麒麟系统网络配置与安全加固需五步:一、设静态ip确保地址稳定;二、启用ufw防火墙并设默认策略;三、禁用avahi等非必要服务;四、ssh改密钥认证、禁密码登录;五、通过sysctl启内核防护参数。
如果您在麒麟系统(kylin)中部署服务或接入内网环境,但发现网络连通性异常、端口响应延迟或存在未授权访问风险,则可能是由于基础网络配置不当或默认安全策略未生效。以下是针对麒麟系统开展网络配置与安全加固的实操步骤:
一、配置静态IP地址
手动指定IP地址可避免DHCP分配冲突,确保服务器地址长期稳定,便于防火墙规则绑定和远程管理定位。
1、打开“控制中心”,点击“网络”模块,进入“有线”或“无线”连接设置界面。
2、点击当前激活连接右侧的齿轮图标,选择“IPv4设置”选项卡。
3、将“方法”由“自动(DHCP)”更改为“手动”,点击“添加”按钮输入IP地址、子网掩码、网关及DNS服务器地址。
4、勾选“仅对此连接使用这些DNS服务器”,点击“应用”并重启网络连接。
二、启用并配置UFW防火墙
麒麟系统基于Ubuntu LTS内核,预装UFW(Uncomplicated Firewall)作为前端工具,用于简化iptables规则管理,限制非必要端口暴露。
1、在终端中执行 sudo ufw status verbose 查看当前防火墙状态与策略详情。
2、若处于非活动状态,依次执行 sudo ufw default deny incoming 与 sudo ufw default allow outgoing 设置默认策略。
3、开放SSH服务端口:执行 sudo ufw allow 22/tcp;如需Web服务,补充执行 sudo ufw allow 80/tcp 和 sudo ufw allow 443/tcp。
4、启用防火墙:运行 sudo ufw enable,系统提示确认后输入“y”完成激活。
三、禁用无用网络服务
系统默认可能启用Avahi、Telnet、FTP等非必需服务,其后台进程会监听本地或全网端口,构成潜在攻击面。
1、执行 sudo systemctl list-unit-files --type=service | grep enabled 列出所有开机自启服务。
2、识别名称含 avahi-daemon、telnetd、vsftpd 或 rpcbind 的条目。
3、对确认无需的服务逐个停用并禁止开机启动:例如执行 sudo systemctl stop avahi-daemon && sudo systemctl disable avahi-daemon。
4、执行 sudo ss -tuln 验证对应端口(如5353、21、23、111)已无监听进程。
四、配置SSH安全策略
SSH是远程管理主通道,弱口令、密码登录及默认端口易被暴力探测,须通过密钥认证与访问控制提升防护强度。
1、生成本地密钥对:在管理员主机执行 ssh-keygen -t ed25519 -C "admin@kylin",保存公钥至 ~/.ssh/id_ed25519.pub。
2、将公钥写入麒麟系统目标账户的 authorized_keys 文件:执行 ssh-copy-id -i ~/.ssh/id_ed25519.pub user@kylin-ip。
3、编辑SSH主配置文件:sudo nano /etc/ssh/sshd_config,修改以下三项:将 PasswordAuthentication 设为 no;将 PermitRootLogin 设为 no;可选修改 Port 值为非标准端口号(如2222)。
4、重启服务使配置生效:sudo systemctl restart ssh,随后测试新密钥登录是否成功。
五、启用内核级网络防护参数
通过sysctl调整Linux内核网络栈行为,可缓解SYN洪泛、IP欺骗及路由重定向等基础层攻击。
1、编辑内核参数配置文件:sudo nano /etc/sysctl.d/99-kylin-security.conf。
2、写入以下四行内容:
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
3、加载新参数:sudo sysctl --system,该命令将重新读取所有 /etc/sysctl.d/ 下的配置文件。
4、验证设置是否生效:分别执行 sysctl net.ipv4.tcp_syncookies、sysctl net.ipv4.conf.all.rp_filter 等命令,确认返回值为1。
