别让系统裸奔!openEuler 安全加固保命指南【华为根技术】

举报
Echo_Wish 发表于 2025/05/01 21:47:08 2025/05/01
【摘要】 别让系统裸奔!openEuler 安全加固保命指南

别让系统裸奔!openEuler 安全加固保命指南


提到 Linux 系统,很多运维同仁第一反应是:稳、快、好使。但是稳定≠安全,如果你把 openEuler 装完就直接“裸奔上公网”,那很可能一个月后系统日志里全是陌生的 SSH 登录、莫名其妙的端口监听、甚至 CPU 被偷偷挖矿干到 100%。

今天这篇文章,我们不讲“安全概论”,不谈“高深理论”,只讲一件事:

openEuler 操作系统如何一步步落地安全加固,防止服务器“裸奔送人头”?

本文从 5 个关键维度入手,手把手带你用最通俗的语言、最实用的命令、最扎实的代码,打造一个铁桶般的 openEuler 系统!


一、系统初装后必须干的几件事(别偷懒)

你刚装完 openEuler,系统光鲜亮丽,但安全性其实是“最低默认配置”。第一步,干净地做个初始化加固:

1. 修改默认SSH端口 + 禁用root远程登录

默认 22 端口如同“明牌邀请函”,全世界的扫描器都盯着它;同时 root 登录极易被暴力破解。

vi /etc/ssh/sshd_config
# 修改如下:
Port 22222
PermitRootLogin no

systemctl restart sshd

建议:启用普通账号 + sudo 权限登录,安全性立马翻倍。


二、防火墙不只是“开个服务”,而是真正的流量守门员

openEuler 默认集成 firewalld,它并不是摆设,合理配置后能有效拦截大部分“误闯者”。

开启并配置防火墙

systemctl enable firewalld
systemctl start firewalld

# 允许自定义端口
firewall-cmd --permanent --add-port=22222/tcp
# 移除默认22端口
firewall-cmd --permanent --remove-port=22/tcp
# 应用配置
firewall-cmd --reload

建议开放最小可用端口列表,比如只允许 SSH(改端口后)、HTTP/HTTPS、内网通信端口等。


三、SELinux不是“搞不懂”,而是“真能救命”

很多人装系统第一件事就是 setenforce 0,直接把 SELinux 关了,然后拍拍手说“舒服了”。

但你有没有想过,SELinux 就像 Linux 下的“行为审计官”,它能精准判断某进程是否在干正事。

如果你用 openEuler 做安全敏感的系统(如网关、堡垒机、数据库主机),强烈建议保留 SELinux 为 Enforcing 模式

查看 & 修改状态

sestatus    # 当前状态
vi /etc/selinux/config
# 修改为
SELINUX=enforcing

如果你实在怕配置麻烦,可以使用 openEuler 提供的 安全策略模板(policy),比如限制某服务只能访问特定目录。


四、账号安全:不怕“内部鬼”,也要防“外部贼”

openEuler 提供完整的账号策略控制能力,包括密码复杂度、登录失败锁定、空闲超时登出等。

密码策略配置

vi /etc/login.defs
# 修改以下内容
PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_MIN_LEN    12
PASS_WARN_AGE   14

登录失败锁定配置(用 pam_tally2)

vi /etc/pam.d/system-auth
# 添加如下
auth required pam_tally2.so deny=5 unlock_time=300 onerr=fail audit

限制失败次数能有效防暴力破解;unlock_time=300 表示 5 分钟后自动解锁。


五、系统加固的高级玩法:CIS benchmark + openEuler自带工具

如果你觉得自己配置太烦,其实 openEuler 早就想到这点,它集成了企业级安全加固工具包:

1. 使用 secGear 进行安全审计

openEuler 的 secGear 是系统级安全框架,可以集成加密模块、TEE(可信执行环境)等,适用于有高安全需求的业务。

2. 引入 CIS 安全基准加固工具

CIS 是国际通用的系统加固标准(Center for Internet Security)。你可以通过以下方法快速验证系统是否达标:

# openEuler 可使用基于 Lynis 工具的扫描脚本
dnf install lynis -y
lynis audit system

扫描报告会告诉你当前系统在哪些方面存在安全风险,比如服务暴露、权限设置、日志未加密等。


⚠️ 实战场景:SSH 挖矿病毒是怎么入侵的?

很多企业运维朋友不以为意,结果服务器成了“矿机”。

某一次客户案例中,一台裸奔 openEuler 服务器刚上线 30 分钟就遭到扫描机器人攻击,暴力破解 SSH 登录后上传挖矿脚本,利用 crontab 保活。

反观另一个配置了:

  • SSH 禁止 root 登录
  • 改端口
  • 加入 fail2ban
  • SELinux 监控行为

的服务器,压根没被扫成功。

一行配置,胜过事后追查


📌 小结:openEuler 安全加固清单

加固项 作用 建议级别
SSH 配置 限制远程访问 必须
防火墙 限制外部流量 必须
SELinux 进程行为管控 建议启用
用户策略 防止内部风险 必须
系统审计 持续检查风险 建议
自动工具 快速对标标准 推荐

🔚 写在最后

安全这事儿,说穿了不是一蹴而就,而是一套系统、日拱一卒的过程。

openEuler 给了我们底层支持,但系统不主动加固就如同披着“国产马甲”的普通 Linux,抵御不了实战攻击。

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。