别让系统裸奔!openEuler 安全加固保命指南【华为根技术】
别让系统裸奔!openEuler 安全加固保命指南
提到 Linux 系统,很多运维同仁第一反应是:稳、快、好使。但是稳定≠安全,如果你把 openEuler 装完就直接“裸奔上公网”,那很可能一个月后系统日志里全是陌生的 SSH 登录、莫名其妙的端口监听、甚至 CPU 被偷偷挖矿干到 100%。
今天这篇文章,我们不讲“安全概论”,不谈“高深理论”,只讲一件事:
openEuler 操作系统如何一步步落地安全加固,防止服务器“裸奔送人头”?
本文从 5 个关键维度入手,手把手带你用最通俗的语言、最实用的命令、最扎实的代码,打造一个铁桶般的 openEuler 系统!
一、系统初装后必须干的几件事(别偷懒)
你刚装完 openEuler,系统光鲜亮丽,但安全性其实是“最低默认配置”。第一步,干净地做个初始化加固:
1. 修改默认SSH端口 + 禁用root远程登录
默认 22 端口如同“明牌邀请函”,全世界的扫描器都盯着它;同时 root 登录极易被暴力破解。
vi /etc/ssh/sshd_config
# 修改如下:
Port 22222
PermitRootLogin no
systemctl restart sshd
建议:启用普通账号 + sudo 权限登录,安全性立马翻倍。
二、防火墙不只是“开个服务”,而是真正的流量守门员
openEuler 默认集成 firewalld,它并不是摆设,合理配置后能有效拦截大部分“误闯者”。
开启并配置防火墙
systemctl enable firewalld
systemctl start firewalld
# 允许自定义端口
firewall-cmd --permanent --add-port=22222/tcp
# 移除默认22端口
firewall-cmd --permanent --remove-port=22/tcp
# 应用配置
firewall-cmd --reload
建议开放最小可用端口列表,比如只允许 SSH(改端口后)、HTTP/HTTPS、内网通信端口等。
三、SELinux不是“搞不懂”,而是“真能救命”
很多人装系统第一件事就是 setenforce 0,直接把 SELinux 关了,然后拍拍手说“舒服了”。
但你有没有想过,SELinux 就像 Linux 下的“行为审计官”,它能精准判断某进程是否在干正事。
如果你用 openEuler 做安全敏感的系统(如网关、堡垒机、数据库主机),强烈建议保留 SELinux 为 Enforcing 模式。
查看 & 修改状态
sestatus # 当前状态
vi /etc/selinux/config
# 修改为
SELINUX=enforcing
如果你实在怕配置麻烦,可以使用 openEuler 提供的 安全策略模板(policy),比如限制某服务只能访问特定目录。
四、账号安全:不怕“内部鬼”,也要防“外部贼”
openEuler 提供完整的账号策略控制能力,包括密码复杂度、登录失败锁定、空闲超时登出等。
密码策略配置
vi /etc/login.defs
# 修改以下内容
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_MIN_LEN 12
PASS_WARN_AGE 14
登录失败锁定配置(用 pam_tally2)
vi /etc/pam.d/system-auth
# 添加如下
auth required pam_tally2.so deny=5 unlock_time=300 onerr=fail audit
限制失败次数能有效防暴力破解;unlock_time=300 表示 5 分钟后自动解锁。
五、系统加固的高级玩法:CIS benchmark + openEuler自带工具
如果你觉得自己配置太烦,其实 openEuler 早就想到这点,它集成了企业级安全加固工具包:
1. 使用 secGear 进行安全审计
openEuler 的 secGear 是系统级安全框架,可以集成加密模块、TEE(可信执行环境)等,适用于有高安全需求的业务。
2. 引入 CIS 安全基准加固工具
CIS 是国际通用的系统加固标准(Center for Internet Security)。你可以通过以下方法快速验证系统是否达标:
# openEuler 可使用基于 Lynis 工具的扫描脚本
dnf install lynis -y
lynis audit system
扫描报告会告诉你当前系统在哪些方面存在安全风险,比如服务暴露、权限设置、日志未加密等。
⚠️ 实战场景:SSH 挖矿病毒是怎么入侵的?
很多企业运维朋友不以为意,结果服务器成了“矿机”。
某一次客户案例中,一台裸奔 openEuler 服务器刚上线 30 分钟就遭到扫描机器人攻击,暴力破解 SSH 登录后上传挖矿脚本,利用 crontab 保活。
反观另一个配置了:
- SSH 禁止 root 登录
- 改端口
- 加入 fail2ban
- SELinux 监控行为
的服务器,压根没被扫成功。
一行配置,胜过事后追查。
📌 小结:openEuler 安全加固清单
| 加固项 | 作用 | 建议级别 |
|---|---|---|
| SSH 配置 | 限制远程访问 | 必须 |
| 防火墙 | 限制外部流量 | 必须 |
| SELinux | 进程行为管控 | 建议启用 |
| 用户策略 | 防止内部风险 | 必须 |
| 系统审计 | 持续检查风险 | 建议 |
| 自动工具 | 快速对标标准 | 推荐 |
🔚 写在最后
安全这事儿,说穿了不是一蹴而就,而是一套系统、日拱一卒的过程。
openEuler 给了我们底层支持,但系统不主动加固就如同披着“国产马甲”的普通 Linux,抵御不了实战攻击。
- 点赞
- 收藏
- 关注作者
评论(0)