统信系统如何安全关闭高危端口？

1. 背景与问题分析：为何需关闭135、139、445高危端口？

在统信UOS系统中，开放的网络端口是潜在攻击入口。其中，端口135（RPC）、139（NetBIOS Session）、445（SMB over TCP）常被勒索病毒（如WannaCry、NotPetya）利用进行横向渗透和远程代码执行。

尽管UOS基于Linux内核，其默认不启用Windows风格的SMB服务，但在某些场景下（如启用了Samba服务或兼容性组件），这些端口可能意外暴露。直接使用iptables或firewalld屏蔽端口虽可临时阻断流量，但存在以下风险：

• 防火墙规则未持久化，重启后失效；
• 仅屏蔽端口而未关闭底层服务，可能导致资源浪费或日志异常；
• 策略冲突或优先级错误导致其他服务受影响；
• 缺乏审计机制，难以追踪变更历史。

2. 系统差异识别：桌面版 vs 服务器版的安全配置差异

维度	UOS 桌面版	UOS 服务器版
默认服务开启情况	Samba通常关闭，除非手动配置文件共享	可能启用Samba/NFS用于共享存储
防火墙管理工具	firewalld为主，图形界面支持良好	firewalld + iptables并存，脚本化部署常见
最小权限原则实施	用户权限较高，需强化访问控制	建议启用SELinux/AppArmor，限制服务上下文
安全审计需求	基础日志记录即可	需集成rsyslog/journald与SIEM联动
更新频率	季度更新，补丁延迟较高	支持热补丁，关键漏洞响应快

3. 安全关闭高危端口的技术路径：服务禁用 + 防火墙加固

为实现“持久化、可审计”的端口封闭，应遵循以下分步流程：

1. 确认服务状态：检查是否运行Samba或相关RPC服务；
2. 停止并禁用服务：从源头消除监听依赖；
3. 配置持久化防火墙规则：双重防护防止误启；
4. 验证端口关闭效果：使用工具扫描确认；
5. 建立审计日志机制：记录所有安全变更操作。

4. 实施步骤详解

4.1 检查当前端口监听状态

# 查看本地监听端口
sudo netstat -tulnp | grep -E ':(135|139|445)'

# 或使用ss命令（更现代）
sudo ss -tuln | grep -E ':(135|139|445)'

4.2 停止并禁用Samba及相关服务

# 停止smbd/nmbd服务
sudo systemctl stop smbd nmbd

# 禁止开机自启
sudo systemctl disable smbd nmbd

# 验证服务状态
sudo systemctl is-enabled smbd nmbd

4.3 配置firewalld持久化规则（推荐方式）

# 添加拒绝规则至默认区域
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="135" reject'
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="139" reject'
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="445" reject'

# 重载防火墙使永久规则生效
sudo firewall-cmd --reload

# 查看已添加规则
sudo firewall-cmd --list-all

4.4 备选方案：iptables持久化配置（适用于服务器版）

# 添加iptables规则
sudo iptables -A INPUT -p tcp --dport 135 -j REJECT --reject-with tcp-reset
sudo iptables -A INPUT -p tcp --dport 139 -j REJECT
sudo iptables -A INPUT -p tcp --dport 445 -j REJECT

# 保存规则（Debian系常用）
sudo iptables-save > /etc/iptables/rules.v4

# 创建systemd服务确保恢复（略）

5. 最小权限原则与安全配置流程设计

在UOS环境中实施最小权限原则，应包括以下几个层面：

• 服务账户降权：Samba若必须运行，应以非root用户身份启动；
• 文件系统权限收紧：/etc/samba/smb.conf应设为600权限；
• 网络访问控制：通过firewalld zone划分，仅允许可信IP访问必要服务；
• 审计日志启用：auditd监控关键配置文件变更。

6. 可审计性保障机制

为满足合规与溯源需求，建议部署如下审计措施：

# 启用auditd监控smb.conf变更
sudo auditctl -w /etc/samba/smb.conf -p wa -k smb_config_change

# 将规则写入配置文件以持久化
echo "-w /etc/samba/smb.conf -p wa -k smb_config_change" | sudo tee -a /etc/audit/rules.d/10-samba.rules

7. 自动化检测与响应流程图

graph TD A[开始] --> B{是否监听135/139/445?} B -- 是 --> C[停止smbd/nmbd服务] C --> D[禁用服务开机自启] D --> E[添加firewalld拒绝规则] E --> F[保存防火墙配置] F --> G[记录操作日志到中央审计系统] G --> H[发送告警通知管理员] B -- 否 --> I[记录状态为安全] I --> J[定期复查周期任务]

8. 长期维护建议

• 建立安全基线模板，统一部署于所有UOS节点；
• 结合Ansible/Puppet实现批量端口封闭策略下发；
• 每月执行一次端口扫描（如nmap），形成安全报告；
• 对例外情况（如需保留SMB）实施IP白名单+TLS加密；
• 关注统信官方安全公告，及时应用CVE补丁。