99-security.conf
七、文件系统与服务最小化
13.禁用不必要的服务
systemctl list-unit-files --type=service | grep enabled
# 禁用如 avahi-daemon, cups, bluetooth 等非必要服务
sudo systemctl disable --now avahi-daemon
14.设置关键文件权限
chmod 600 /etc/shadow
chmod 644 /etc/passwd
chmod 600 /etc/ssh/sshd_config
chown root:root /etc/shadow
15.挂载点安全(如 /tmp, /var/tmp)
在 /etc/fstab 中为临时目录添加 noexec,nosuid,nodev:
tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0
八、安装安全工具(可选但推荐)
- fail2ban:防暴力破解
sudo dnf install fail2ban -y
sudo systemctl enable --now fail2ban
- ClamAV(如需病毒扫描)
- AIDE:文件完整性检测
sudo dnf install aide -y
sudo aide --init
sudo cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:运维星火燎原 刘军军 刘军军《OpenEuler 服务器部署前安全加固与初始化配置指南》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论