麒麟操作系统安全基线配置操作手册

麒麟操作系统安全基线配置操作手册文件编号：KYLIN-KYOSER-V1.0声明本手册中所列举的配置参数为麒麟操作系统初始状态下或软件安装后默全参考。在实际使用过程中，用户方应在充分考虑部署环境、相关应用软前言性和可靠性至关重要。银河麒麟操作系统已广泛应用于我国党政军关键行业领域。为贯彻落实国家网络安全等级保护制度及相关安全作系统的部署与配置，有效防范和抵御潜在的安全威胁，提升信息本手册旨在为系统管理员、安全运维人员和技术工程师提供一套全面、性强的安全配置指南。手册内容基于国内外安全最佳实践、国家信规范，结合银河麒麟操作系统的技术特性，详细阐述了从安全服通过遵循本手册的指导进行系统配置，可以显著减少系统的攻击访问控制能力，确保数据保密性与完整性，并建立有效的安全审计追踪请注意，本手册提供的配置建议是基于通用安全场景，在实际业务系统的具体需求、性能要求及面临的独特威胁进行审慎评估建议在将任何配置变更应用于生产环境之前，在测试环境中希望本手册能成为您构建安全、稳定、高效的银河麒麟操作系2025年08月参编单位麒麟操作系统安全基线配置操作手册I 8 20 22 35 36 36 453.1修改snmp默认团体字 47麒麟操作系统安全基线配置操作手册 49 51 54 56 65 67 685.7检查是否安装入侵检测工具AIDE 72 73 81 83 6.9设置守护进程的umask值 7潜在风险 91 96 99 100 9风险账户 108 12.2启用SELinux 麒麟操作系统安全基线配置操作手册1◆分类：用于表示当前加固项所属的大类（安全服务、内核参数、安全网络、系统命令、系统审计、系统设置、潜在风险、文件权限、风险账户、密码强度、账户锁◆标题：标题包含统一的编号+空格+加固项名；◆级别：表示当前条目所属的重要级别，当前分为两级："要求"表示核心配置，下必须满足；"建议"表示开启后对系统影响较大建议配置，对于高安全要求的系统，建◆适用版本：表示该条目适用哪些服务器版本，V4、中标麒麟高级服务器操作系统V7、银河麒麟高级服务器操作系统V10、银河麒麟高级服务器操作系统V10SPX、银河麒麟桌面操作系统V10SP1"；◆说明：用于说明该规则的要求、背景；◆检查方法：用于表示在系统中通过什么方式检查该规则是否满足；◆修改建议：加固方法用于表示在系统中通过什么方式修复、配置该规则，使之满足要求；还原方法用于表示在系统中通过什么方式将加固过后的系统恢◆修改影响：用于说明系统如果按照该规则进行配置，对系统或业务造成的影响，如果没有影响，则写"无"。◆其他▪V7/V10/V10SPX安装软件包：使用系统默认yum源，通过yuminstall命令安装。▪V4安装软件包：使用deb/kylin/KYLIN-ALL10.0mainrestricteduniversemultiverse源，通过sudoaptinstall命令安装。▪V4执行手册中的命令需要使用sudo权限。麒麟操作系统安全基线配置操作手册21.1禁用不必要的系统服务银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1服务器禁用不必要的系统服务：cups{cups.service,cups-lpd.socket}、sendmail{sendmail.service}、nfs{nfs.service,nfs-server.service}、ident{auth.socket}、ntalk{ntalk.socket,ntalk.service}、bootps{dhcpd.service}、ypbind{ypbind.service}、nfs-lock{nfs-lock.service}、tftp{tftp.service,tftp.socket}、rsync{rsyncd.service}、vsftp{vsftpd.service}。桌面禁用不必要的系统服务：cups{cups.service}、tftp{tftpd-hpa.service}、rsync{rsync.service}、vsftp{vsftpd.service}。[root@localhost~]#systemctlis-enabled<服务名>麒麟操作系统安全基线配置操作手册3disabled[root@localhost~]#systemctlis-active<服务名>inactive结果为diable代表禁止服务自启动；结果为inactive、unknow代表服务处于[root@localhost~]#systemctldisable<服务名>[root@localhost~]#systemctlstop<服务名>如果检查时服务为启用状态，使用如下方法[root@localhost~]#systemctlenable<服务名>[root@localhost~]#systemctlstart<服务名>禁用不必要的系统服务可以减少攻击面，加固后无法使用如cups{cups.service,cups-lpd.socket}、sendmail{sendmail.service}、nfs{nfs.service,nfs-server.service}、ident{auth.socket}、ntalk{ntalk.socket,ntalk.service}、bootps{dhcpd.service}、ypbind{ypbind.service}、nfs-lock{nfs-lock.service}、tftp{tftp.service,tftp.socket}、rsync{rsyncd.service}、vsftp{vsftpd.service}，加固项功能如麒麟操作系统安全基线配置操作手册4服务功能cupsCUPS服务支持本地打印机、网络打印机，并能够共享打印机。sendmailSendmail服务是一种电子邮件传输代理程序，它允许用户在本地和远程主机之间发送和接收邮件。nfsNFS（NetworkFileSystem）是一种分布式文件系统协议，它允许用户在客户端和服务器之间共享文件和目录。。identIndent服务是一种认证机制，它允许用户通过网络协议（如SSH）访问服务器上的资源。ntalkNtalk是一种基于文本的聊天服务，它允许用户通过网络协议（如TCP/IP）进行实时通信。bootpsBOOTP是一种用于网络设备自动配置的协议，它允许无盘工作站从网络上获取IP地址、子网掩码、默认网关等信息。。ypbindypbind（YellowPagesBind）是NIS（NetworkInformationService）的客户端守护进程。nfs-lockNFS-Lock服务是NetworkFileSystem（NFS）的一部分，它负责在客户端和服务器之间协调文件锁定。tftpTFTP（TrivialFileTransferProtocol）是一种简单的文件传输协议，它允许用户在客户端和服务器之间上传或下载文件。rsyncRSync服务是一种文件同步工具，它允许用户在本地和远程主机之间进行快速、安全的数据备份和迁移。vsftpVSFTP（也称为VSFTPD，代表“VerySecureFTPDaemon”）是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，其全称是VerySecureFTP麒麟操作系统安全基线配置操作手册51.2设置ssh登录前警告Banner银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10检查系统openssh安全配置，设置ssh登录前警告Banner。通过如下命令检查/etc/ssh/sshd_config文件中Banner后路径是否为/etc/：[root@localhost~]#grep"^Banner"/etc/ssh/sshd_configBanner/etc/检查/etc/文件中是否包含如下行：Authorizedusersonly.Allactivitiesmaybemonitoredandreported.结果为Banner后路径为/etc/；/etc/文件存在上述行，满6编辑/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"进行注释，在注释行之后添加以下内容，不存在Banner行在文件末添加以下内容：Banner/etc/[root@localhost~]#echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件将加固时新增的行删除，如果文件默认存在未注banner行，去掉Banner行的注释，恢复/etc/文件。[root@localhost~]#systemctlrestartsshd银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，设置ssh登录前警告Banner。通过如下命令检查/etc/ssh/sshd_config文件中Banner后路径是否为/etc/：kylin@Kylin:~$sudogrep"^Banner"/etc/ssh/sshd_config7Banner/etc/检查/etc/文件中是否包含如下行（默认值为KylinV10SP1Authorizedusersonly.Allactivitiesmaybemonitoredandreported.结果为Banner后路径为/etc/；/etc/文件存在上述行，满编辑/etc/ssh/sshd_config文件，如果存在Banner在行首添加"#"进行注释，在注释行之后添加以下内容，不存在Banner行在文件末添加以下内容：Banner/etc/kylin@Kylin:~$sudobash-c'echo"Authorizedusersonly.Allactivitiesmaybemonitoredandreported.">/etc/'kylin@Kylin:~$sudosystemctlrestartsshd编辑/etc/ssh/sshd_config文件将加固时新增的行删除，如果文件默认存在未注banner行，去掉Banner行的注释，恢复/etc/文件(KylinV10SP1)。kylin@Kylin:~$sudosystemctlrestartsshd虽然Banner不会直接阻止未经授权的访问，但它是一种很好的预防措施，有助81.3设置ssh成功登录后Banner信息银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10检查系统openssh安全配置，设置ssh登录后警告Banner。通过如下命令验证SSH服务是否应用pam_motd.so模块：[root@localhost~]#grep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"sessionoptionalpam_motd.so通过如下命令检查/etc/motd文件是否包含如下内容:[root@localhost~]#cat/etc/motdLoginsuccess.Allactivitywillbemonitoredandreported.结果为/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，满足基线要求，无需加固，否则建议执行加固方法，加固前先记录一下/etc/motd文件的默认内9编辑/etc/pam.d/sshd文件，添加如下行确保ssh应用pam_motd.so模块：sessionoptionalpam_motd.so[root@localhost~]#echo"Loginsuccess.Allactivitywillbemonitoredandreported.">/etc/motd编辑/etc/pam.d/sshd文件将加固时新增的行删除：sessionoptionalpam_motd.so编辑/etc/motd文件恢复默认内容，删除添加的信息：Loginsuccess.Allactivitywillbemonitoredandreported.银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，设置ssh登录后警告Banner。通过如下命令验证SSH服务是否应用pam_motd.so模块：kylin@Kylin:~$sudogrep"pam_motd.so"/etc/pam.d/sshd|grep"session"|grep"optional"sessionoptionalpam_motd.somotd=/run/motd.dynamicsessionoptionalpam_motd.sonoupdate通过如下命令检查/etc/update-motd.d/00-header文件是否包含如下内容:kylin@Kylin:~$sudocat/etc/update-motd.d/00-header|grep'Loginsuccess'10printf'Authorizedusersonly.Allactivitiesmaybemonitoredandreported.'结果为/etc/pam.d/sshd存在上述行；/etc/motd文件存在上述行，满足基线要求，无需加固，否则建议执行加固方法，加固前先记录一下/etc/motd文件的默认内编辑/etc/pam.d/sshd文件，添加如下行确保ssh应用pam_motd.so模块：sessionoptionalpam_motd.so通过如下命令在/etc/update-motd.d/00-header设置相关警告信息：kylin@Kylin:~$echo"printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'"|sudotee-a/etc/update-motd.d/00-header>/dev/null编辑/etc/pam.d/sshd文件将加固时新增的行删除：sessionoptionalpam_motd.so编辑/etc/motd文件恢复默认内容，删除添加的信息：printf'Loginsuccess.Allactivitiesmaybemonitoredandreported.'虽然Banner不会直接阻止未经授权的访问，但它是一种很好的预防措施，有助1.4禁止root用户登录SSH11银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，禁止root用户通过ssh登录。通过如下命令验证是否已配置ssh禁止root登录，配置PermitRootLogin为no：[root@localhost~]#grep"^PermitRootLogin"/etc/ssh/sshd_configPermitRootLoginno结果为PermitRootLoginno满足基线要求，无需加固，否则建议执行加固方法。编辑/etc/ssh/sshd_config文件，如果存在未注释的PermitRootLogin行，在行首添加"#"进行注释，在注释行之后添加以下内容，不存在PermitRootLogin参数PermitRootLoginno然后重启ssh服务：[root@localhost~]#systemctlrestartsshd12编辑/etc/ssh/sshd_config文件将加固时新增的行删除，恢复文件默认内容，重启sshd服务：[root@localhost~]#systemctlrestartsshdroot用户无法通过ssh服务远程登录本服务器。银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，ssh服务使用安全的协议版本。Protocol参数控制SSH服务支持的协议版本。在S麒麟操作系统安全基线配置操作手册13SSH1：SSH1是最初的版本，主要由TatuYlönen在1995年开发。它并未严格遵循IETF（InternetEngineeringTaskForce）的标准制定流程，但它是最早被广泛采用的SSH协议版本。SSH1存在多个子版本，如1.RFC4250：定义了SSH协议的整体框架。RFC4251：描述了SSH协议的消息格式、数据类型以及通用约定。RFC4252：包括公钥认证机制。RFC4253：定义了SSH传输层协议，用于加密和压缩会话数RFC4255：定义了SSH公钥指纹格式。它们在安全性和功能上有显著的区别：SSH1存在一些已知的安全漏洞，尤其是在其加密和认证机制上。弱的加密算法，并且在密钥交换和会话完整性保护方面不如SSH2成熟。SSH2引入权衡。这意味着SSH2服务器通常不会接受SSH1客户端连接没有得到这样的标准化。功能扩展：麒麟操作系统安全基线配置操作手册14发布以来，业界普遍推荐并优先使用SSH2，许多系统和服务都已经不[root@localhost~]#grep"^Protocol"/etc/ssh/sshd_configProtocol2结果为Protocol2满足基线要求，无需加固，否则建议执行加固方法。编辑/etc/ssh/sshd_config文件，如果存在未注释的Protocol行在首添加"#"进Protocol2然后重启ssh服务：[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件把加固时新增的行删除，恢复文件默认内容，然后重启sshd服务:[root@localhost~]#systemctlrestartsshd可以提高系统的安全性，并且与现代的安全标准保持一致,但不兼容旧版本。15银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，设置ssh日志等级。LogLevel控制在系统日志中记录的SSH服务事件的详细程度，设置为INFO会[root@localhost~]#grep"^LogLevel"/etc/ssh/sshd_configLogLevelINFO结果为LogLevelINFO满足编辑/etc/ssh/sshd_config文件找到LogLevel所在行，如果存在未注释的Loglevel在行首添加"#"进行注释，在注释行之后添加以下内容不，不存在参数在文件末添加以下内容:LogLevelINFO然后重启ssh服务：[root@localhost~]#systemctlrestartsshd16编辑/etc/ssh/sshd_config文件把加固时新增的行删除，再去掉查找到的LogLevel所在行的行首的"#"，然后重启ssh服务：[root@localhost~]#systemctlrestartsshd1.7设置ssh失败尝试次数银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，设置SSH失败尝试次数。MaxAuthTries控制在断开连接之前客户端尝试身份验证的最大次数。[root@localhost~]#grep"^MaxAuthTries"/etc/ssh/sshd_configMaxAuthTries4结果为MaxAuthTries4或小于4满足基线要求，无需加固，否则建议执行加固17编辑/etc/ssh/sshd_config文件找到MaxAuthTries所在行，如果存在未注释的MaxAuthTries在行首添加"#"进行注释，在注释行之后添加以下内容，不存在参数在文件末添加以下内容:MaxAuthTries4然后重启ssh服务：[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件把加固时新增的行删除，恢复文件默认内容，然后重启sshd服务：[root@localhost~]#systemctlrestartsshd银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V1018银河麒麟桌面操作系统V10SP1被恶意攻击的风险，麒麟建议关闭ssh空密码登录。[root@localhost~]#grep"^PermitEmptyPasswords"/etc/ssh/sshd_configPermitEmptyPasswordsno结果为PermitEmptyPasswordsno满足基线要求，无需加固，否则建议执行编辑/etc/ssh/sshd_config文件找到PermitEmptyPasswords所在行，如果存在未注释的PermitEmptyPasswords行，在行首添加"#"进行注释，在注释行之后添加以下内容:PermitEmptyPasswordsno然后重启sshd服务：[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件把加固时新增的行删除，如果存在未注释的PermitEmptyPasswords再去掉查找到的PermitEmptyPasswords所在行的行首的"#"，然后重启：[root@localhost~]#systemctlrestartsshd19银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，禁用SSH环境处理。启用PermitUserEnvironment可能会带来一些安全风险，因为攻击者可能尝试通过修改用户的~/.ssh/environment文件来注入恶意环境变量。[root@localhost~]#grep"^PermitUserEnvironment"/etc/ssh/sshd_configPermitUserEnvironmentno结果为PermitUserEnvironmentno满足基线要求，无需加固，否则建议执行20编辑/etc/ssh/sshd_config文件，如果存在未注释的PermitUserEnvironment行，在行首添加"#"进行注释，在注释行之后添加以下内末添加以下内容:PermitUserEnvironmentno然后重启sshd服务：[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件把加固时新增的行全部删除，恢复文件默认内容，然后重启sshd服务：[root@localhost~]#systemctlrestartsshd用户在~/.ssh/environment文件中定义的环境变量不会生效。1.10开启ssh强加密算法银河麒麟高级服务器操作系统V1021检查系统openssh安全配置，启用强加密算法。以下是一些公认的弱加密算法：Arcfour，也称为RC4，是由RonRivest在1987年设计的一种流密码算法。MD5：尽管MD5在哈希领域广泛使用，但由于其的场景。3DES（TripleDES/TDEA）：虽然比DES有所改进，通过三次使用DES算法增强了安全性，但仍因其较低的密钥效率和相对较短的有效密钥长度（168位，但因为重复使用部分密钥，实际强度低于理论值）而不被视为理想的加密手散列函数等。此外，对于密钥交换，TLS协议中常用的是DH（Diffie-Hellman）或ECDH（EllipticCurveDiffie-Hellman）算法。通过如下命令检查系统加密算法中不包含弱加密算法arcfour、3des、md5、rc4：[root@localhost~]#cat/etc/ssh/sshd_config|grep-v'^#'|grepCiphersCiphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@,aes256-gcm@,chacha20-poly1305@结果Ciphers后不包含arcfour、3des、md5、rc4满足基线要求，无需加固，编辑/etc/ssh/sshd_config文件Ciphers所在行，在行首添加"#"进行注释，在22Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc然后重启ssh服务：[root@localhost~]#systemctlrestartsshd编辑/etc/ssh/sshd_config文件把以下加固时新增的行全部删除，再去掉查找到的Ciphers所在行的行首的"#"：Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc然后重启ssh服务：[root@localhost~]#systemctlrestartsshd1.11开启ssh服务自启动银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V1023通过如下命令验证ssh服务是否已开启：[root@localhost~]#systemctlis-enabledsshd.serviceenable[root@localhost~]#systemctlis-activesshd.serviceactive结果为enable代表禁止服务自启动；结果为active代表服务处于非活跃的状态，通过如下命令开启ssh服务：[root@localhost~]#systemctlenablesshd.service[root@localhost~]#systemctlstartsshd.service通过如下命令关闭ssh服务：[root@localhost~]#systemctldisablesshd.service[root@localhost~]#systemctlstopsshd.service启动sshd.service意味着系统开启了SecureShell(SSH)服务，允许其他用户或管理员通过网络使用加密的连接方式登录到这台服务器。这意味着你可机或其他任何地方通过SSH客户端软件（如PuTTY、OpenSSH等）远程执传输文件以及进行各种管理操作。系统会运行s24银河麒麟高级服务器操作系统V10禁用telnet服务通常是为了增强系统的安全性，因为telnet协议以明文方式传通过如下命令验证telnet服务是否已关闭：[root@localhost~]#systemctlis-enabledtelnet.socketdisabled[root@localhost~]#systemctlis-activetelnet.socketin-active结果为diable代表禁止服务自启动；结果为inactive、unknow代表服务处于通过如下命令关闭telnet服务：麒麟操作系统安全基线配置操作手册25[root@localhost~]#systemctldisabletelnet.socket[root@localhost~]#systemctlstoptelnet.socket通过如下命令开启telnet服务：[root@localhost~]#systemctlenabletelnet.socket[root@localhost~]#systemctlstarttelnet.socket关闭Telnet服务器以阻止远程连接到此计算机的Telnet服务。银河麒麟高级服务器操作系统V10禁用不必要的xinetd服务：chargen-dgram、chargen-stream、daytime-stream、daytime-dgram、eklogin、echo-stream、echo-dgram、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp。上述不必要的xinetd服务存在安全漏洞有被Dos攻击的风险，麒麟操作系统安全基线配置操作手册26[root@localhost~]#chkconfig--list运行结果（以部分xinetd的服务为例chargen-dgram:关chargen-stream:关cvs:关daytime-dgram:关daytime-stream:关discard-dgram:关discard-stream:关echo-dgram:关echo-stream:关tcpmux-server:关time-dgram:关time-stream:关通过如下命令禁用chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp服务：麒麟操作系统安全基线配置操作手册27[root@localhost~]#chkconfig<服务名>off通过如下命令将加固时设置为off的服务启用：[root@localhost~]#chkconfig<服务名>on加固后无法使用所示的服务：chargen-dgram、chargen-stream、daytime-dgram、daytime-stream、eklogin、echo-dgram、echo-stream、tcpmux-server、discard-dgram、discard-stream、klogin、krb5-telnet、ekrb5-telnet、cvs、kshell、time-dgram、time-stream、lpd、gssftp。服务功能chargen-dgram产生随机字符序列的网络服务。chargen-stream连续发送生成的随机字符序列的网络服务。daytime-dgram返回当前日期时间的服务，使用UDP协议。daytime-stream返回当前日期时间的服务，使用TCP协议。eklogineklogin服务通常是指在AIX系统（IBM的Unix操作系统）中的一个组件，它是AIXEnhancedKerberos登录(EKA)功能的一部分。EKA提供了基于Kerberosv5协议的身份验证和安全远程登录功能。echo-dgram回显客户端发来的消息的服务，使用UDP协议。echo-stream回显客户端发来的消息的服务，使用TCP协议。tcpmux-serverTCP服务多路复用器，为多个不同的服务提供统一端口号。discard-dgram丢弃接收到的数据包的服务，使用UDP协议。麒麟操作系统安全基线配置操作手册28服务功能discard-stream丢弃接收到的数据包的服务，使用TCP协议。klogin远程登录KerberosV5安全shell。krb5-telnet支持KerberosV5的Telnet协议。ekrb5-telnet加密的KerberosV5Telnet协议，旨在提供更安全的数据传输。cvsCVS(ConcurrentVersionsSystem)有一些潜在的风险，比如容易遭受拒绝服务攻击和非授权访问等问题kshellkshell服务是指KShell守护进程。time-dgram返回当前日期时间的服务，使用UDP协议。time-stream返回当前日期时间的服务，使用TCP协议。lpd一种网络打印协议。gssftp基于KerberosV5的FTP协议，支持文件传输。1.14关闭系统不必要的端口银河麒麟高级服务器操作系统V10麒麟操作系统安全基线配置操作手册29关闭高危端口。以22端口为例。[root@localhost~]#firewall-cmd--query-port=22/tcpno[root@localhost~]#firewall-cmd--query-port=22/udpno通过如下命令检查所有端口是否已关闭SCTP传输:[root@localhost~]#firewall-cmd--query-port=22/sctpno通过如下命令禁止端口TCP传输:[root@localhost~]#firewall-cmd--remove-port=22/tcpsuccess[root@localhost~]#firewall-cmd--remove-port=22/udpsuccess通过如下命令禁止端口SCTP传输：[root@localhost~]#firewall-cmd--remove-port=22/sctp30success[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess[root@localhost~]#firewall-cmd--add-port=22/tcpsuccess[root@localhost~]#firewall-cmd--add-port=22/udpsuccess[root@localhost~]#firewall-cmd--add-port=22/sctpsuccess[root@localhost~]#firewall-cmd--runtime-to-permanentsuccess银河麒麟高级服务器操作系统V4关闭高危端口。以22端口为例。通过如下命令检查端口是否已设置关闭规则,若未设置则需加固：31kylin@Kylin:~$sudoufwstatusverbose|grep22通过如下命令禁止端口:kylin@Kylin:~$sudoufwdeny22通过如下命令禁止端口:kylin@Kylin:~$sudoufwallow22银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1通过/etc/hosts.allow和/etc/hosts.deny文件实现对ssh访问源的限制通，可以使SSH服务只能从指定的IP网段访问，示例以网段为例。32通过如下命令检查文件/etc/hosts.allow中是否已配置允许/24[root@localhost~]#cat/etc/hosts.allow|grep"192.168.201.*"sshd:192.168.201.*:allow通过如下命令检查文件/etc/hosts.deny中内容是否已配置禁止所有网段访问：[root@localhost~]#grep'sshd'/etc/hosts.denysshd:ALL将目标网段按格式加入/etc/hosts.allow；/etc/hosts.deny里禁止所有网段，满如果文件不存在先创建该文件再编辑，如果文件存在直接编辑/etc/hosts.allowsshd:192.168.201.*:allow如果文件不存在先创建该文件再编辑，如果文件存在直接编辑/etc/hosts.denysshd:ALL然后重启ssh服务：[root@localhost~]#systemctlrestartsshd如果文件默认不存在删除该文件，如果文件默认存在编辑/etc/hosts.allow文件sshd:192.168.201.*:allow33如果文件默认不存在删除该文件，如果文件默认存在编辑/etc/hosts.deny文件sshd:ALL然后重启ssh服务：[root@localhost~]#systemctlrestartsshd通过pam.d模块实现对ssh访问源的限制通，可以使SSH服务只能从指定的IP网段访问，示例以网段为例。通过如下命令检测ssh服务是否已启用pam.d模块：[root@localhost~]#cat/etc/pam.d/sshd|grepaccount|greprequired|greppam_access.soaccountrequiredpam_access.so通过如下命令检查文件/etc/security/access.conf中是否已配置允许/24网段访问：[root@localhost~]#cat/etc/security/access.conf|grep+|grepALL|grep"/24"+:ALL:/24通过如下命令检查文件/etc/security/access.conf中内容是否已配置禁止所有网[root@localhost~]#grep':\bALL:ALL\b'/etc/security/access.conf-:ALL:ALL34检查/etc/security/access.conf文件中-:ALL:ALL所在行要在所有+:ALL:ip段/24所在行的后面。启用pam模块，将目标网段按上述格式加入/etc/security/access.conf；将禁止所有网段按上述格式加入/etc/security/access.conf，满足基线要求，无需加固，编辑/etc/pam.d/sshd文件添加如下内容：accountrequiredpam_access.so编辑/etc/security/access.conf文件添加内容，-:ALL:ALL要在所有+:ALL:ip段/24行之后：+:ALL:/24-:ALL:-ALL编辑/etc/pam.d/sshd文件删除加固时添加的内容：accountrequiredpam_access.so编辑/etc/security/access.conf文件删除加固时添加的内容：+:ALL:/24-:ALL:-ALL351.16设置登录后系统提示信息银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统openssh安全配置，用户成功登录时显示上次登录的信息。[root@localhost~]#grep"^PrintLastLog"/etc/ssh/sshd_configPrintLastLogyes结果为PrintLastLogyes或不存在该参数均满足基线要求，无需加固，否则建议编辑/etc/ssh/sshd_config文件，如果存在未注释的PrintLastLog参数，在行首添加"#"进行注释，在注释行之后添加以下内容，如果不存在参数在文件末添加以下36PrintLastLogyes然后重启ssh服务：[root@localhost~]#systemctlrestartsshd把加固时新增的行全部删除，如果默认存在未注释PrintLastLog的再去掉查找到的"#"，重启ssh服务：[root@localhost~]#systemctlrestartsshd2.1禁止icmp重定向报文银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP137net.ipv4.conf.all.accept_redirects和net.ipv6.conf.all.accept_redirects设置net.ipv4.conf.all.secure_redirects和net.ipv4.conf.default.send_redirects设通过如下命令验证是否禁止icmp重定向：[root@localhost~]#sysctlnet.ipv4.conf.all.accept_redirectsnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.accept_redirectsnet.ipv4.conf.default.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.accept_redirects"/etc/sysctl.confnet.ipv4.conf.all.accept_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.accept_redirects"/etc/sysctl.confnet.ipv4.conf.default.accept_redirects=0结果命令和文件存在net.ipv4.conf.all.accept_redirects=0、net.ipv4.conf.default.accept_redirects=0，满足基线要求，无需加固，否则建编辑/etc/sysctl.conf文件，如果查到关键行，在行首添加"#"进行注释，在注释行之后添加以下内容，未查到在文件末添加net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0通过如下命令载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p38编辑/etc/sysctl.conf文件把加固时新增的行删除，恢复文件默认内容，通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p关闭accept_redirects参数后，内核将不再接收ICMP重定向报文，可能导致网络性能降低或延迟增加，也可能导致一些路由变银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统内核参数配置，检查send_redirects配置。send_redirects是Linux系统中的一个配置选项，用于控制网络栈是否允许发送重定向包。当send_redirects设置为1时，系统允许发送重定向包；当设置为0麒麟操作系统安全基线配置操作手册39通过如下命令验证是否禁止send_redirects发送定向：[root@localhost~]#sysctlnet.ipv4.conf.all.send_redirectsnet.ipv4.conf.all.send_redirects=0[root@localhost~]#sysctlnet.ipv4.conf.default.send_redirectsnet.ipv4.conf.default.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.all.send_redirects"/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0[root@localhost~]#grep"^net.ipv4.conf.default.send_redirects"/etc/sysctl.confnet.ipv4.conf.default.send_redirects=0结果命令和文件存在net.ipv4.conf.all.send_redirects=0、net.ipv4.conf.default.send_redirects=0，满足基线要求，无需加固，否则建议编辑/etc/sysctl.conf文件，如果查到关键行，在行首添加"#"进行注释，在注释行之后添加以下内容，未查到在文件末添加net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0通过如下命令载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p麒麟操作系统安全基线配置操作手册40编辑/etc/sysctl.conf文件把加固时新增的行删除，恢复文件默认内容，通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p关闭send_redirects参数后，内核将不再发送ICMP重定向报文，可能导致网络性能降低或延迟增加，也可能导致一些路由变更无法得到2.3忽略icmpecho请求广播银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1该参数决定设备是否要回应ICMPecho消息和时间戳请求，对这些消息和请求来41echo报文给受害者（被伪造地址的设备）。通过如下命令验证是否忽略icmpecho请求广播：[root@localhost~]#sysctlnet.ipv4.icmp_echo_ignore_broadcastsnet.ipv4.icmp_echo_ignore_broadcasts=1[root@localhost~]#grep"^net.ipv4.icmp_echo_ignore_broadcasts"/etc/sysctl.confnet.ipv4.icmp_echo_ignore_broadcasts=1结果命令和文件存在net.ipv4.icmp_echo_ignore_broadcasts=1，满足基编辑/etc/sysctl.conf文件，如果查到关键行，在行首添加"#"进行注释，在注释行之后添加以下内容，未查到在文件末添加net.ipv4.icmp_echo_ignore_broadcasts=1通过如下命令载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p编辑/etc/sysctl.conf文件把加固时新增的行删除，恢复文件默认内容，通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p禁用icmp_echo_ignore_broadcasts参数后，内核将不再响应来自广播地址的422.4禁止icmp源路由银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1收到双向的数据包。所以，应禁用报文源路由，减小攻通过如下命令验证是否禁止icmp源路由：[root@localhost~]#sysctlnet.ipv4.conf.all.accept_source_routenet.ipv4.conf.all.accept_source_route=043[root@localhost~]#sysctlnet.ipv4.conf.default.accept_source_routenet.ipv4.conf.default.accept_source_route=0[root@localhost~]#grep"^net.ipv4.conf.all.accept_source_route"/etc/sysctl.confnet.ipv4.conf.all.accept_source_route=0[root@localhost~]#grep"^net.ipv4.conf.default.accept_source_route"/etc/sysctl.confnet.ipv4.conf.default.accept_source_route=0结果命令和文件存在net.ipv4.conf.all.accept_source_route=0、net.ipv4.conf.default.accept_source_route=0，满足基线要求，无需加固，否编辑/etc/sysctl.conf文件，如果查到关键行，在行首添加"#"进行注释，在注释行之后添加以下内容，未查到在文件末添加net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.default.accept_source_route=0通过如下命令载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p编辑/etc/sysctl.conf文件把加固时新增的行删除，如果原文件未注释再去掉加固时注释行首的"#"，通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p禁用accept_source_route参数后，内核将不再接受含有源路由信息的IP数据44银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查系统内核参数配置，检查ip_forward配置。说明net.ipv4.ip_forward参数是Linux系统中的一个网络参数，用于控制内核通过如下命令验证是否禁止ip_forward数据包转发：[root@localhost~]#sysctlnet.ipv4.ip_forwardnet.ipv4.ip_forward=0[root@localhost~]#grep"^net.ipv4.ip_forward"/etc/sysctl.confnet.ipv4.ip_forward=0结果命令和文件存在net.ipv4.ip_forward=0，满足基线要求，无需加固，否45编辑/etc/sysctl.conf文件把查找到的行在行首添加"#"进行注释，在注释行之后net.ipv4.ip_forward=0通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p编辑/etc/sysctl.conf文件把加固时新增的行删除，如果原文件未注释再去掉加固时注释行首的"#"，通过如下命令以载入sysctl配置文件，并设置活动内核参数：[root@localhost~]#sysctl-p当ip_forward参数设置为0时，内核将不允许IP数据包进行路由转发。也就是3安全网络3.1修改snmp默认团体字银河麒麟高级服务器操作系统V446银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1检查是否修改snmp默认团体字。通过如下命令验证snmp是否存在默认public团体字：[root@localhost~]#cat/etc/snmp/snmpd.conf|grep"public"|grep"default"|grep-v"^#"com2secnotConfigUserdefaultpublic通过如下命令验证snmp是否存在默认private团体字：[root@localhost~]#cat/etc/snmp/snmpd.conf|grep"private"|grep"default"|grep-v"^#"com2secnotConfigUserdefaultprivate结果存在默认public团体字、结果存在默认private团体字需要加固，建议执行编辑/etc/snmp/snmpd.conf文件把查找到的行在行首添加"#"进行注释，如果存在public或public的行把注释行的public改成：security_snmp1，private改成：security_snmp2并去除default关键字，添加在注释行的下面:com2secnotConfigUsersecurity_snmp1com2secnotConfigUsersecurity_snmp2重启snmp服务：47[root@localhost~]#systemctlrestartsnmpd编辑/etc/snmp/snmpd.conf文件把加固时新增的行删除，如果默认存在注释行再去掉查找到的行的行首的"#"，重启snmp服务：[root@localhost~]#systemctlrestartsnmpd禁用使用"public"和"private"共同体字符串的SNMP访问，使用这些共同体字符串的SNMP请求将无法通过身份验证。可使用security_snmp1、security_snmp2团体字。4系统命令银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V10启用sudo日志可以审计用户在使用sudo时执行了什么命令等相关信息。48查询文件/etc/sudoers是否包含如下参数，不包含则需加固：[root@localhost~]#vim/etc/sudoersDefaultslogfile=/var/log/sudo.log查询文件/etc/rsyslog.conf是否包含如下参数，不包含则需加固：[root@localhost~]#cat/etc/rsyslog.conflocal2.debug/var/log/sudo.log结果/etc/sudoers、/etc/rsyslog.conf文件存在上述内容，满足基线要求，无需注意空白处用"Tab"键补齐，不可以用空格创建sudo.log文件：[root@localhost~]#touch/var/log/sudo.log[root@localhost~]#chownroot:root/var/log/sudo.log修改rsyslog配置文件,添加以下内容：[root@localhost~]#vim/etc/rsyslog.conflocal2.debug/var/log/sudo.log重启rsyslog服务：[root@localhost~]#systemctlrestartrsyslog[root@localhost~]#visudoDefaultslogfile=/var/log/sudo.log49删除sudo.log文件：[root@localhost~]#rm/var/log/sudo.log修改rsyslog配置文件,删除以下内容：[root@localhost~]#vim/etc/rsyslog.conflocal2.debug/var/log/sudo.log重启rsyslog服务：[root@localhost~]#systemctlrestartrsyslog[root@localhost~]#visudoDefaultslogfile=/var/log/sudo.log配置将这些日志消息定向到/var/log/sudo.log文件。所有匹配local2.debug4.2设置sudo命令使用伪终端执行银河麒麟高级服务器操作系统V4银河麒麟高级服务器操作系统V1050在Linux系统中，sudo命令允许授权用户以其他用户（通常是root）的身份运端（pseudo-terminal，简称为pty）。伪终端是一种模拟的终端设备，常用于需要查询文件/etc/sudoers是否存在以下行：[root@localhost~]#grep"use_pty"/etc/sudoersDefaultsuse_pty结果/etc/sudoers文件存在上述内容，满足基线要求，无需加固，否则建议执行[root@localhost~]#visudoDefaultsuse_pty[root@localhost~]#visudoDefaultsuse_pty启用伪终端（Pseudo-Terminal，PTY）：Defaultsuse_pty这一行指令告诉sudo在执行命令时使用一个伪终端。伪终端是一种模拟真实终端设备的软件机制，514.3设置使用指定用户sudo提权需输入指定用户的密码银河麒麟高级服务器操作系统V10在Linux系统中，sudo（superuserdo）命令允许普通用户以超级用户（或其该用户自己的密码，而不是超级用户的密码。这是sudo安全机保只有经过授权的用户才能以更高的权限执查询文件/etc/sudoers是否存在以下行：Defaultstargetpw结果/etc/sudoers文件存在上述内容，满足基线要求，无需加固，否则建议执行52[root@localhost~]#visudoDefaultstargetpw[root@localhost~]#visudoDefaultstargetpw密码提示：Defaultstargetpw这一行指令告诉sudo在用户以其他用户身份们也需要知道目标用户的密码才能以该用户的身份执行命令。这可以防止4.4配置su命令使用情况记录53银河麒麟高级服务器操作系统V10检查是否配置su命令使用情况记录。检查/etc/rsyslog.conf文件是否配置了如下行：[root@localhost~]#cat/etc/rsyslog.confauthpriv.*/var/log/secure结果/etc/rsyslog.con文件存在上述内容，满足基线要求，无需加固，否则建议编辑/etc/rsyslog.conf文件，添加如下行：authpriv.*/var/log/secure编辑/etc/rsyslog.conf文件，删除添加的行：authpriv.*/var/log/securesu命令使用的日志消息都会被写入到/var/log/secure文件中。银河麒麟高级服务器操作系统V4银河麒麟桌面操作系统V10SP154检查是否配置su命令使用情况记录。检查/etc/rsyslog.conf文件是否配置了如下行：[root@localhost~]#cat/etc/rsyslog.confauthpriv.*/var/log/auth.log结果/etc/rsyslog.con文件存在上述内容，满足基线要求，无需加固，否则建议编辑/etc/rsyslog.conf文件，添加如下行：authpriv.*/var/log/auth.log编辑/etc/rsyslog.conf文件，删除添加的行：authpriv.*/var/log/auth.logsu命令使用的日志消息都会被写入到/var/log/auth.log文件中。4.5限制输出和保留历史命令的条数银河麒麟高级服务器操作系统V455银河麒麟高级服务器操作系统V10银河麒麟桌面操作系统V10SP1通过如下命令验证查看保留历史命令的条数条数设置为5条以下:[root@localhost~]#grep"^HISTSIZE"/etc/profile5通过如下命令验证查看保留历史命令的记录文件大小条数设置为5条以下:[root@localhost~]#grep"^HISTFILESIZE"/etc/profile5结果/etc/profile文件HISTSIZE参数设置为5条以下、HISTFILESIZE参数设置编辑/etc/profile文件，将查找到的行在行首添加"#"进行注释，在注释行下添加HISTSIZE=5[root@localhost~]#source/etc/profile56编辑/etc/profile文件，查找