国产操作系统之凝思磐石安装

  安全性是凝思磐石安全服务平台软件V2.4的主要特征&＃xff0c;充分结合凝思科技独有技术与国内外多项安全标准的要求&＃xff0c;在操作系统和应用程序的各个层次进行安全增强&＃xff0c;使系统成为安全的有机整体。主要安全机制有以下几点&＃xff1a;

• MEC&＃xff08;强制运行控制&＃xff09;
  在操作系统内核监视受限进程的行为范围&＃xff0c;防止用“代码注入”的方法获得系统的最高控制权&＃xff0c;充分抵御网络攻击。
• MCC&＃xff08;强制能力控制&＃xff09;
  消除系统中不受限制的进程&＃xff0c;只赋予每个特权进程能够完成其功能最小能力&＃xff0c;实现“最小特权”原则。
• ACL&＃xff08;访问控制列表&＃xff09;
  实现细粒度自主访问控制&＃xff0c;能够以特定用户或特定组为单位分配访问许可&＃xff0c;防止文件许可范围的不必要扩散。
• MAC&＃xff08;强制访问控制&＃xff09;
  基于BLP模型实现&＃xff0c;系统内核根据主客体安全属性进行访问许可决策。可有效控制敏感信息的流动&＃xff0c;保护信息的私密性。
• 四权分立的系统管理机制
  各系统管理员相互牵制&＃xff0c;不能独立控制系统&＃xff0c;防止管理员恶意或偶然操作破坏系统安全。
• 无root运行模式
  禁止root登录&＃xff0c;禁止用户进程切换为root身份&＃xff0c;保护关键数据的私密性和完整性。

  博文实验环境在虚拟机环境下完成安装测试&＃xff0c;博文实验环境软件版本信息如下&＃xff1a;

• 虚拟化平台版本&＃xff1a;Proxmox7.0.8
• 凝思磐石版本&＃xff1a;6.0.80

1、官网下载安装包

  访问凝思官网&＃xff0c;下载操作系统安装包iso文件。

2、将iso文件上传到虚拟化平台

3、校验文件MD5值

  安装使用软件包前校验MD5值是个好习惯&＃xff0c;官网一般都会提供MD5值&＃xff0c;与官网的值进行比较&＃xff0c;确保下载的是未经篡改的软件包。

4、创建一个虚拟机

  我们创建了1个2c、4G内存、60G硬盘的虚拟机。

5、开始安装

  回车开始安装。

6、点击继续

  首先会尝试DHCP自动获取IP地址&＃xff0c;失败后会有如下提示。

7、选择手动设置网络

  我们这里选择手动进行网络设置。如果是后安装完成后手动修改IP地址则是修改/etc/network/interfaces配置文件&＃xff0c;可以配置内容包括IP地址、掩码、网关等。

8、设置IP地址及掩码

  设置IP地址及掩码&＃xff0c;可以试验IP地址/掩码的方式一次完成设置&＃xff0c;也可以分配设置IP地址和掩码。

9、设置网关

  设置网关地址。

10、设置DNS

  配置DNS地址&＃xff0c;如果是后续修改则是修改/etc/resolv.conf文件&＃xff0c;与centos系统是一致的。配置示例&＃xff1a;nameserver 114.114.114.114

11、输入主机名

  配置主机名。

12、设置域名

  设置域名&＃xff0c;可以必选项&＃xff0c;可以为空&＃xff0c;回车继续即可。

13、输入序列号

  输入凝思提供的序列号&＃xff0c;是16位的字符串。序列号是凝思用户的服务凭证&＃xff0c;如果没有序列号连基本的网络服务都没有。博主也只是进行凝思操作系统的安装实践&＃xff0c;也厂商客服电话申请试用&＃xff0c;但只打通了前台电话&＃xff0c;售前、售后转接都失败了&＃xff0c;没有申请到试用license。

14、输入root密码

  设置root账户密码。

15、确认root密码

  确认root账户密码。

16、创建普通用户

  创建一个普通用户&＃xff0c;这里输入全名。

17、设置账户名

  设置账户&＃xff0c;又要求输入一次用户名&＃xff0c;有点不太理解这个用途。

18、设置用户密码

  设置普通用户账户密码。

19、确认密码

  确认普通账户密码。

20、磁盘分区方式选择

  选择磁盘分区方式&＃xff0c;我这里选择了加密的LVM方式。

21、选择磁盘

  选择系统安装的磁盘&＃xff0c;我们这里就一块盘&＃xff0c;直接回车即可。

22、选择分区方案

  选择分区方案&＃xff0c;按照推荐选择即可。

23、确认LVM分区方案

  确认LVM卷的分区方式。

24、随机数据覆盖

  随机写覆盖磁盘数据&＃xff0c;这样可以保障系统安装的磁盘是纯净的&＃xff0c;根据磁盘大小会有不同的耗时&＃xff0c;我60G磁盘&＃xff0c;耗时10分钟以上&＃xff0c;如果确定磁盘已经清理干净&＃xff0c;可以回车取消该步骤。

25、输入磁盘加密口令

  因为我们选择了LVM加密的方式&＃xff0c;所以需要设置磁盘加密口令&＃xff0c;建议是20个以上字符的口令句&＃xff0c;非强制长度。

26、确认加密口令

  确认口令句。

27、确定磁盘分区信息

  确认磁盘分区信息。

28、格式化分区

  选择是后开始格式化磁盘。

29、配置网络镜像

  如果有网络镜像可以选择是&＃xff0c;配置网络镜像&＃xff0c;我们这里序列号都没有&＃xff0c;也就没有网络&＃xff0c;所以直接选择否。

30、安装软件包

  可以选择几种环境软件包的安装&＃xff0c;如果是作为服务器部署&＃xff0c;按照默认的最小化安装即可。博主测试了服务器运行环境的安装&＃xff0c;主要是安装ftp和mysql软件&＃xff0c;mysql安装版本是5.5&＃xff0c;实在是有点老旧了。

31、安装GRUB

  单系统安装选择是即可。

32、选择安装GRUB的磁盘

  我们只有唯一磁盘&＃xff0c;选择磁盘回车即可。

33、完成完成并重启

  安装完成后点击继续完成系统重启。

34、输入磁盘密码口令

  启动后需要先输入磁盘加密口令才可以正常启动系统。

35、登录系统

  输入账户登录系统&＃xff0c;博主测试了直接输入root账户及口令也是可以登录的。

36、验证网络

  经验证&＃xff0c;在没有序列号的情况下确实是除了本机网卡可以ping通外&＃xff0c;网络服务完全是没有的。

1、手动更新序列号

• 虽然我没有序列号&＃xff0c;还是查询官方手册了解了下手动更新序列号的方法&＃xff0c;编辑/etc/default/grub文件&＃xff0c;将序列号写入下图的位置。修改为正确的序列号后&＃xff0c;执行 update-grub 命令将其更新到/boot/grub/
  grub.cfg 文件中&＃xff0c;然后重启机器。