长期支持版本

    社区创新版本

      授权认证

      设置网络远程登录的警告信息

      说明

      设置网络远程登录的警告信息,用于在登录进入系统之前向用户提示警告信息,明示非法侵入系统可能受到的惩罚,吓阻潜在的攻击者。同时也可以隐藏系统架构及其他系统信息,避免招致对系统的目标性攻击。

      实现

      该设置可以通过修改/etc/issue.net文件的内容实现。将/etc/issue.net文件原有内容替换为如下信息(openEuler默认已设置):

      Authorized users only. All activities may be monitored and reported. 
      

      禁止通过Ctrl+Alt+Del重启系统

      说明

      操作系统默认能够通过“Ctrl+Alt+Del”进行重启,建议禁止该项特性,防止因为误操作而导致数据丢失。

      实现

      禁止通过“Ctrl+Alt+Del”重启系统的操作步骤如下:

      1. 删除两个ctrl-alt-del.target文件,参考命令如下:

        rm -f /etc/systemd/system/ctrl-alt-del.target
        rm -f /usr/lib/systemd/system/ctrl-alt-del.target
        
      2. 修改/etc/systemd/system.conf文件,将#CtrlAltDelBurstAction=reboot-force修改为CtrlAltDelBurstAction=none。

      3. 使用 root 或具有 sudo 权限的用户重启systemd,使修改生效,参考命令如下:

        systemctl daemon-reexec
        

        须知:
        使用 systemctl daemon-reexec 命令可能会导致短暂的系统服务不可用或重启。

      设置终端的自动退出时间

      说明

      无人看管的终端容易被侦听或被攻击,可能会危及系统安全。因此建议设置终端在停止运行一段时间后能够自动退出。

      实现

      自动退出时间由/etc/profile文件的TMOUT字段(单位为秒)控制,在/etc/profile的尾部添加如下配置:

      export TMOUT=300
      

      设置用户的默认umask值为077

      说明

      umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。umask值代表的是权限的“补码”,umask值和权限的换算方法请参见umask值含义

      说明:
      openEuler默认已设置用户的默认umask值为022。

      实现

      1. 分别在/etc/bashrc文件和/etc/profile.d/目录下的所有文件中加入“umask 0077”。

        echo "umask 0077" >> $FILE
        

        说明:
        $FILE 为具体的文件名,例如:echo "umask 0077" >> /etc/bashrc 。

      2. 设置/etc/bashrc文件和/etc/profile.d/目录下所有文件的属主为root,群组为root。

        chown root.root $FILE
        

        说明:
        $FILE 为具体的文件名,例如:chown root.root /etc/bashrc 。

      设置GRUB2加密口令

      说明

      GRUB是GRand Unified Bootloader的缩写,它是一个操作系统启动管理器,用来引导不同系统(如Windows、Linux),GRUB2是GRUB的升级版。

      系统启动时,可以通过GRUB2界面修改系统的启动参数。为了确保系统的启动参数不被任意修改,需要对GRUB2界面进行加密,仅在输入正确的GRUB2口令时才能修改启动参数。

      说明:
      GRUB2默认设置的口令为openEuler#12,建议用户首次登录时修改默认密码并定期更新,避免密码泄露后,启动选项被篡改,导致系统启动异常。

      实现

      1. 使用grub2-mkpasswd-pbkdf2命令生成加密的口令:

        说明:
        GRUB2加密算法使用PBKDF2。

        # grub2-mkpasswd-pbkdf2
        Enter password: 
        Reenter password: 
        PBKDF2 hash of your password is 
        grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08
        

        说明:
        在Enter password和Reenter password输入相同的口令。
        grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08为openEuler#12经过grub2-mkpasswd-pbkdf2加密后的输出,每次输出的密文不同。

      2. 使用vi工具打开/boot/efi/EFI/openEuler/grub.cfg的开始位置追加如下字段:

        set superusers="root"
        password_pbkdf2 root grub.pbkdf2.sha512.10000.5A45748D892672FDA02DD3B6F7AE390AC6E6D532A600D4AC477D25C7D087644697D8A0894DFED9D86DC2A27F4E01D925C46417A225FC099C12DBD3D7D49A7425.2BD2F5BF4907DCC389CC5D165DB85CC3E2C94C8F9A30B01DACAA9CD552B731BA1DD3B7CC2C765704D55B8CD962D2AEF19A753CBE9B8464E2B1EB39A3BB4EAB08
        

        说明:

        • 不同模式下grub.cfg文件所在路径不同:x86架构的UEFI模式下路径为/boot/efi/EFI/openEuler/grub.cfg,legacy BIOS模式下路径为/boot/grub2/grub.cfg;aarch64架构下路径为/boot/efi/EFI/openEuler/grub.cfg。
        • superusers字段用于设置GRUB2的超级管理员的账户名。
        • password_pbkdf2字段后的参数,第1个参数为GRUB2的账户名,第2个为该账户的加密口令。

      安全单用户模式

      说明

      单用户模式是以root权限进入系统,如不设置密码,将存在较大安全隐患。

      实现

      该设置可以通过修改/etc/sysconfig/init文件内容实现。将SINGLE选项配置为SINGLE=/sbin/sulogin 。

      禁止交互式启动

      说明

      使用交互式引导,控制台用户可以禁用审计、防火墙或其他服务,削弱了系统安全性。用户可以禁止使用交互式引导,提升安全性。openEuler默认已禁止。

      实现

      该设置可以通过修改/etc/sysconfig/init文件内容实现。将PROMPT选项配置为PROMPT=no 。

      文档捉虫

      “有虫”文档片段

      问题描述

      提交类型 issue

      有点复杂...

      找人问问吧。

      PR

      小问题,全程线上修改...

      一键搞定!

      问题类型
      规范和低错类

      ● 错别字或拼写错误;标点符号使用错误;

      ● 链接错误、空单元格、格式错误;

      ● 英文中包含中文字符;

      ● 界面和描述不一致,但不影响操作;

      ● 表述不通顺,但不影响理解;

      ● 版本号不匹配:如软件包名称、界面版本号;

      易用性

      ● 关键步骤错误或缺失,无法指导用户完成任务;

      ● 缺少必要的前提条件、注意事项等;

      ● 图形、表格、文字等晦涩难懂;

      ● 逻辑不清晰,该分类、分项、分步骤的没有给出;

      正确性

      ● 技术原理、功能、规格等描述和软件不一致,存在错误;

      ● 原理图、架构图等存在错误;

      ● 命令、命令参数等错误;

      ● 代码片段错误;

      ● 命令无法完成对应功能;

      ● 界面错误,无法指导操作;

      风险提示

      ● 对重要数据或系统存在风险的操作,缺少安全提示;

      内容合规

      ● 违反法律法规,涉及政治、领土主权等敏感词;

      ● 内容侵权;

      您对文档的总体满意度

      非常不满意
      非常满意
      提交
      根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。
      文档捉虫
      编组 3备份