麒麟OS的安全基线_如何进行系统安全加固

银河麒麟OS安全加固需实施五项基线措施：一、密码策略与账户生命周期加固；二、账户锁定与失败登录防护；三、防火墙策略精细化管控；四、KYSEC强制访问控制启用；五、异常账户与无用服务清理。

如果您正在管理一台银河麒麟操作系统服务器或桌面终端，但尚未实施标准化安全策略，则系统可能面临弱口令、未授权访问、服务暴露等基础性风险。以下是针对麒麟OS安全基线开展系统安全加固的多种可行路径：

一、密码策略与账户生命周期加固

该方法通过强制密码复杂度与有效期约束，从身份鉴别源头防范暴力破解和长期未更新口令引发的权限失控风险，满足等保2.0“身份鉴别”控制点要求。

1、编辑全局密码质量配置文件：sudo vim /etc/security/pwquality.conf

2、设置最小长度与字符类型强制要求：minlen = 12、dcredit = -1、ucredit = -1、lcredit = -1、ocredit = -1

3、启用新策略生效：sudo pam-auth-update --force

4、配置默认密码有效期参数：sudo sed -i 's/^PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/' /etc/login.defs

5、同步设置密码修改间隔与过期提醒：sudo sed -i 's/^PASS_MIN_DAYS.*/PASS_MIN_DAYS 7/; s/^PASS_WARN_AGE.*/PASS_WARN_AGE 7/' /etc/login.defs

二、账户锁定与失败登录防护

该方法利用PAM faillock模块实现登录失败次数限制与自动锁定，有效阻断自动化暴力破解尝试，属于访问控制层的关键基线措施。

1、备份原始PAM认证配置：sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak_$(date +%Y%m%d)

2、在system-auth中插入前置认证规则：sudo sed -i '/^auth.*pam_faillock.so/ d' /etc/pam.d/system-auth

3、添加失败锁定策略（5次错误后锁定600秒）：echo "auth [default=bad success=ok user_unknown=ignore] pam_faillock.so preauth silent deny=5 unlock_time=600" | sudo tee -a /etc/pam.d/system-auth

4、添加失败后执行锁定动作：echo "auth [default=die] pam_faillock.so authfail deny=5 unlock_time=600" | sudo tee -a /etc/pam.d/system-auth

三、防火墙策略精细化管控

该方法基于firewalld实现网络边界最小化开放，仅保留业务必需端口，切断非必要服务暴露面，是网络层基线的核心环节。

1、确认firewalld服务已启用并开机自启：sudo systemctl start firewalld && sudo systemctl enable firewalld

2、屏蔽默认public区域所有端口：sudo firewall-cmd --permanent --zone=public --remove-service=ssh --remove-service=http --remove-service=https

3、仅按需开放指定TCP端口（如仅开放SSH）：sudo firewall-cmd --permanent --add-port=22/tcp

网趣购物系统加强升级版

新版本程序更新主要体现在：完美整合BBS论坛程序，用户只须注册一个帐号，即可全站通用!采用目前流行的Flash滚动切换广告 变换形式多样，受人喜爱!在原有提供的5种在线支付基础上增加北京云网支付!对留言本重新进行编排，加入留言验证码，后台有留言审核开关对购物系统的前台进行了一处安全更新。在原有文字友情链接基础上，增加LOGO友情链接功能强大的6种在线支付方式可选，自由切换。对新闻列表进行了调整，

下载

4、重载防火墙配置使策略生效：sudo firewall-cmd --reload

5、验证当前开放端口列表：sudo firewall-cmd --list-ports

四、KYSEC强制访问控制启用

该方法激活银河麒麟原生MAC机制，对进程执行、文件访问、网络连接实施策略级拦截，形成内核级纵深防御能力，区别于传统DAC模型。

1、检查当前KYSEC状态：getstatus

2、启用执行控制与文件保护功能：sudo setstatus exec-control on file-protect on

3、切换至强制模式（Normal），禁止违规操作执行：sudo setstatus mode normal

4、开启三权分立机制，拆分root权限：sudo setstatus threeadmin on

5、验证关键模块是否已激活：kysecctl -s

五、异常账户与无用服务清理

该方法通过识别并禁用非必要本地账户及监听服务，大幅压缩攻击面，符合“最小安装、最小服务”安全基线原则。

1、列出所有非系统内置用户（UID ≥ 1000）：awk -F: '$3 >= 1000 && $3

2、锁定可疑或长期未登录账户：sudo usermod -L username

3、检查所有监听TCP/UDP端口及其对应进程：sudo ss -tulnpe

4、停止并禁用非必要服务（如avahi-daemon、cups）：sudo systemctl stop avahi-daemon && sudo systemctl disable avahi-daemon

5、验证指定服务是否已退出监听状态：sudo ss -tuln | grep :631