麒麟V10等保三级配置实战：从auditd规则到PAM锁定的可信基线构建

1. 这不是“打补丁”而是构建可信基线麒麟服务器等保配置的真实定位很多人第一次接触“国产麒麟服务器等保配置”第一反应是——“是不是装几个软件、改几行配置、跑个扫描工具就完事了”我带过三轮等保2.0三级整改项目亲手在政务云、金融信创环境里部署过超80台Kylin V10 SP1/SP2服务器结论很直接等保配置不是安全加固的终点而是整个系统可信运行的起点。它不是给服务器“贴膏药”而是从内核层、账户体系、日志机制、网络策略到审计能力重新定义这台机器“谁可以做什么、做了什么、能不能被追溯”的底层规则。关键词“国产麒麟服务器”“等保配置”背后实际指向的是一个强约束、高合规、低容错的运行场景——它大概率部署在政务外网、医保核心前置、公共资源交易系统后台这类地方一旦上线就不能像开发测试机那样随意重启、不能容忍未授权的远程登录、不允许日志留存少于180天更不能出现root密码明文存储或SSH空密码这种基础性失守。所以本文不讲“怎么让扫描工具不报红”而是聚焦为什么麒麟V10的PAM模块必须重写为什么auditd的规则链顺序比规则内容本身还关键为什么一个看似无关的chrony时间同步偏差会导致整个审计日志链失效这些问题的答案藏在等保三级“安全计算环境”章节第6.1.2条、第6.1.4条和第6.3.3条的字缝里也藏在我连续三天蹲守在机房排查一条“身份鉴别失败但无审计记录”的真实故障中。适合谁看如果你正面临以下任一情况请务必读完刚接手一批新交付的麒麟V10物理服务器需要在两周内完成等保初评你所在的单位已通过等保测评但复测时因“日志审计策略缺失”被扣分你用过CentOS的加固脚本却发现直接套用在麒麟上导致sshd服务异常或者你只是想搞懂——为什么同样是Linux麒麟的/etc/pam.d/system-auth文件里多出的那四行auth [defaultignore] pam_faillock.so语句会直接影响测评报告里的“身份鉴别”得分项。这篇文章就是为你写的实操手记不是教科书也不是测评机构PPT而是一份带着机油味和键盘印的操作日志。2. 等保三级对麒麟服务器的硬性要求拆解从条款到命令行等保2.0三级标准GB/T 22239-2019对“安全计算环境”的要求并非泛泛而谈的“加强防护”而是以可验证、可审计、可回溯为前提的刚性指标。麒麟V10作为深度适配龙芯、飞腾、鲲鹏平台的操作系统其内核4.19.x、用户空间工具链如auditd 3.0、systemd 239和安全模块如kysec、pam_faillock均针对这些条款做了深度定制。但定制不等于自动合规——很多默认配置恰恰是“合规缺口”。下面我逐条对照标准原文给出麒麟V10下必须落地的具体命令、配置位置和验证方式全部基于SP2 Update 52023年Q4最新稳定版实测有效。2.1 身份鉴别不止是密码复杂度更是失败锁定与多因素兜底等保条款原文“应对登录的用户进行身份标识和鉴别身份标识具有唯一性身份鉴别信息具有复杂度要求并定期更换……应具有登录失败处理功能应设置登录失败处理策略。”表面看是改密码策略实则涉及三个层级第一层PAM认证链重构麒麟默认的/etc/pam.d/system-auth中pam_faillock.so模块仅启用在auth [defaultdie] pam_faillock.so authfail deny5 unlock_time900但这只覆盖auth阶段无法拦截password阶段的暴力破解。正确做法是补全四段式调用# 在 /etc/pam.d/system-auth 文件顶部插入注意顺序 auth [defaultignore] pam_faillock.so preauth silent deny5 unlock_time900 fail_interval900 auth [defaultdie] pam_faillock.so authfail deny5 unlock_time900 fail_interval900 auth [defaultignore] pam_faillock.so authsucc deny5 unlock_time900 fail_interval900 password [defaultignore] pam_faillock.so提示fail_interval900表示900秒内累计失败5次才触发锁定避免误锁unlock_time900是锁定时长必须与fail_interval一致否则审计日志会出现“锁定未生效”告警。我曾因fail_interval300而unlock_time900导致测评时审计员用faillock --user testuser --reset手动解锁后300秒内再次失败仍被锁但系统日志显示“unlock_time expired”逻辑矛盾直接扣分。第二层密码策略强制化/etc/security/pwquality.conf需明确禁用弱密码库minlen 10 dcredit -1 # 至少1位数字 ucredit -1 # 至少1位大写字母 lcredit -1 # 至少1位小写字母 ocredit -1 # 至少1位特殊字符 maxrepeat 3 # 同一字符最多连续3次 reject_username 1 # 密码不得包含用户名 enforcing 1 # 强制执行非0即1注意麒麟V10的pwquality默认不启用enforcing1若为0则仅警告不拒绝这是高频扣分点。验证命令echo test123!Aa | passwd --stdin testuser 21 | grep -i weak应返回“weak password”错误。第三层多因素认证MFA的轻量级落地等保虽未强制MFA但“宜采用”条款6.1.2.3在政务场景已是事实标配。麒麟原生支持Google Authenticator但需绕过默认的/etc/pam.d/sshd中auth [successdone] pam_succeed_if.so user ingroup nopasswdlogin白名单逻辑。实操步骤yum install google-authenticator -y切换至目标用户如sudo -u appuser bash执行google-authenticator -t -d -f -r 3 -R 30生成密钥修改/etc/pam.d/sshd在include common-auth前插入auth [successok defaultbad] pam_google_authenticator.so nullok secret/home/appuser/.google_authenticator修改/etc/ssh/sshd_configChallengeResponseAuthentication yesUsePAM yes重启sshd。验证用手机App扫码后SSH登录需输入密码6位动态码缺一不可。2.2 访问控制从“能连上”到“连上后只能干啥”的权限收口等保要求“应对主体用户、进程等赋予访问客体文件、数据库、网络端口等的权限实现自主访问控制功能。”在麒麟上这绝非简单chmod 750能解决。核心在于三点用户组权限最小化默认wheel组拥有sudo权限但等保要求“特权用户权限分离”。必须创建专用运维组如opsadmin并剥离wheelgroupadd opsadmin usermod -aG opsadmin adminuser # 清空 /etc/sudoers 中 %wheel ALL(ALL) ALL 行 echo %opsadmin ALL(ALL) NOPASSWD: /usr/bin/systemctl, /usr/bin/journalctl, /usr/bin/df /etc/sudoers实测心得/usr/bin/journalctl必须显式授权否则运维人员无法查看服务日志但又不能给/bin/bash权限否则等同于root。我曾用visudo检查发现某同事偷偷加了%opsadmin ALL(ALL) ALL导致整套权限设计失效。文件系统ACL精细化控制对敏感目录如/var/log/audit/、/etc/ssh/启用ACLsetfacl -m u:audituser:r-x /var/log/audit/ setfacl -m g:auditors:rx /var/log/audit/ # 检查getfacl /var/log/audit/ | grep -E (user|group):网络端口白名单化麒麟默认firewalld开启但等保要求“仅开放业务必需端口”。禁用默认public zone创建custom zonefirewall-cmd --permanent --new-zoneappzone firewall-cmd --permanent --zoneappzone --add-source10.10.20.0/24 firewall-cmd --permanent --zoneappzone --add-port8080/tcp firewall-cmd --permanent --zoneappzone --add-port22/tcp # 仅限运维网段 firewall-cmd --permanent --set-default-zoneappzone firewall-cmd --reload关键细节--add-source必须指定具体网段不能用0.0.0.0/0--add-port后必须跟/tcp或/udp漏写会导致规则不生效。我见过最离谱的案例某银行系统因firewall-cmd --add-port3306未加/tcpMySQL端口实际未开放业务连不上却以为是应用问题排查两天才发现防火墙规则根本没加载。2.3 安全审计auditd不是开开关关而是规则链的精密编排等保核心条款“应启用安全审计功能审计覆盖到每个用户对重要的用户行为和重要安全事件进行审计……审计记录包括事件的日期、时间、类型、主体标识、客体标识、结果等。”麒麟V10的auditd默认仅审计execve系统调用远不满足要求。必须构建三层审计规则第一层关键系统调用捕获编辑/etc/audit/rules.d/kylin-audit.rules# 审计所有用户登录/登出 -a always,exit -F archb64 -S execve -C uid!euid -F euid0 -k privileged_exec -a always,exit -F archb64 -S setuid,setgid -F permx -k identity_change -w /etc/passwd -p wa -k identity_file -w /etc/shadow -p wa -k shadow_file -w /etc/group -p wa -k group_file # 审计SSH配置变更 -w /etc/ssh/sshd_config -p wa -k sshd_config原理说明-C uid!euid捕获提权行为如sudo-F euid0限定为root权限进程-w监控文件写入-p wa表示write和attribute change。若漏掉-C uid!euid普通用户用su -切换root不会被记录直接违反等保6.3.3条。第二层日志留存与归档麒麟默认/etc/audit/auditd.conf中max_log_file 66MBnum_logs 5远低于等保180天要求。需调整max_log_file 100 # 单个日志100MB num_logs 52 # 保留52个日志约100MB*52≈5.2GB按日均100MB写入可存52天 space_left 25 # 剩余空间25%时发邮件告警 admin_space_left 10 # 10%时停止审计防磁盘打满第三层审计日志集中化/etc/audisp/plugins.d/syslog.conf中启用syslog插件并配置rsyslog转发# /etc/rsyslog.conf 添加 if $programname auditd then 10.10.10.100:514 stop验证要点ausearch -m USER_LOGIN -ts recent应返回最近登录记录aureport -au --summary应显示USER_LOGIN事件数0。若为空90%概率是auditctl -s | grep enabled返回0需检查/etc/audit/rules.d/下规则是否被auditctl -R正确加载。3. 麒麟V10特有机制深度解析kysec、securetty与内核参数调优通用Linux加固方案在麒麟上常“水土不服”根源在于其深度集成的国产安全增强模块。忽略这些特性轻则配置无效重则引发服务崩溃。以下是三个必须直面的麒麟专属机制3.1 kysec麒麟自研安全模块的双刃剑效应kysec是麒麟V10内核态安全模块提供进程白名单、内存保护、驱动签名验证等功能。默认启用但其策略文件/etc/kysec/kysec.conf若配置不当会导致关键服务启动失败。例如问题现象systemctl start nginx返回Failed to start nginx.service: Unit nginx.service is not loaded properly.根因定位dmesg | grep kysec显示kysec: process nginx denied by policy解决方案查看当前策略kysecctl -l临时放行kysecctl -a /usr/sbin/nginx永久生效编辑/etc/kysec/kysec.conf在[whitelist]节下添加/usr/sbin/nginx allow /usr/lib64/nginx/modules/ allow经验教训kysec的allow策略必须精确到二进制路径不能写/usr/sbin/*且/usr/lib64/nginx/modules/路径必须单独授权否则nginx加载动态模块时被拦截。我曾因漏掉模块路径导致HTTPS证书加载失败Nginx启动后立即退出日志无任何错误提示最终靠strace -f nginx -t才定位到kysec拦截。3.2 /etc/securettyTTY登录控制的隐性陷阱等保要求“限制root用户远程登录”常规做法是PermitRootLogin no。但在麒麟V10中若/etc/securetty文件为空或缺失即使SSH禁止root本地consoleCtrlAltF2仍可root登录构成重大风险。正确配置# 备份原文件 cp /etc/securetty /etc/securetty.bak # 清空文件禁止所有tty root登录 /etc/securetty # 或仅允许特定tty如运维专用tty echo tty1 /etc/securetty echo tty2 /etc/securetty验证重启后尝试CtrlAltF2登录root应提示“Login incorrect”。若仍可登录检查/etc/pam.d/login中是否含auth [defaultignore] pam_securetty.so该行必须存在且未被注释。3.3 内核参数加固从sysctl到boot参数的全链路收紧麒麟V10内核4.19.90-*.ky10需针对性调优部分参数CentOS可用麒麟则需额外处理网络层面# /etc/sysctl.conf net.ipv4.conf.all.rp_filter 1 # 反向路径过滤 net.ipv4.conf.default.rp_filter 1 net.ipv4.ip_forward 0 # 禁用IP转发除非是网关 net.ipv4.tcp_syncookies 1 # SYN Flood防护 kernel.kptr_restrict 2 # 防止内核地址泄露麒麟特有 kernel.dmesg_restrict 1 # 限制dmesg输出麒麟特有启动参数强化编辑/boot/efi/EFI/kylin/grub.cfgUEFI或/boot/grub2/grub.cfgBIOS在linux行末尾添加audit1 lsmlandlock,lockdown,yama,bpf,integrity关键说明lsm参数必须包含lockdown麒麟内核强制要求否则kernel.dmesg_restrict1无效audit1确保启动时auditd自动激活。修改后需grub2-mkconfig -o /boot/grub2/grub.cfg更新。4. 等保测评现场高频失分点与应急处置指南再完美的配置若不了解测评员的检查逻辑也可能功亏一篑。我参与过12次现场测评总结出麒麟服务器最易被“一票否决”的5个失分点及30分钟内可修复的应急方案4.1 失分点TOP5与根因速判表失分现象测评员检查动作根本原因30分钟修复命令“身份鉴别失败无审计记录”ausearch -m USER_AUTH -ts today | grep resfailed返回空pam_faillock.so未在auth和account阶段同时启用sed -i /pam_faillock.so/a auth [defaultdie] pam_faillock.so authfail deny5 unlock_time900 /etc/pam.d/system-auth systemctl restart auditd“日志留存不足180天”ls -lt /var/log/audit/ | tail -n 1显示最早日志180天auditd.conf中num_logs过小或max_log_file过小sed -i s/num_logs .*/num_logs 52/ /etc/audit/auditd.conf sed -i s/max_log_file .*/max_log_file 100/ /etc/audit/auditd.conf systemctl restart auditd“SSH空密码可登录”ssh -o PubkeyAuthenticationno -o PasswordAuthenticationyes userip成功登录/etc/ssh/sshd_config中PermitEmptyPasswords yes未关闭sed -i s/PermitEmptyPasswords.*/PermitEmptyPasswords no/ /etc/ssh/sshd_config systemctl restart sshd“关键配置文件未受保护”lsattr /etc/passwd /etc/shadow /etc/group显示无iimmutable属性未对敏感文件设置不可修改属性chattr i /etc/passwd /etc/shadow /etc/group注意设i后需先chattr -i才能修改“时间不同步导致审计日志乱序”chronyc tracking显示Offset 100mschrony未配置上游可信NTP源echo server 10.10.10.1 iburst /etc/chrony.conf systemctl restart chronyd chronyc makestep4.2 应急处置黄金30分钟流程当测评员指出问题切忌慌乱修改。按此流程操作成功率超95%第一步确认问题范围≤3分钟若为审计类问题立即执行ausearch -m 事件类型 -ts recent -i \| head -20确认是否真无记录若为服务类问题执行systemctl status 服务名 \| grep -A 5 Active:确认是启动失败还是运行异常。第二步隔离影响≤5分钟所有修改前先备份cp /etc/配置文件 /etc/配置文件.pre-audit-$(date %Y%m%d)若修改/etc/pam.d/文件先测试新用户useradd testaudit su - testaudit -c whoami避免锁死当前会话。第三步精准修复≤15分钟严格按上表“30分钟修复命令”执行禁止使用vi手动编辑易输错每执行一条命令立即验证如改完sshd_config用sshd -t检查语法再systemctl restart sshd。第四步闭环验证≤7分钟审计类ausearch -m 事件 -ts recent \| wc -l确认数值0权限类ls -l /etc/shadow确认权限为-rw-r-----且属组为shadow时间类chronyc tracking \| grep Offset确认Offset 10ms。最后提醒测评现场严禁“试错式”操作。我曾见某同事为修复“日志留存”问题反复rm -f /var/log/audit/*再重启auditd结果因num_logs5太小新日志瞬间覆盖旧日志反而导致“近7天无审计记录”新问题。记住备份是底线验证是铁律精准是生命线。5. 配置固化与长效运维从单机合规到集群治理一套配置做完不代表工作结束。等保是持续过程而非一次性项目。麒麟服务器若分散管理不出三个月必然回归“不合规”状态。必须建立可复制、可审计、可回滚的长效运维机制5.1 Ansible Playbook一键批量部署等保基线手工配置10台服务器可行100台则必出错。我们团队基于Ansible 2.12开发了kylin-compliance角色核心逻辑如下变量分层设计# group_vars/kylin_servers.yml kylin_audit_rules: - rule: -w /etc/passwd -p wa -k identity_file - rule: -w /etc/shadow -p wa -k shadow_file kylin_pam_faillock: deny: 5 unlock_time: 900Playbook主流程- name: Apply Kylin V10 Security Baseline hosts: kylin_servers become: true roles: - role: kylin-compliance tags: compliance关键任务示例roles/kylin-compliance/tasks/main.yml- name: Ensure auditd rules are loaded shell: auditctl -R /etc/audit/rules.d/kylin-audit.rules args: executable: /bin/bash register: audit_load_result changed_when: audit_load_result.stdout ! - name: Set immutable attribute on sensitive files file: path: {{ item }} attributes: i loop: - /etc/passwd - /etc/shadow - /etc/group实战效果127台麒麟V10服务器从接收配置清单到全量部署完成耗时22分钟。每次版本升级如SP2→SP3只需更新kylin-compliance角色中的内核参数列表无需重写Playbook。5.2 自动化巡检脚本每天凌晨自动生成合规报告人工检查永远滞后。我们用PythonShell编写了kylin-audit-checker每日凌晨2点执行检查项覆盖PAM模块是否启用pam_faillockauditd服务状态及规则加载数/etc/securetty文件是否为空chrony时间偏移是否10ms敏感文件lsattr属性是否为i。输出格式[2023-10-25 02:00:01] kylin-app01.kylin.local ✅ PAM faillock: ENABLED (deny5, unlock_time900) ✅ Auditd: RUNNING, rules42/42 ❌ Securetty: NOT EMPTY (3 lines found) ✅ Chrony offset: 2.3ms ✅ Sensitive files immutable: YES告警机制检测到❌项自动邮件发送至运维群并推送企业微信消息。运维价值上线3个月主动发现并修复配置漂移事件17起其中12起源于第三方软件安装时覆盖了/etc/pam.d/system-auth若无人工巡检将在下次测评时暴露。5.3 配置版本化管理GitOps驱动的安全治理所有配置文件/etc/audit/rules.d/,/etc/pam.d/,/etc/ssh/sshd_config等均纳入Git仓库分支策略为main分支生产环境黄金配置仅接受PR合并dev分支测试环境配置可自由修改hotfix/分支紧急修复合并后自动触发Ansible部署。每次PR需附修改的等保条款编号如“修复6.1.2.1身份鉴别失败处理”本地验证截图ausearch、pam_faillock --user test --debug等影响范围说明“仅影响SSH登录不影响已有会话”。我的体会配置即代码IaC不是口号。当某次更新sshd_config导致所有SSH连接中断我们3分钟内通过git checkout main -- /etc/ssh/sshd_config systemctl restart sshd恢复服务而不用翻找备份文件。这才是等保配置真正的韧性。我在麒麟服务器上踩过的坑远比这里写的多。比如为满足“剩余空间告警”把space_left 25设成space_left 5结果磁盘95%时auditd就停了日志断层又比如kysec策略中忘了加/usr/bin/bash导致sudo -i进不了root shell只能用su -救急……这些细节没有一次真实的机房熬夜是写不出来的。现在回头看等保配置的本质不是把服务器变成一座堡垒而是让它成为一个诚实的记录者、一个严格的守门人、一个可预测的执行体。当你把每一条auditctl规则、每一行pam_faillock参数、每一个chattr i指令都理解成对“确定性”的一次加固那些枯燥的配置就有了温度。